バス監視セキュリティ装置及びバス監視セキュリティシステム
【課題】不正ツールがバスに接続された場合であっても、不正ツールが接続されたことによる被害を抑制する。
【解決手段】ゲートウェイ装置2は、正規の作業者が正規ツール16を接続可能なツール側バス10と、ECU25、26が接続されているECU側バス19とを切分けるようにが接続され、ECUをアクセス対象とする不正ツール31がECU側バス19に接続されたと判定すると、例えばアクセス対象にされているECUを起動状態から休止状態に移行させることで、不正ツール31とアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【解決手段】ゲートウェイ装置2は、正規の作業者が正規ツール16を接続可能なツール側バス10と、ECU25、26が接続されているECU側バス19とを切分けるようにが接続され、ECUをアクセス対象とする不正ツール31がECU側バス19に接続されたと判定すると、例えばアクセス対象にされているECUを起動状態から休止状態に移行させることで、不正ツール31とアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ECU(電子制御ユニット)が接続されているバスを監視するバス監視セキュリティ装置及びバス監視セキュリティシステムに関する。
【背景技術】
【0002】
従来より、バスに接続されている複数のECU(Electronic Control Unit、電子制御ユニット)の間でデータを送受信する(中継する)中継装置が供されている(例えば特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−166302号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、正規の作業者のみならず不特定多数の第三者がツール(操作機器)をバスに接続可能な構成では、悪意を持った第三者が不正ツールをバスに接続することで、バスに接続されているECUからデータを不正に読出したり、バスに接続されているECUの制御プログラムを不正に書換えたりする等の不正な操作を行うことが考えられる。このような事情から、不正ツールがバスに接続されたことに対する防御対策が望まれている。
【0005】
本発明は、上記した事情に鑑みてなされたものであり、その目的は、不正ツールがバスに接続された場合であっても、不正ツールが接続されたことによる被害を抑制することができるバス監視セキュリティ装置及びバス監視セキュリティシステムを提供することにある。
【課題を解決するための手段】
【0006】
請求項1に記載したバス監視セキュリティ装置によれば、ECU(電子制御ユニット)が接続されているECU側バスと、ECUと通信可能なツールを接続可能なツール接続端子が設けられているツール側バスとに切分けるようにバスに接続される。制御手段は、ECUをアクセス対象とするツールがECU側バスに接続されたか否かを判定し、ツールがECU側バスに接続されたと判定すると、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0007】
これにより、悪意を持った第三者がツールをECU側バスに接続したとしても、そのECU側バスに接続されたツールを不正ツールと判定し、そのECU側バスに接続されたツールである不正ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することで、不正ツールが接続されたことによる被害を抑制することができる。尚、ここでいうアクセス対象とは、ECUからデータを不正に読出したり(リード)、ECUの制御プログラムを不正に書換えたり(ライト)する等の不正な操作全般を目的として通信対象とすることを意味する。
【0008】
請求項2に記載したバス監視セキュリティ装置によれば、ECUは、起動状態では外部からデータ要求コマンドを受信してから所定時間内にデータ応答コマンドを外部へ送信することで通信を成立させ、外部からデータ要求コマンドを受信した後に起動状態から休止状態に移行した場合には所定時間内にデータ応答コマンドを外部へ送信しないように構成されている。制御手段は、ツールがECU側バスに接続されたと判定すると、アクセス対象にされているECUを起動状態から休止状態に移行させることで、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0009】
これにより、アクセス対象にされているECUを起動状態から休止状態に移行させることで、データ応答コマンドを所定時間内に送信しないようにすることができ、たとえアクセス対象にされているECUが休止状態から起動状態に移行して(復帰して)データ応答コマンドを送信したとしても、データ要求コマンドを受信してから所定時間以上が経過していれば、ECUへ送信されたデータ応答コマンドを不成立とする(無効とする)ことができ、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することができる。
【0010】
請求項3に記載したバス監視セキュリティ装置によれば、制御手段は、ツールがECU側バスに接続されたと判定すると、擬似データ応答コマンドをツールへ送信することで、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0011】
これにより、擬似データ応答コマンドをツールへ送信することで、ツールへの擬似データ応答コマンドと、アクセス対象にされているECUからツールへのデータ応答コマンドとによるデータの衝突を発生させることができ、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することができる。
【0012】
請求項4に記載したバス監視セキュリティ装置によれば、制御手段は、ツールがECU側バスに接続されたと判定すると、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータをアクセス対象にされているECUへ送信することで、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0013】
これにより、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータをアクセス対象にされているECUへ送信することで、エラー判定をECUにて行わせることができ、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することができる。
【0014】
請求項5に記載したバス監視セキュリティ装置によれば、制御手段は、ツールがECU側バスに接続されたと判定すると、ツールがECU側バスに接続されたことに関する情報を不正検出履歴として不正検出履歴記憶手段に記憶させる。これにより、例えばツールがECU側バスに接続された時刻や、アクセス対象にされたECUの種別等を記憶することができる。
【0015】
請求項6に記載したバス監視セキュリティ装置によれば、制御手段は、不正検出履歴記憶手段に記憶されている不正検出履歴を通知する。これにより、例えばツールがECU側バスに接続された時刻や、アクセス対象にされたECUの種別等を解析することで、有用な情報を得たり防御対策を講じたりすることができる。
【0016】
請求項7に記載したバス監視セキュリティシステムによれば、監視代行装置は、バス監視セキュリティ装置がバスから取外されたか否かを判定し、バス監視セキュリティ装置がバスから取外されたと判定すると、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0017】
