制御システムのための検知と監視

制御システムのための検知と監視
2022年3月18日
合同会社もっけ技研
代表社員渥美清隆
日本セキュリティマネジメント学会
先端技術・情報犯罪とセキュリティ研究会

随時、質問をお受けします。
資料はこちら
https://www.dropbox.com
/s/4awniydp2vy8azy/slide.pdf
2022/3/18
/ 71
2

自己紹介
2022/3/18
/ 71
3

自己紹介：こんな人
• IoTデバイスを作ったり壊したりする人
• 大学・高専系情シス兼教員 15年
• 某セキュリティベンダでIoTセキュリティの
研究5年
• ベンチャー企業、コンテンツジャイアントに
も在籍
• 今は役員報酬無しの代表社員(NEET?)
2022/3/18
/ 71
4

自己紹介：作品など
USBデバイスの脆弱性診断ツール
https://www.slideshare.net/KiyotakaATSUMI/a-trial-investigation-system-for-
vulnerability-on-m2m-network
2022/3/18
/ 71
5

大人のおもちゃの脆弱性調査
https://www.slideshare.net/KiyotakaATSUMI/safety-and-security-for-remote-control-
vibrators
2022/3/18
/ 71
6

翻訳 (みんな買ってね)
https://www.oreilly.co.jp/books/9784873118239/
2022/3/18
/ 71
7

車両ネットワークのセキュリティシステム
https://www.slideshare.net/KiyotakaATSUMI/smart-can-cable-another-proposal-of-
intrusion-prevention-system-ips-for-invehicle-networks
2022/3/18
/ 71
8

https://www.itu.int/ITU-T/recommendations
/rec.aspx?rec=14263
インターネットリーチャビリティのない末端制御装置
のセキュリティハンドリングの標準化
2022/3/18
/ 71
9

免責 / Disclaimer
This presentation is personal opinions
and is not any opinions on behalf of
organizations to belong to.
この講演における発言、及び、資料の内
容は、個人の見解であり、所属する企業
や団体を代表するものではありません。
2022/3/18
/ 71
10

アウトライン
• 自己紹介（済）
• 解説するセキュリティ管理策の位置付けの外観
• Smart CAN Cable / 車載ネットワークの侵入防御シ
ステム
• ITU-T X.1367 (X.elf-iot) / IoTエッジデバイスへの攻
撃監視のための標準化
• 今後、開発が期待されるセキュリティ管理策
• まとめ
2022/3/18
/ 71
11

本講演の全体像
2022/3/18
/ 71
12

全体像：
本日の主な話題
•Smart CAN Cable
•ITU-T X.1367 (X.elf-iot)
2022/3/18
/ 71
13

攻撃開始
IP:xxxxのコンピュータが
侵害されました。すぐ
に対応してください
侵害されたコンピュー
タを切り離そう！
Managed Security Serviceの作業
 お客様FW, IDSのログ取得
 攻撃の可能性の検知
 侵害の確認
 侵害されたコンピュータの情報
をお客様に連絡
全体像：
オフィスエリアのセキュリティ
2022/3/18
/ 71
14

全体像：
最近の工場内のランサムウェア被害
• 外部から何らかの方法で
工場内PCがマルウェア
に感染する。
• C&Cサーバからデータ転
送と暗号化の命令を受け、
実行する。
• 当該挙動をFW/IDSが検
知してSOCに通知する。
• ここまでのオフィスセ
キュリティと変わらない。
A
Edge Devices' Network
SOC / SIRT
FW/IDS
IoTGW
IP Network
Edge Edge Edge Edge
C&C
Server
(5) syslog
HMI for IoT
ecosystem
(1)Malware
(3) Attack
Proxy
2022/3/18
/ 71
15