これにより、悪意を持った第三者が単にツールをバスに接続するだけでなく、バス監視セキュリティ装置をバスから取外した上でツールをバスに接続することも想定されるが、悪意を持った第三者がバス監視セキュリティ装置をバスから取外した上でツールをバスに接続したとしても、バス監視セキュリティ装置に代わって監視代行装置がツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することで、ツールが接続されたことによる被害を抑制することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の第1の実施形態を示す機能ブロック図
【図2】ゲートウェイ装置が行う処理を示すフローチャート
【図3】不正ツールがECU側バスに接続された態様を示す図
【図4】ゲートウェイ装置が擬似データ応答コマンドを送信する態様を示す図
【図5】不正データを判定する態様を示す図
【図6】図5相当図
【図7】本発明の第2の実施形態を示す図1相当図
【図8】監視代行装置が行う処理を示すフローチャート
【図9】ゲートウェイ装置が取外された態様を示す図
【図10】図3相当図
【発明を実施するための形態】
【0019】
(第1の実施形態)
以下、本発明の第1の実施形態について、図1乃至図6を参照して説明する。図1は、バス監視セキュリティシステムの全体構成を概略的に示している。バス監視セキュリティシステム1において、ゲートウェイ装置2(バス監視セキュリティ装置に相当)は、CPU3と、ツール側バス送受信部4と、ECU(Electronic Control Unit、電子制御ユニット)側バス送受信部5とを備えている。CPU3はマイクロコンピュータにより構成されており、マイクロコンピュータが制御プログラムを実行する機能に応じて、制御部6(制御手段に相当)と、不正検出履歴記憶部7(不正検出履歴記憶手段に相当)と、ツール側バス制御部8と、ECU側バス制御部9とを備えている。
【0020】
制御部6は、不正検出履歴記憶部7、ツール側バス制御部8及びECU側バス制御部9の動作を制御し、詳しくは後述するが、ECUを攻撃対象(アクセス対象)とする不正ツールがECU側バスに接続されたか否かを判定し、不正ツールがECU側バスに接続されたと判定すると、不正ツールと攻撃対象にされているECUとの間でのデータの送受信を妨害する機能を有すると共に、不正ツールがECU側バスに接続されたことを不正検出履歴として不正検出履歴記憶部7に記憶させる機能を有する。尚、上記したアクセス対象とは、ECUからデータを不正に読出したり(リード)、ECUの制御プログラムを不正に書換えたり(ライト)する等の不正な操作全般を目的として通信対象とすることを意味する。
【0021】
ツール側バス制御部8は、ツール側バス送受信部4におけるデータ送受信動作を制御する。ツール側バス送受信部4は、ツール側バス10との間の通信インタフェースとしての機能を有し、ツール側バス10からCPU3へのデータの受信動作を行うデータ受信部11と、CPU3からツール側バス10へのデータの送信動作を行うデータ送信部12とを備えている。これらデータ受信部11及びデータ送信部12は、2つのチョークコイル13、14を有するコモンモードチョークコイル15を介してツール側バス10に接続されており、データをコモンモードチョークコイル15を介してツール側バス10との間で送受信する。
【0022】
ツール側バス10には、正規の作業者が正規ツール(正規操作機器)16をツール側バス10に対して接続する(装着する)ための例えばコネクタからなる接続端子17、18が設けられている。正規ツール16は、後述するECU側バスに接続されているECUからデータを正規に読出したり、ECU側バスに接続されているECUの制御プログラムを正規に書換えたりするための機器である。即ち、正規の作業者は、正規ツール16を接続端子17、18に接続し、正規ツール16を操作することで、データの読出対象とするECUからデータを正規に読出したり、制御プログラムの書換対象とするECUの制御プログラムを正規に書換えたりすることが可能である。
【0023】
ECU側バス制御部9は、ECU側バス送受信部5におけるデータ送受信動作を制御する。ECU側バス送受信部5は、ECU側バス19との間の通信インタフェースとしての機能を有し、ECU側バス19からCPU3へのデータの受信動作を行うデータ受信部20と、CPU3からECU側バス19へのデータの送信動作を行うデータ送信部21とを備えている。これらデータ受信部20及びデータ送信部21は、2つのチョークコイル22、23を有するコモンモードチョークコイル24を介してECU側バス19に接続されており、データをコモンモードチョークコイル24を介してECU側バス19との間で送受信する。
【0024】
ECU側バス19には、複数のECU25、26が接続されている。ECU25、26は、例えばエンジンの動作を制御するエンジンECU、ドアロック機構の動作を制御するドアロックECU、ナビゲーションの動作を制御するナビゲーションECU等の周知のECUである。ECU側バス19に接続されるECUの個数は3個以上であっても良いし、1個のみであっても良い。
【0025】
上記したように、ゲートウェイ装置2は、ツール側バス10との間の通信インタフェースを有するツール側バス送受信部4と、ECU側バス19との間の通信インタフェースを有するECU側バス送受信部5とを備えることで、正規の作業者が正規ツール16を接続可能なツール側バス10と、ECU25、26が接続されているECU側バス19とを切分ける(分断する)ように接続されている。
【0026】
そして、上記した構成では、正規ツール16がツール側バス10に接続され、データの読出対象又は制御プログラムの書換対象が例えばECU25であれば、正規ツール16から出力されたデータ(データ要求コマンド、書換プログラム等)は、ツール側バス10、コモンモードチョークコイル15、ツール側バス送受信部4のデータ受信部11、ツール側バス制御部8、制御部6、ECU側バス制御部9、ECU側バス送受信部5のデータ送信部21、コモンモードチョークコイル24、ECU側バス19を介してECU25に入力される。又、ECU25から出力されたデータ(データ応答コマンド、プログラム書換結果等)は、ECU側バス19、コモンモードチョークコイル24、ECU側バス送受信部5のデータ受信部20、ECU側バス制御部9、制御部6、ツール側バス制御部8、ツール側バス送受信部4のデータ送信部12、コモンモードチョークコイル15、ツール側バス10を介して正規ツール16に入力される。
【0027】
次に、上記した構成の作用について、図2乃至図6を参照して説明する。図2は、ゲートウェイ装置2のCPU3が行う処理をフローチャートにより示している。
CPU3は、バス監視処理を開始すると、ツール側バス制御部8とツール側バス送受信部4との間でデータの送受信を監視することで、ツール側バス10を監視し(ステップS1)、ECU側バス制御部9とECU側バス送受信部5との間でデータの送受信を監視することで、ECU側バス19を監視する(ステップS2)。CPU3は、ツール側バス10からツール側バス制御部8へのデータ受信が発生したと判定すると、又はECU側バス19からECU側バス制御部9へのデータ受信が発生したと判定すると(ステップS3にて「YES」)、ツール側バス10及びECU側バス19の双方からのデータ受信であるか否かを判定する(ステップS4)。
【0028】
ここで、正規の作業者が正規ツール16をツール側バス10に接続すると、上記したように、正規ツール16から出力されたデータがツール側バス制御部8を介して制御部6に入力されると共に、ECU25、26から出力されたデータがECU側バス制御部9を介して制御部6に入力されるので、ツール側バス10及びECU側バス19の双方からのデータ受信が発生する。即ち、CPU3は、ツール側バス10及びECU側バス19の双方からのデータ受信であると判定すると(ステップS4にて「YES」)、正規ツール16がツール側バス10に接続されたと判定し、バス監視処理を終了してリターンする。
【0029】
これに対して、図3に示すように、悪意を持った第三者が不正ツール(不正操作機器)31をECU側バス19に接続した場合を想定する。悪意を持った第三者が不正ツール31をECU側バス19に接続すると、不正ツール31から出力されたデータ(不正なデータ要求コマンド、不正な書換プログラム等)は、ECU側バス19を介して攻撃対象にされているECUに入力されると共に、コモンモードチョークコイル24、ECU側バス送受信部5のデータ受信部20、ECU側バス制御部9を介して制御部6に入力される。
【0030】
この場合、不正ツール31から出力されたデータがECU側バス制御部9を介して制御部6に入力されるが、正規ツール16がツール側バス10に接続された場合とは異なり、正規ツール16からデータが出力されることはないので、ツール側バス10からのデータ受信が発生することはなく、ECU側バス19のみからのデータ受信が発生する。即ち、CPU3は、ツール側バス10及びECU側バス19のうち何れか片方(ECU側バス19)のみからのデータ受信であると判定すると(ステップS4にて「NO」)、不正ツール31がECU側バス19に接続されたと判定する。換言すれば、CPU3は、ツール側バス10及びECU側バス19のうち何れか片方(ECU側バス19)のみからのデータ受信であると判定することで、バスに接続されたツールが不正ツール31であり、その不正ツール31がECU側バス19に接続されたと判定する。そして、CPU3は、不正ツール31がECU側バス19に接続されたことに対する防御対策を行う(ステップS5)。
【0031】
ここで、不正ツール31がECU側バス19に接続されたことに対する防御対策としては、以下の3つの方法がある。
(1)攻撃対象にされているECUを起動状態から休止状態に移行させる方法
(2)擬似データ応答コマンドを不正ツール31へ送信する方法
(3)仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信する方法
以下、これらの方法について順次説明する。
【0032】
(1)攻撃対象にされているECUを起動状態から休止状態に移行させる方法。
ECU25、26は、起動状態(ウェイクアップ状態)では外部からデータ要求コマンドを受信してから所定時間内にデータ応答コマンドを外部へ送信することで通信を成立させ、外部からデータ要求コマンドを受信した後に起動状態から休止状態(スリープ状態)に移行した場合には所定時間内にデータ応答コマンドを外部へ送信しないように構成されている。この方法では、上記したECU25、26の動作特性を利用し、CPU3は、攻撃対象にされているECUを起動状態から休止状態に移行させることで、不正ツール31と攻撃対象にされているECUとの間でのデータの送受信を妨害する(データの送受信を成立させなくする)。即ち、攻撃対象にされているECUは、起動状態から休止状態に移行することで、データ応答コマンドを送信しなくなり、又、たとえ休止状態から起動状態に移行して(復帰して)データ応答コマンドを送信したとしても、データ要求コマンドを受信してから所定時間以上が経過していれば、ECUへ送信されたデータ応答コマンドは不成立とされるので(無効とされるので)、不正ツール31と攻撃対象にされているECUとの間でデータの送受信が成立することはない。
【0033】
(2)擬似データ応答コマンドを不正ツール31へ送信する方法。
この方法では、図4に示すように、CPU3は、攻撃対象にされているECUが不正ツール31からデータ要求コマンドを受信したことに応じてデータ応答コマンドを不正ツール31へ送信する際に使用するID(識別子)を用い、そのIDを用いて擬似データ応答コマンドを不正ツール31へ送信する。ゲートウェイ装置2が擬似データ応答コマンドを不正ツール31へ送信することで、たとえ攻撃対象にされているECUがデータ応答コマンドを不正ツール31へ送信したとしても、ゲートウェイ装置2からの擬似データ応答コマンドと、攻撃対象にされているECUからのデータ応答コマンドとによるデータの衝突が発生するので、この場合も、不正ツール31と攻撃対象にされているECUとの間でデータの送受信が成立することはない。
【0034】
(3)仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信する方法。
この方法では、ECU25、26が仕様規定に準じたエラー判定を行う機能を利用するものであり、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信する。ゲートウェイ装置2が仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信することで、攻撃対象にされているECUがエラー判定を行い、通信エラーを特定するので、この場合も、不正ツール31と攻撃対象にされているECUとの間でデータの送受信が成立することはない。
【0035】
尚、CPU3は、上記した3つの方法のうち何れかを、例えば車両メーカ側による設定に応じて選択して行っても良いし、攻撃対象にされているECUの種別に応じて選択して行っても良いし、不正ツール31からのデータ要求コマンドの種別に応じて選択して行っても良い。即ち、例えば攻撃対象にされているECUが起動状態から休止状態に移行する機能を有しなければ、(2)又は(3)の方法を選択して行えば良いし、攻撃対象にされているECUがるエラー判定を行う機能を有しなければ、(1)又は(2)の方法を選択して行えば良い。
【0036】
そして、CPU3は、このようにして不正ツール31がECU側バス19に接続されたことに対する防御対策を行った後に、不正ツール31がECU側バス19に接続されたことに関する情報(不正ツール31がECU側バス19に接続された時刻や、攻撃対象にされたECUの種別等)を不正検出履歴として不正履歴検出記憶部7に記憶させ(ステップS6)、バス監視処理を終了してリターンする。尚、CPU3は、例えば正規の作業者が正規ツール16を接続した場合に、このようにして不正履歴検出記憶部7に記憶させた不正検出履歴を正規ツール16又はメータ装置やナビゲーションシステムの表示装置等に送信することで、不正検出履歴を正規の作業者等に通知する。
【0037】
又、ゲートウェイ装置2は、図5及び図6に示すように、不正データ判定テーブルを記憶領域に記憶しており、不正なデータであると特定し得る監視対象IDを不正データ判定テーブルに登録している。図5に示すように、不正ツール31がECU側バス19に接続され、不正ツール31からデータが送信されると、CPU3は、不正ツール31から受信したデータのID(図5では「740」)と、不正データ判定テーブルに登録されている監視対象IDとを照合し、不正ツール31から受信したデータのIDと監視対象IDとが合致すると判定することで、不正ツール31から受信したデータが不正なデータであると特定する。
【0038】
又、図6に示すように、リモート端末51がECU側バス19に接続され、リモート端末51からデータが送信されると、CPU3は、リモート端末51から受信したデータのID(図6では「770」)と、不正データ判定テーブルに登録されている監視対象IDとを照合し、リモート端末51から受信したデータのIDと監視対象IDとが合致しないと判定することで、リモート端末51から受信したデータが不正なデータでない(正規のデータである)と特定する。
【0039】
以上に説明したように第1の実施形態によれば、正規の作業者が正規ツール16を接続可能なツール側バス10と、ECU25、26が接続されているECU側バス19とを切分けるようにゲートウェイ装置2が接続され、ゲートウェイ装置2において、ECUを攻撃対象とする不正ツール31がECU側バス19に接続されたと判定すると、攻撃対象にされているECUを起動状態から休止状態に移行させたり、擬似データ応答コマンドを不正ツール31へ送信したり、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信したりすることで、不正ツール31と攻撃対象にされているECUとの間でのデータの送受信を妨害するようにしたので、不正ツール31が接続されたことによる被害を抑制することができる。