課題
(Smart CAN Cableの話題)
• Edge Devices' Network
(EDN)内の攻撃をどう
やって検知するのか？
(ITU-T X.1367/X.elf-iotの話題)
• EDN内で検知した攻撃を
どうやってSOCに通知す
るのか？
• 異なるプロトコルで構成
されるEDNをどう取り扱
うのか？
A
SOC / SIRT
FW/IDS
IoTGW
IP Network
Edge Edge Edge Edge
C&C
Server
(5) syslog with IoT
error log
HMI for IoT
ecosystem
(1)Malware
(3) Attack (4) error code
Proxy
全体像：
想定される次の被害
2022/3/18
/ 71
16

全体像：
自動車なら...
攻撃開始
ギャー！
あなたのクルマは侵害され
ました。速やかにクルマを
路肩に止めてください。
生き延びてください！！！！
制御できない！
たすけてー！！
SOCは異常は検知できても、どの装置が異常か同定できないし、
異常装置を制御できない。
2022/3/18
/ 71
17

落ち着いて！ECUの一つが攻
撃者により侵害されたので、
切り離しました。自動的に路
肩に停車します。そのままお
待ちください。
 異常ECUの識別、即時切離し、縮退運転移行
 緊急時自律制御システムによる自動路肩停車
 ドライバーを落ち着かせ、周囲の車両に注意情報を送信
攻撃開始
ギャー！
分かった。
ありがとう。
全体像：
期待するオペレーション
2022/3/18
/ 71
18

Smart CAN Cable
2022/3/18
/ 71
19

Smart CAN Cable：
自動車のアタックサーフェース
TPMS
インフォ
テイメント
OBD-II
スマートキー
近接センサ
カメラ
LIDAR
V2X
ETC2.0
V2V
CD/DVD/BD/USB
WiFi/BT
GPS
セルラー
WiFi
2022/3/18
/ 71
20

Smart CAN Cable：
現在のセキュリティ管理策
GW
CANBUS for power train
CANBUS for information
ECU ECU ECU
IDS
FV master
IDS
ADAS
FV master
Head Unit TCU
• SOC or SIRT
• Firmware server
 SOC(Security Operation Center) /
SIRT(Security Incident Response Team)
車両の監視、インシデント対応
 Firmwareサーバ:
OTA(Over the Air)によるファームウェア
アップデート用
 TCU(Telecommunication Control Unit)
外部通信機器、FW, IDSの機能を含む
 IDS(Intrusion Detection System) /
IPS(Intrusion Protection System)
不正侵入を検知・防御
 GW(Gateway)
2つのCANBUSネットワークの通信を仲介
する。フィルタリング機能を含む
 FV(Freshness Value) master
MACで使うフレッシュネス値を管理、リプ
レイ攻撃を防御
 MAC(Message Authentication Code)
フレームのペイロードに電子署名を付与、
正しい鍵を持たないECUを排除
2022/3/18
/ 71
21

Smart CAN Cable：
現在のセキュリティ管理策
OTA update
車両内のセキュリティ管理策
最早なすすべ無し
TCU(FW・IDS)
CANBUSネットワーク
GW, MAC and IDS/IPS
 FW/GWはフィルタリング可能
 通信に簡易電子署名可能
 侵害されたECUの識別不可能
 侵害されたECUの遮断不可能
2022/3/18
/ 71
22

OTA update
車両内のセキュリティ管理策
TCU(FW・IDS)
4つ目の砦で、攻撃者から操作を奪還、縮退運
転で安全に路肩停車させる
CANBUSネットワーク
GW, MAC and IDS/IPS
侵害されたECUの
特定・遮断
車両内重要部
縮退運転で
路肩停車
Smart CAN Cable：
追加するセキュリティ管理策
2022/3/18
/ 71
23

Smart CAN Cable：
Controller Area Network(CAN)の課題
 不正フレームは検知可(IDS)
 不正フレームの上書き可(IPS)
 侵害されたECUの識別不可
 侵害されたECUの遮断不可
....????????
∞Ω ∞Ω
～
0～2v
ECU1 ECU2 ECUn
…
CAN
IDS
2022/3/18
/ 71
24