【0040】
(第2の実施形態)
次に、本発明の第2の実施形態について、図7乃至図10を参照して説明する。尚、上記した第1の実施形態と同一部分については説明を省略し、異なる部分について説明する。第2の実施形態は、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外されることを考慮し、ゲートウェイ装置2が取外された場合に、その取外されたゲートウェイ装置2に代わって不正ツール31と攻撃対象にされているECUとの間でのデータの送受信を妨害する監視代行装置が設けられている。
【0041】
即ち、バス監視セキュリティシステム41において、ゲートウェイ装置2には監視代行装置42が接続されており、監視代行装置42は、ECU側バス19に接続されている。ゲートウェイ装置2は、ツール側バス10及びECU側バス19に接続されている状態では接続維持信号を監視代行装置42へ定期的に出力し、監視代行装置42は、ゲートウェイ装置2から出力される接続維持信号を入力しているか否かを判定することで、ゲートウェイ装置2がツール側バス10及びECU側バス19に接続されているか否かを判定する機能を有する。
【0042】
次に、上記した構成の作用について、図8乃至図10を参照して説明する。図8は、監視代行装置42が行う処理をフローチャートにより示している。
監視代行装置42は、バス監視処理を開始すると、ゲートウェイ装置2から出力される接続維持信号を入力しているか否かを監視し、ゲートウェイ装置2が接続されているか否かを監視する(ステップS11)。監視代行装置42は、ゲートウェイ装置2から出力される接続維持信号を入力していると判定すると、ゲートウェイ装置2が接続されている(ツール側バス10及びECU側バス19から取外されていない)と判定し(ステップS12にて「NO」)、バス監視処理を終了してリターンする。
【0043】
これに対して、図9に示すように、悪意を持った第三者がゲートウェイ装置2をツール側バス10及びECU側バス19から取外した場合を想定する。悪意を持った第三者がゲートウェイ装置2をツール側バス10及びECU側バス19から取外すと、第1実施形態で説明したゲートウェイ装置2による防御対策を行うことは不可能である。
【0044】
この場合、監視代行装置42は、接続維持信号を定期的に出力するゲートウェイ装置2が取外されたことで、ゲートウェイ装置2から定期的に出力される接続維持信号を定期的に入力しなくなったと判定すると、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外されたと判定し(ステップS12にて「YES」)、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外されたことに関する情報(ゲートウェイ装置2が取外された時刻等)を取外検出履歴として記憶する(ステップS13)。そして、監視代行装置42は、ECU側バス19を監視する(ステップS14)。
【0045】
ここで、図10に示すように、悪意を持った第三者がゲートウェイ装置2をツール側バス10及びECU側バス19から取外したことに続いて不正ツール31をECU側バス19に接続した場合を想定する。悪意を持った第三者が不正ツール31をECU側バス19に接続すると、不正ツール31から出力されたデータ(不正なデータ要求コマンド、不正な書換プログラム等)は、ECU側バス19を介して攻撃対象にされているECUに入力されると共に、監視代行装置42に入力される。
【0046】
監視代行装置42は、ECU側バス19からのデータ受信が発生したと判定すると(ステップS15にて「YES」)、不正ツール31がECU側バス19に接続されたと判定し、不正ツール31がECU側バス19に接続されたことに対する防御対策を行う(ステップS16)。即ち、監視代行装置42は、第1の実施形態で説明したゲートウェイ装置2が(1)乃至(3)の何れかを防御対策として行うのと同様にして、防御対策を行う。
【0047】
そして、監視代行装置42は、この場合も、このようにして不正ツール31がECU側バス19に接続されたことに対する防御対策を行った後に、不正ツール31がECU側バス19に接続されたことに関する情報(不正ツール31がECU側バス19に接続された時刻や、攻撃対象にされたECUの種別等)を不正検出履歴として記憶し(ステップS17)、バス監視処理を終了してリターンする。尚、監視代行装置42は、例えば正規の作業者が正規ツール16を接続した場合に、このようにして記憶した不正検出履歴を正規ツール16又はメータ装置やナビゲーションシステムの表示装置等に送信することで、不正検出履歴を正規の作業者等に通知する。
【0048】
以上に説明したように第2の実施形態によれば、ゲートウェイ装置2に接続される監視代行装置42において、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外されたと判定し、ECUを攻撃対象とする不正ツール31がECU側バス19に接続されたと判定すると、ゲートウェイ装置2に代わって不正ツール31と攻撃対象にされているECUとの間でのデータの送受信を妨害するようにしたので、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外された上で不正ツール31が接続されたとしても、不正ツール31が接続されたことによる被害を抑制することができる。
【0049】
(その他の実施形態)
本発明は、上記した実施形態にのみ限定されるものではなく、以下のように変形又は拡張することができる。
不正なデータであると特定し得る監視対象IDを不正データ判定テーブルに登録する構成を説明したが、不正なデータでない(正規のデータである)と特定し得る監視対象外IDを不正データ判定テーブルに登録し、リモート端末51から受信したデータのIDと監視対象外IDとが合致すると判定することで、リモート端末51から受信したデータが不正なデータでないと特定する構成であっても良い。
【0050】
第2の実施形態において、監視代行装置42が、ゲートウェイ装置2から定期的に出力される接続維持信号を入力しているか否かを判定することで、ゲートウェイ装置2がツール側バス10及びECU側バス19に接続されているか否かを判定する構成を説明したが、確認要求信号をゲートウェイ装置2へ定期的に出力し、ゲートウェイ装置2から確認要求信号に対する応答である確認応答信号を入力しているか否かを判定することで、ゲートウェイ装置2がツール側バス10及びECU側バス19に接続されているか否かを判定する構成であっても良い。
【符号の説明】
【0051】
図面中、1はバス監視セキュリティシステム、2はゲートウェイ装置(バス監視セキュリティ装置)、6は制御部(制御手段)、7は不正検出履歴記憶部(不正検出履歴記憶手段)、10はツール側バス、16は正規ツール(ツール)、17、18は接続端子、19はECU側バス、25、26はECU、31は不正ツール(ツール)、41はバス監視セキュリティシステム、42は監視代行装置である。
【技術分野】
【0001】
本発明は、ECU(電子制御ユニット)が接続されているバスを監視するバス監視セキュリティ装置及びバス監視セキュリティシステムに関する。
【背景技術】
【0002】
従来より、バスに接続されている複数のECU(Electronic Control Unit、電子制御ユニット)の間でデータを送受信する(中継する)中継装置が供されている(例えば特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−166302号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、正規の作業者のみならず不特定多数の第三者がツール(操作機器)をバスに接続可能な構成では、悪意を持った第三者が不正ツールをバスに接続することで、バスに接続されているECUからデータを不正に読出したり、バスに接続されているECUの制御プログラムを不正に書換えたりする等の不正な操作を行うことが考えられる。このような事情から、不正ツールがバスに接続されたことに対する防御対策が望まれている。
【0005】
本発明は、上記した事情に鑑みてなされたものであり、その目的は、不正ツールがバスに接続された場合であっても、不正ツールが接続されたことによる被害を抑制することができるバス監視セキュリティ装置及びバス監視セキュリティシステムを提供することにある。
【課題を解決するための手段】
【0006】
請求項1に記載したバス監視セキュリティ装置によれば、ECU(電子制御ユニット)が接続されているECU側バスと、ECUと通信可能なツールを接続可能なツール接続端子が設けられているツール側バスとに切分けるようにバスに接続される。制御手段は、ECUをアクセス対象とするツールがECU側バスに接続されたか否かを判定し、ツールがECU側バスに接続されたと判定すると、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0007】
これにより、悪意を持った第三者がツールをECU側バスに接続したとしても、そのECU側バスに接続されたツールを不正ツールと判定し、そのECU側バスに接続されたツールである不正ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することで、不正ツールが接続されたことによる被害を抑制することができる。尚、ここでいうアクセス対象とは、ECUからデータを不正に読出したり(リード)、ECUの制御プログラムを不正に書換えたり(ライト)する等の不正な操作全般を目的として通信対象とすることを意味する。
【0008】
請求項2に記載したバス監視セキュリティ装置によれば、ECUは、起動状態では外部からデータ要求コマンドを受信してから所定時間内にデータ応答コマンドを外部へ送信することで通信を成立させ、外部からデータ要求コマンドを受信した後に起動状態から休止状態に移行した場合には所定時間内にデータ応答コマンドを外部へ送信しないように構成されている。制御手段は、ツールがECU側バスに接続されたと判定すると、アクセス対象にされているECUを起動状態から休止状態に移行させることで、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0009】
これにより、アクセス対象にされているECUを起動状態から休止状態に移行させることで、データ応答コマンドを所定時間内に送信しないようにすることができ、たとえアクセス対象にされているECUが休止状態から起動状態に移行して(復帰して)データ応答コマンドを送信したとしても、データ要求コマンドを受信してから所定時間以上が経過していれば、ECUへ送信されたデータ応答コマンドを不成立とする(無効とする)ことができ、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することができる。
【0010】
請求項3に記載したバス監視セキュリティ装置によれば、制御手段は、ツールがECU側バスに接続されたと判定すると、擬似データ応答コマンドをツールへ送信することで、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0011】
これにより、擬似データ応答コマンドをツールへ送信することで、ツールへの擬似データ応答コマンドと、アクセス対象にされているECUからツールへのデータ応答コマンドとによるデータの衝突を発生させることができ、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することができる。
【0012】
請求項4に記載したバス監視セキュリティ装置によれば、制御手段は、ツールがECU側バスに接続されたと判定すると、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータをアクセス対象にされているECUへ送信することで、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0013】
これにより、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータをアクセス対象にされているECUへ送信することで、エラー判定をECUにて行わせることができ、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することができる。
【0014】
請求項5に記載したバス監視セキュリティ装置によれば、制御手段は、ツールがECU側バスに接続されたと判定すると、ツールがECU側バスに接続されたことに関する情報を不正検出履歴として不正検出履歴記憶手段に記憶させる。これにより、例えばツールがECU側バスに接続された時刻や、アクセス対象にされたECUの種別等を記憶することができる。
【0015】
請求項6に記載したバス監視セキュリティ装置によれば、制御手段は、不正検出履歴記憶手段に記憶されている不正検出履歴を通知する。これにより、例えばツールがECU側バスに接続された時刻や、アクセス対象にされたECUの種別等を解析することで、有用な情報を得たり防御対策を講じたりすることができる。
【0016】
請求項7に記載したバス監視セキュリティシステムによれば、監視代行装置は、バス監視セキュリティ装置がバスから取外されたか否かを判定し、バス監視セキュリティ装置がバスから取外されたと判定すると、ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害する。
【0017】
これにより、悪意を持った第三者が単にツールをバスに接続するだけでなく、バス監視セキュリティ装置をバスから取外した上でツールをバスに接続することも想定されるが、悪意を持った第三者がバス監視セキュリティ装置をバスから取外した上でツールをバスに接続したとしても、バス監視セキュリティ装置に代わって監視代行装置がツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することで、ツールが接続されたことによる被害を抑制することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の第1の実施形態を示す機能ブロック図
【図2】ゲートウェイ装置が行う処理を示すフローチャート
【図3】不正ツールがECU側バスに接続された態様を示す図
【図4】ゲートウェイ装置が擬似データ応答コマンドを送信する態様を示す図
【図5】不正データを判定する態様を示す図
【図6】図5相当図
【図7】本発明の第2の実施形態を示す図1相当図
【図8】監視代行装置が行う処理を示すフローチャート
【図9】ゲートウェイ装置が取外された態様を示す図
【図10】図3相当図
【発明を実施するための形態】
【0019】
(第1の実施形態)
以下、本発明の第1の実施形態について、図1乃至図6を参照して説明する。図1は、バス監視セキュリティシステムの全体構成を概略的に示している。バス監視セキュリティシステム1において、ゲートウェイ装置2(バス監視セキュリティ装置に相当)は、CPU3と、ツール側バス送受信部4と、ECU(Electronic Control Unit、電子制御ユニット)側バス送受信部5とを備えている。CPU3はマイクロコンピュータにより構成されており、マイクロコンピュータが制御プログラムを実行する機能に応じて、制御部6(制御手段に相当)と、不正検出履歴記憶部7(不正検出履歴記憶手段に相当)と、ツール側バス制御部8と、ECU側バス制御部9とを備えている。