不正なフレームを送信したECU
侵害されたECU
＝
以下を仮定しよう
リフレクション攻撃は...とかいう人は嫌いだ
Smart CAN Cable：
2022/3/18
/ 71
25

Smart CAN Cable：
∞Ω ∞Ω
～
0～2v
ECU1 ECU2 ECUn
…
CAN
IDS
改善方法は2つ
 固有送信波形の検知
 MitM
2022/3/18
/ 71
26

Smart CAN Cable：
固有送信波形の検知
∞Ω ∞Ω
～
0～2v
ECU1 ECU2 ECUn
…
CAN
IDS
各ECUのアナログ素子の違いによるわずかな
波形の違いを利用
送信ECU
検知装置
Wonsuk Choi, 他4名: "Identifying ECUs Using Inimitable Characteristics of Signals in Controller Area
Networks," IEEE transactions on vehicular technology ,Vol.67, no 6, June 2018.
2022/3/18
/ 71
27

Smart CAN Cable：
 CAN ID(メッセージ識別子)を縦軸、横軸として、異なる
CAN IDの値の波形の相関を表示
 波形間の相関性の距離に応じて色を変化
KVASER: CAN FD PHYSICAL LAYER DIAGNOSTICS FINGERPRINT
CAN-FD Technology Day 資料より
2022/3/18
/ 71
28

Smart CAN Cable：
1. 異常検知
a. CAN IDと波形の組み合わせで知らないものを異常と検知
b. IDSが異常を検知
2. 波形から侵害されたECUを特定
3. 何らかの方法による侵害されたECUの遮断
オペレーション
2022/3/18
/ 71
29

Smart CAN Cable：
MitM
コネクタ内部で各ECUが送信した信号情報を一時
的に記憶、IDSと連携して送信ECUを特定
Connector
∞Ω ∞Ω
～
0～2v
ECU1 ECU2 ECUn
…
CAN
IDS
Connector
Connector Connector
2022/3/18
/ 71
30
特許6182779,特許6207710,特許6313897,特許6788717

Smart CAN Cable：
MitM - Connectorの内部
ECU
Transceiver
Repeater
CAN BUS
Controller
Ring Buffer
Transceiver
 ECUが送信した信号の
ハッシュ値をRingBuffer
に記録
 IDSからの問い合わせに
応じ、RingBuffer内に当
該信号のハッシュ値があ
るかないかを検索して回
答
 IDSからの指示に応じ、
RepeaterでECUの信号を
遮断
Kiyotaka ATSUMI, 他4名: "Smart CAN cable, Another proposal of intrusion prevention system
(IPS) for in-vehicle networks, 2E2-6, SCIS2018.
2022/3/18
/ 71
31

Smart CAN Cable：
MitM - 動作例
ECU2が不正な信号を送信
Connector
…
Connector
Connector
Connector Connector
ECU1
IDS
ECU2 ECUn
ECU
Smart CAN Cable
OBD-II
Compromised
不正信号
不正信号のハッシュ値
侵害されたECUの情報
2022/3/18
/ 71
32

Smart CAN Cable：
MitM - 動作例
Connector
…
Connector
Connector
Connector Connector
ECU1
IDS
ECU2 ECUn
ECU
Smart CAN Cable
OBD-II
Compromised
ECU2を接続したコネクタが当該信号ハッシュ値を記
憶、当該信号はCANBUSにブロードキャスト
不正信号
2022/3/18
/ 71
33

Smart CAN Cable：
MitM - 動作例
Connector
…
Connector
Connector
Connector Connector
ECU1
IDS
ECU2 ECUn
ECU
Smart CAN Cable
OBD-II
Compromised
IDSが当該信号を「不正」と検知
Illegal!
不正信号
2022/3/18
/ 71
34