【0020】
制御部6は、不正検出履歴記憶部7、ツール側バス制御部8及びECU側バス制御部9の動作を制御し、詳しくは後述するが、ECUを攻撃対象(アクセス対象)とする不正ツールがECU側バスに接続されたか否かを判定し、不正ツールがECU側バスに接続されたと判定すると、不正ツールと攻撃対象にされているECUとの間でのデータの送受信を妨害する機能を有すると共に、不正ツールがECU側バスに接続されたことを不正検出履歴として不正検出履歴記憶部7に記憶させる機能を有する。尚、上記したアクセス対象とは、ECUからデータを不正に読出したり(リード)、ECUの制御プログラムを不正に書換えたり(ライト)する等の不正な操作全般を目的として通信対象とすることを意味する。
【0021】
ツール側バス制御部8は、ツール側バス送受信部4におけるデータ送受信動作を制御する。ツール側バス送受信部4は、ツール側バス10との間の通信インタフェースとしての機能を有し、ツール側バス10からCPU3へのデータの受信動作を行うデータ受信部11と、CPU3からツール側バス10へのデータの送信動作を行うデータ送信部12とを備えている。これらデータ受信部11及びデータ送信部12は、2つのチョークコイル13、14を有するコモンモードチョークコイル15を介してツール側バス10に接続されており、データをコモンモードチョークコイル15を介してツール側バス10との間で送受信する。
【0022】
ツール側バス10には、正規の作業者が正規ツール(正規操作機器)16をツール側バス10に対して接続する(装着する)ための例えばコネクタからなる接続端子17、18が設けられている。正規ツール16は、後述するECU側バスに接続されているECUからデータを正規に読出したり、ECU側バスに接続されているECUの制御プログラムを正規に書換えたりするための機器である。即ち、正規の作業者は、正規ツール16を接続端子17、18に接続し、正規ツール16を操作することで、データの読出対象とするECUからデータを正規に読出したり、制御プログラムの書換対象とするECUの制御プログラムを正規に書換えたりすることが可能である。
【0023】
ECU側バス制御部9は、ECU側バス送受信部5におけるデータ送受信動作を制御する。ECU側バス送受信部5は、ECU側バス19との間の通信インタフェースとしての機能を有し、ECU側バス19からCPU3へのデータの受信動作を行うデータ受信部20と、CPU3からECU側バス19へのデータの送信動作を行うデータ送信部21とを備えている。これらデータ受信部20及びデータ送信部21は、2つのチョークコイル22、23を有するコモンモードチョークコイル24を介してECU側バス19に接続されており、データをコモンモードチョークコイル24を介してECU側バス19との間で送受信する。
【0024】
ECU側バス19には、複数のECU25、26が接続されている。ECU25、26は、例えばエンジンの動作を制御するエンジンECU、ドアロック機構の動作を制御するドアロックECU、ナビゲーションの動作を制御するナビゲーションECU等の周知のECUである。ECU側バス19に接続されるECUの個数は3個以上であっても良いし、1個のみであっても良い。
【0025】
上記したように、ゲートウェイ装置2は、ツール側バス10との間の通信インタフェースを有するツール側バス送受信部4と、ECU側バス19との間の通信インタフェースを有するECU側バス送受信部5とを備えることで、正規の作業者が正規ツール16を接続可能なツール側バス10と、ECU25、26が接続されているECU側バス19とを切分ける(分断する)ように接続されている。
【0026】
そして、上記した構成では、正規ツール16がツール側バス10に接続され、データの読出対象又は制御プログラムの書換対象が例えばECU25であれば、正規ツール16から出力されたデータ(データ要求コマンド、書換プログラム等)は、ツール側バス10、コモンモードチョークコイル15、ツール側バス送受信部4のデータ受信部11、ツール側バス制御部8、制御部6、ECU側バス制御部9、ECU側バス送受信部5のデータ送信部21、コモンモードチョークコイル24、ECU側バス19を介してECU25に入力される。又、ECU25から出力されたデータ(データ応答コマンド、プログラム書換結果等)は、ECU側バス19、コモンモードチョークコイル24、ECU側バス送受信部5のデータ受信部20、ECU側バス制御部9、制御部6、ツール側バス制御部8、ツール側バス送受信部4のデータ送信部12、コモンモードチョークコイル15、ツール側バス10を介して正規ツール16に入力される。
【0027】
次に、上記した構成の作用について、図2乃至図6を参照して説明する。図2は、ゲートウェイ装置2のCPU3が行う処理をフローチャートにより示している。
CPU3は、バス監視処理を開始すると、ツール側バス制御部8とツール側バス送受信部4との間でデータの送受信を監視することで、ツール側バス10を監視し(ステップS1)、ECU側バス制御部9とECU側バス送受信部5との間でデータの送受信を監視することで、ECU側バス19を監視する(ステップS2)。CPU3は、ツール側バス10からツール側バス制御部8へのデータ受信が発生したと判定すると、又はECU側バス19からECU側バス制御部9へのデータ受信が発生したと判定すると(ステップS3にて「YES」)、ツール側バス10及びECU側バス19の双方からのデータ受信であるか否かを判定する(ステップS4)。
【0028】
ここで、正規の作業者が正規ツール16をツール側バス10に接続すると、上記したように、正規ツール16から出力されたデータがツール側バス制御部8を介して制御部6に入力されると共に、ECU25、26から出力されたデータがECU側バス制御部9を介して制御部6に入力されるので、ツール側バス10及びECU側バス19の双方からのデータ受信が発生する。即ち、CPU3は、ツール側バス10及びECU側バス19の双方からのデータ受信であると判定すると(ステップS4にて「YES」)、正規ツール16がツール側バス10に接続されたと判定し、バス監視処理を終了してリターンする。
【0029】
これに対して、図3に示すように、悪意を持った第三者が不正ツール(不正操作機器)31をECU側バス19に接続した場合を想定する。悪意を持った第三者が不正ツール31をECU側バス19に接続すると、不正ツール31から出力されたデータ(不正なデータ要求コマンド、不正な書換プログラム等)は、ECU側バス19を介して攻撃対象にされているECUに入力されると共に、コモンモードチョークコイル24、ECU側バス送受信部5のデータ受信部20、ECU側バス制御部9を介して制御部6に入力される。
【0030】
この場合、不正ツール31から出力されたデータがECU側バス制御部9を介して制御部6に入力されるが、正規ツール16がツール側バス10に接続された場合とは異なり、正規ツール16からデータが出力されることはないので、ツール側バス10からのデータ受信が発生することはなく、ECU側バス19のみからのデータ受信が発生する。即ち、CPU3は、ツール側バス10及びECU側バス19のうち何れか片方(ECU側バス19)のみからのデータ受信であると判定すると(ステップS4にて「NO」)、不正ツール31がECU側バス19に接続されたと判定する。換言すれば、CPU3は、ツール側バス10及びECU側バス19のうち何れか片方(ECU側バス19)のみからのデータ受信であると判定することで、バスに接続されたツールが不正ツール31であり、その不正ツール31がECU側バス19に接続されたと判定する。そして、CPU3は、不正ツール31がECU側バス19に接続されたことに対する防御対策を行う(ステップS5)。
【0031】
ここで、不正ツール31がECU側バス19に接続されたことに対する防御対策としては、以下の3つの方法がある。