Smart CAN Cable：
MitM - 動作例
不正信号
Connector
…
Connector
Connector
Connector Connector
ECU1
IDS
ECU2 ECUn
ECU
Smart CAN Cable
OBD-II
Compromised
IDSが不正信号のハッシュ値を送信し、当該ハッシュ値を持
つコネクタを検索
2022/3/18
/ 71
35

Smart CAN Cable：
MitM - 動作例
不正信号
Connector
…
Connector
Connector
Connector Connector
ECU1
IDS
ECU2 ECUn
ECU
Smart CAN Cable
OBD-II
Compromised
当該ハッシュ値を持つコネクタに接続されたECU2の
情報をブロードキャスト、ECU2を遮断
=
×
2022/3/18
/ 71
36

Smart CAN Cable：
MitM - 動作例デモビデオ(適用前)
2022/3/18
/ 71
37

Smart CAN Cable：
MitM - 動作例デモビデオ(適用後)
2022/3/18
/ 71
38

Smart CAN Cable：
小まとめ
非TCP/IPのセキュリティ管理策の一つ
侵害された制御装置の切断が可能
切り離された機能の復元機能なし
非常時オーケストレーション機能なし
2022/3/18
/ 71
39

ITU-T X.1367 (X.elf-iot)
Recommendation
2022/3/18
/ 71
40

めでたく侵害された装置を排除できた。
それだけでいいのか？
2022/3/18
/ 71
41

課題
(Smart CAN Cableの話題)
• Edge Devices' Network
(EDN)内の攻撃をどう
やって検知するのか？
(ITU-T X.1367/X.elf-iotの話題)
• EDN内で検知した攻撃を
どうやってSOCに通知す
るのか？
• 異なるプロトコルで構成
されるEDNをどう取り扱
うのか？
A
SOC / SIRT
FW/IDS
IoTGW
IP Network
Edge Edge Edge Edge
C&C
Server
(5) syslog with IoT
error log
HMI for IoT
ecosystem
(1)Malware
Proxy
X.1367(X.elf-iot)：
想定される次の被害【再掲】
2022/3/18
/ 71
42

ある工場の物語
2022/3/18
/ 71
43

A社が1つ目のIoTエコシステム導入
IoTGW
Cloud
Sensor
Sensor
Actuator
生産機械統合
管理システム
IoTGWがエラーを把握
2022/3/18
/ 71
44

B社が2つ目のIoTエコシステム導入
IoTGW
Cloud
Sensor
Sensor
Actuator
IoTGW
Sensor
Sensor
Sensor
ラップトップが
エラーを把握
工場内温度
監視システム
2022/3/18
/ 71
45

C社が3つ目のIoTエコシステム導入
IoTGW
Cloud
Sensor
Sensor
Actuator
IoTGW
Sensor
Sensor
Sensor
Cloud
Robot
IoT
GW
Robot
IoT
GW
Robot
IoT
GW
自動搬送システム
クラウドがエラー把握
2022/3/18
/ 71
46

C社が3つ目のIoTエコシステム導入
IoTGW
Cloud
Sensor
Sensor
Actuator
IoTGW
Sensor
Sensor
Sensor
Cloud
Robot
IoT
GW
Robot
IoT
GW
Robot
IoT
GW
自動搬送システム
クラウドがエラー把握
2022/3/18
/ 71
47

攻撃者は工場内LANから攻撃開始・水平展開
IoTGW
Cloud
Sensor
Sensor
Actuator
IoTGW
Sensor
Sensor
Sensor
Cloud
Robot
IoT
GW
Robot
IoT
GW
Robot
IoT
GW
2022/3/18
/ 71
48

攻撃の分析が困難
• ばらばらに置かれたログ
• 互換性のないエラーコード
IoTGW
Cloud
Sensor
Sensor
Actuator
IoTGW
Sensor
Sensor
Sensor
Cloud
Robot
IoT
GW
Robot
IoT
GW
Robot
IoT
GW
2022/3/18
/ 71
49