(1)攻撃対象にされているECUを起動状態から休止状態に移行させる方法
(2)擬似データ応答コマンドを不正ツール31へ送信する方法
(3)仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信する方法
以下、これらの方法について順次説明する。
【0032】
(1)攻撃対象にされているECUを起動状態から休止状態に移行させる方法。
ECU25、26は、起動状態(ウェイクアップ状態)では外部からデータ要求コマンドを受信してから所定時間内にデータ応答コマンドを外部へ送信することで通信を成立させ、外部からデータ要求コマンドを受信した後に起動状態から休止状態(スリープ状態)に移行した場合には所定時間内にデータ応答コマンドを外部へ送信しないように構成されている。この方法では、上記したECU25、26の動作特性を利用し、CPU3は、攻撃対象にされているECUを起動状態から休止状態に移行させることで、不正ツール31と攻撃対象にされているECUとの間でのデータの送受信を妨害する(データの送受信を成立させなくする)。即ち、攻撃対象にされているECUは、起動状態から休止状態に移行することで、データ応答コマンドを送信しなくなり、又、たとえ休止状態から起動状態に移行して(復帰して)データ応答コマンドを送信したとしても、データ要求コマンドを受信してから所定時間以上が経過していれば、ECUへ送信されたデータ応答コマンドは不成立とされるので(無効とされるので)、不正ツール31と攻撃対象にされているECUとの間でデータの送受信が成立することはない。
【0033】
(2)擬似データ応答コマンドを不正ツール31へ送信する方法。
この方法では、図4に示すように、CPU3は、攻撃対象にされているECUが不正ツール31からデータ要求コマンドを受信したことに応じてデータ応答コマンドを不正ツール31へ送信する際に使用するID(識別子)を用い、そのIDを用いて擬似データ応答コマンドを不正ツール31へ送信する。ゲートウェイ装置2が擬似データ応答コマンドを不正ツール31へ送信することで、たとえ攻撃対象にされているECUがデータ応答コマンドを不正ツール31へ送信したとしても、ゲートウェイ装置2からの擬似データ応答コマンドと、攻撃対象にされているECUからのデータ応答コマンドとによるデータの衝突が発生するので、この場合も、不正ツール31と攻撃対象にされているECUとの間でデータの送受信が成立することはない。
【0034】
(3)仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信する方法。
この方法では、ECU25、26が仕様規定に準じたエラー判定を行う機能を利用するものであり、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信する。ゲートウェイ装置2が仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信することで、攻撃対象にされているECUがエラー判定を行い、通信エラーを特定するので、この場合も、不正ツール31と攻撃対象にされているECUとの間でデータの送受信が成立することはない。
【0035】
尚、CPU3は、上記した3つの方法のうち何れかを、例えば車両メーカ側による設定に応じて選択して行っても良いし、攻撃対象にされているECUの種別に応じて選択して行っても良いし、不正ツール31からのデータ要求コマンドの種別に応じて選択して行っても良い。即ち、例えば攻撃対象にされているECUが起動状態から休止状態に移行する機能を有しなければ、(2)又は(3)の方法を選択して行えば良いし、攻撃対象にされているECUがるエラー判定を行う機能を有しなければ、(1)又は(2)の方法を選択して行えば良い。
【0036】
そして、CPU3は、このようにして不正ツール31がECU側バス19に接続されたことに対する防御対策を行った後に、不正ツール31がECU側バス19に接続されたことに関する情報(不正ツール31がECU側バス19に接続された時刻や、攻撃対象にされたECUの種別等)を不正検出履歴として不正履歴検出記憶部7に記憶させ(ステップS6)、バス監視処理を終了してリターンする。尚、CPU3は、例えば正規の作業者が正規ツール16を接続した場合に、このようにして不正履歴検出記憶部7に記憶させた不正検出履歴を正規ツール16又はメータ装置やナビゲーションシステムの表示装置等に送信することで、不正検出履歴を正規の作業者等に通知する。
【0037】
又、ゲートウェイ装置2は、図5及び図6に示すように、不正データ判定テーブルを記憶領域に記憶しており、不正なデータであると特定し得る監視対象IDを不正データ判定テーブルに登録している。図5に示すように、不正ツール31がECU側バス19に接続され、不正ツール31からデータが送信されると、CPU3は、不正ツール31から受信したデータのID(図5では「740」)と、不正データ判定テーブルに登録されている監視対象IDとを照合し、不正ツール31から受信したデータのIDと監視対象IDとが合致すると判定することで、不正ツール31から受信したデータが不正なデータであると特定する。
【0038】
又、図6に示すように、リモート端末51がECU側バス19に接続され、リモート端末51からデータが送信されると、CPU3は、リモート端末51から受信したデータのID(図6では「770」)と、不正データ判定テーブルに登録されている監視対象IDとを照合し、リモート端末51から受信したデータのIDと監視対象IDとが合致しないと判定することで、リモート端末51から受信したデータが不正なデータでない(正規のデータである)と特定する。
【0039】
以上に説明したように第1の実施形態によれば、正規の作業者が正規ツール16を接続可能なツール側バス10と、ECU25、26が接続されているECU側バス19とを切分けるようにゲートウェイ装置2が接続され、ゲートウェイ装置2において、ECUを攻撃対象とする不正ツール31がECU側バス19に接続されたと判定すると、攻撃対象にされているECUを起動状態から休止状態に移行させたり、擬似データ応答コマンドを不正ツール31へ送信したり、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータを攻撃対象にされているECUへ送信したりすることで、不正ツール31と攻撃対象にされているECUとの間でのデータの送受信を妨害するようにしたので、不正ツール31が接続されたことによる被害を抑制することができる。
【0040】
(第2の実施形態)
次に、本発明の第2の実施形態について、図7乃至図10を参照して説明する。尚、上記した第1の実施形態と同一部分については説明を省略し、異なる部分について説明する。第2の実施形態は、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外されることを考慮し、ゲートウェイ装置2が取外された場合に、その取外されたゲートウェイ装置2に代わって不正ツール31と攻撃対象にされているECUとの間でのデータの送受信を妨害する監視代行装置が設けられている。
【0041】
即ち、バス監視セキュリティシステム41において、ゲートウェイ装置2には監視代行装置42が接続されており、監視代行装置42は、ECU側バス19に接続されている。ゲートウェイ装置2は、ツール側バス10及びECU側バス19に接続されている状態では接続維持信号を監視代行装置42へ定期的に出力し、監視代行装置42は、ゲートウェイ装置2から出力される接続維持信号を入力しているか否かを判定することで、ゲートウェイ装置2がツール側バス10及びECU側バス19に接続されているか否かを判定する機能を有する。
【0042】
次に、上記した構成の作用について、図8乃至図10を参照して説明する。図8は、監視代行装置42が行う処理をフローチャートにより示している。