標準化の必要性
 SOC/SIRTはログを分析し、攻撃兆候を検知する。
 ログにないイベントからは攻撃を検知できない。
 IoTエコシステムの管理とネットワークがバラバラ
 自社SOCなら監視可能も、委託SOCは困難
 IoTエッジデバイスの通信はIPとは限らず
 IPアドレス以外の識別子
 エッジデバイスの識別困難
 エラー発生のコンテキストが不明
 エラーコードの意味が不明、製品間のエラーコード
が互換性なし
 数バイト程度の製品固有のエラーコード
 同一メーカでも製品間のエラーコードの互換性保証なし
2022/3/18
/ 71
50

勧告の概要
 以下の2点を定義
 IoTエッジデバイス用の標準化されたエラーコード
 Logサーバに送信するためのJSON形式のエラーレコード
 想定される利用例の提示
2022/3/18
/ 71
51

勧告の概要
以下、0xFFまで続く
2022/3/18
/ 71
52

勧告の概要
 基本構造
 この他に装置識別子の表現を定義
{
"Timestamp":
"^([0-9]{4})-(1[0-2]|0[1-9])-(3[01]|0[1-9]|[12][0-
9])T
(2[0-3]|[01][0-9]):([0-5][0-9]):([0-5][0-9])(¥.[0-
9]{+})Z$",
"Reporter": {},
"Protocol": String,
"Requester": {},
"Responder": {},
"Error Code": "/^[0-9A-F]^{+}$/",
"Error Message": String,
"Description": String | {},
}
2022/3/18
/ 71
53

勧告の概要
このような変換表をIoTGW等で保持することを期待
メーカ固有
コード
説明 X.1367
エラーコード
説明
01 FF Communication
Timeout.
10 No response
... ... ... ...
03 E0 F2 5E The certification is out
of date.
21 Certification failed
... ... ... ...
5E 31 The command cannot
accept in this status.
30 Invalid Command
... ... ...
2022/3/18
/ 71
54

動作例
1. HMIにマルウェア侵入
2. マルウェアがC&Cサー
バからコマンド受信
3. マルウェアがエッジデ
バイスを攻撃
4. エッジデバイスがエ
ラーコードを送信
5. IoTGWが標準化された
エラーレコードとして
syslogで送信
6. FW/IDSがC&Cサーバ
との通信ログなども集
約してSOC/SIRTに送
信
A
SOC / SIRT
FW/IDS
IoTGW
IP Network
Edge Edge Edge Edge
C&C
Server
(5) syslog with IoT
error log
HMI for IoT
ecosystem
(1)Malware
Proxy
2022/3/18
/ 71
55

動作例 - IoTGW攻略後に偽証明書の送信
 最初に攻撃者はIoTGWを攻略
 IoTGWを通じて偽証明書をMCU2に提示
 IoTGWからエラー情報がクラウドに上がるのを阻止
2022/3/18
/ 71
56

動作例 - IoTGW攻略後に偽証明書の送信
{
"Timestamp":"2018-08-28T09:34:55.0Z",
"Reporter": { "IP Address": "192.168.100.249"},
"Protocol": "EEE Company’s protocol",
"Requester": {
"Unique Name": "0000",
"Transmitted Code": "02000100...
(Faked certification codes)"
},
"Responder": {
"Unique Name": "0002",
"Transmitted Code": "000000000010000c "
},
"Error Code": "21",
"Error Message": "Certification Failed",
"Description": {
"Status": "This message was sent from IDS not IoTGW”
},
}
2022/3/18
/ 71
57

小まとめ
非TCP/IPネットワークのエラー情報を
syslog等に載せる方法を提案した。
ベンダー固有のエラー情報の標準化を
提案した。
侵害からの緊急回避に必要な情報収集
が出来るようになった。
2022/3/18
/ 71
58

小ネタ
X.elf-iotは勧告案議論中に付されるニックネーム
のようなもの(Acronym)。
Error log format for IoTに由来
elf(妖精)がIoT的でアンビエント社会に適合して
いる。
アメリカ代表からも命名に「いいね」を頂く。
弊社「もっけ(もののけ)」技研の由来にもなる。
2022/3/18
/ 71
59

期待される管理策
2022/3/18
/ 71
60

期待される管理策：
究極の目標
究極的にはこれのインシデ
ントレスポンス
 サイバー攻撃による速度
制御の喪失
 多数の人質・ランサム
 トロッコ問題
 Stuxnetの場合でも同質
2022/3/18
/ 71
61
(C)東映株式会社

自動車の場合【再掲】
攻撃開始
ギャー！
 異常ECUを切り離しただけでは、切り離したECU
の機能は未回復。
 何をどう復元すべきかも状況次第。
2022/3/18
/ 71
62

自動車の場合 - サイバー攻撃に限らず
2022/3/18
/ 71
63

Proposed
system
Backup of compromised function/ECU
Acceralate Brake
Steering ADAS
Proposed
system
Acceralate Brake
Steering ADAS
いかなるECUや機能が侵害されても自動車を安全に
路肩に停止させる緊急自律制御装置の追加
It is compromised and isolated
自動車の場合 - オペレーション例
2022/3/18
/ 71
64

自動車の場合 - SOC視点
現在のオペレーション
 FW/IDSのログ監視
 攻撃成立の兆候の検出
 攻撃成立の確度の調査
と被害端末の特定
 当該顧客に連絡
 必要なサポートの提供
あるべきオペレーション
 (車載自律オペレーション)
 搭乗者を落ち着かせる声がけ
 自律オペレーションの支援
 脆弱性を持つECUの特定
 他OEMと脆弱ECU情報の共有
 被害車両周辺の車両への危険
情報通知
 被害車両周辺道路の制御
2022/3/18
/ 71
65
本当にできるのだろうか？

セキュリティベンダ
OEM
保険会社
Auto-ISAC
道路制御
脆弱性情報収集
故障予兆管理
攻撃分析、
脅威分析、
影響範囲分析
シグネーチャ・脅威情報・攻撃
情報提供、緊急自律制御支援
生ログ・緊急自律制御情報
攻撃情報・脆弱ECU情報提供
攻撃情報、脅威情報、
影響範囲情報提供
影響範囲管理
搭乗者支援
OEM間情報共有
近接車両情報提供
道路制御
搭乗者への情報提供
自動車の場合 - 関係団体の協業
2022/3/18
/ 71
66

攻撃開始
ギャー！
SOCは異常は検知できても、どの装置が異常か同定できないし、
異常装置を制御できない。
自動車の場合 - これが...【再掲】
2022/3/18
/ 71
67

落ち着いて！ECUの一つが攻
撃者により侵害されたので、
切り離しました。自動的に路
肩に停車します。そのままお
待ちください。
 異常ECUの識別、即時切離し、縮退運転移行
 緊急時自律制御システムによる自動路肩停車
 ドライバーを落ち着かせ、周囲の車両に注意情報を送信
攻撃開始
ギャー！
分かった。
ありがとう。
自動車の場合 - こうなるといいな【再掲】
2022/3/18
/ 71
68

まとめ
2022/3/18
/ 71
69

まとめ
• 解説したセキュリティ管理策の位置付けを全体像を
概観した。
• 低レイヤネットワークにおける侵入防御手法の解説
をした。
• エッジデバイスからサーバまで統合したセキュリ
ティ監視をするための国際標準を解説した。
• 起こりうる事象とそれに対応するために必要な開発
すべき管理策について紹介した。
2022/3/18
/ 71
70

Any Question?
2022/3/18
/ 71
71

制御システムのための検知と監視

Recommended

Recommended

More Related Content

What's hot

What's hot (7)

Similar to 制御システムのための検知と監視

Similar to 制御システムのための検知と監視 (20)

More from Mocke Tech

More from Mocke Tech (13)

Recently uploaded

Recently uploaded (9)

制御システムのための検知と監視