監視代行装置42は、バス監視処理を開始すると、ゲートウェイ装置2から出力される接続維持信号を入力しているか否かを監視し、ゲートウェイ装置2が接続されているか否かを監視する(ステップS11)。監視代行装置42は、ゲートウェイ装置2から出力される接続維持信号を入力していると判定すると、ゲートウェイ装置2が接続されている(ツール側バス10及びECU側バス19から取外されていない)と判定し(ステップS12にて「NO」)、バス監視処理を終了してリターンする。
【0043】
これに対して、図9に示すように、悪意を持った第三者がゲートウェイ装置2をツール側バス10及びECU側バス19から取外した場合を想定する。悪意を持った第三者がゲートウェイ装置2をツール側バス10及びECU側バス19から取外すと、第1実施形態で説明したゲートウェイ装置2による防御対策を行うことは不可能である。
【0044】
この場合、監視代行装置42は、接続維持信号を定期的に出力するゲートウェイ装置2が取外されたことで、ゲートウェイ装置2から定期的に出力される接続維持信号を定期的に入力しなくなったと判定すると、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外されたと判定し(ステップS12にて「YES」)、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外されたことに関する情報(ゲートウェイ装置2が取外された時刻等)を取外検出履歴として記憶する(ステップS13)。そして、監視代行装置42は、ECU側バス19を監視する(ステップS14)。
【0045】
ここで、図10に示すように、悪意を持った第三者がゲートウェイ装置2をツール側バス10及びECU側バス19から取外したことに続いて不正ツール31をECU側バス19に接続した場合を想定する。悪意を持った第三者が不正ツール31をECU側バス19に接続すると、不正ツール31から出力されたデータ(不正なデータ要求コマンド、不正な書換プログラム等)は、ECU側バス19を介して攻撃対象にされているECUに入力されると共に、監視代行装置42に入力される。
【0046】
監視代行装置42は、ECU側バス19からのデータ受信が発生したと判定すると(ステップS15にて「YES」)、不正ツール31がECU側バス19に接続されたと判定し、不正ツール31がECU側バス19に接続されたことに対する防御対策を行う(ステップS16)。即ち、監視代行装置42は、第1の実施形態で説明したゲートウェイ装置2が(1)乃至(3)の何れかを防御対策として行うのと同様にして、防御対策を行う。
【0047】
そして、監視代行装置42は、この場合も、このようにして不正ツール31がECU側バス19に接続されたことに対する防御対策を行った後に、不正ツール31がECU側バス19に接続されたことに関する情報(不正ツール31がECU側バス19に接続された時刻や、攻撃対象にされたECUの種別等)を不正検出履歴として記憶し(ステップS17)、バス監視処理を終了してリターンする。尚、監視代行装置42は、例えば正規の作業者が正規ツール16を接続した場合に、このようにして記憶した不正検出履歴を正規ツール16又はメータ装置やナビゲーションシステムの表示装置等に送信することで、不正検出履歴を正規の作業者等に通知する。
【0048】
以上に説明したように第2の実施形態によれば、ゲートウェイ装置2に接続される監視代行装置42において、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外されたと判定し、ECUを攻撃対象とする不正ツール31がECU側バス19に接続されたと判定すると、ゲートウェイ装置2に代わって不正ツール31と攻撃対象にされているECUとの間でのデータの送受信を妨害するようにしたので、ゲートウェイ装置2がツール側バス10及びECU側バス19から取外された上で不正ツール31が接続されたとしても、不正ツール31が接続されたことによる被害を抑制することができる。
【0049】
(その他の実施形態)
本発明は、上記した実施形態にのみ限定されるものではなく、以下のように変形又は拡張することができる。
不正なデータであると特定し得る監視対象IDを不正データ判定テーブルに登録する構成を説明したが、不正なデータでない(正規のデータである)と特定し得る監視対象外IDを不正データ判定テーブルに登録し、リモート端末51から受信したデータのIDと監視対象外IDとが合致すると判定することで、リモート端末51から受信したデータが不正なデータでないと特定する構成であっても良い。
【0050】
第2の実施形態において、監視代行装置42が、ゲートウェイ装置2から定期的に出力される接続維持信号を入力しているか否かを判定することで、ゲートウェイ装置2がツール側バス10及びECU側バス19に接続されているか否かを判定する構成を説明したが、確認要求信号をゲートウェイ装置2へ定期的に出力し、ゲートウェイ装置2から確認要求信号に対する応答である確認応答信号を入力しているか否かを判定することで、ゲートウェイ装置2がツール側バス10及びECU側バス19に接続されているか否かを判定する構成であっても良い。
【符号の説明】
【0051】
図面中、1はバス監視セキュリティシステム、2はゲートウェイ装置(バス監視セキュリティ装置)、6は制御部(制御手段)、7は不正検出履歴記憶部(不正検出履歴記憶手段)、10はツール側バス、16は正規ツール(ツール)、17、18は接続端子、19はECU側バス、25、26はECU、31は不正ツール(ツール)、41はバス監視セキュリティシステム、42は監視代行装置である。
【特許請求の範囲】
【請求項1】
ECU(電子制御ユニット)が接続されていると共に前記ECUと通信可能なツールを接続可能なツール接続端子が設けられているバスを、前記ECUが接続されているECU側バスと前記ツール接続端子が接続されているツール側バスとに切分けるように前記バスに接続され、
前記ECUをアクセス対象とするツールが前記ECU側バスに接続されたか否かを判定し、前記ツールが前記ECU側バスに接続されたと判定した場合に、前記ツールと前記アクセス対象にされているECUとの間でのデータの送受信を妨害する制御手段を備えたことを特徴とするバス監視セキュリティ装置。
【請求項2】
請求項1に記載したバス監視セキュリティ装置において、
前記ECUは、起動状態では外部からデータ要求コマンドを受信してから所定時間内にデータ応答コマンドを外部へ送信することで通信を成立させ、外部からデータ要求コマンドを受信した後に起動状態から休止状態に移行した場合には所定時間内にデータ応答コマンドを外部へ送信しないように構成されており、
前記制御手段は、前記ツールが前記ECU側バスに接続されたと判定した場合に、前記アクセス対象にされているECUを起動状態から休止状態に移行させることで、前記ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することを特徴とするバス監視セキュリティ装置。
【請求項3】
請求項1又は2に記載したバス監視セキュリティ装置において、
前記制御手段は、前記ツールが前記ECU側バスに接続されたと判定した場合に、擬似データ応答コマンドを前記ツールへ送信することで、前記ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することを特徴とするバス監視セキュリティ装置。
【請求項4】
請求項1乃至3の何れかに記載したバス監視セキュリティ装置において、
前記制御手段は、前記ツールが前記ECU側バスに接続されたと判定した場合に、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータをアクセス対象にされているECUへ送信することで、前記ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することを特徴とするバス監視セキュリティ装置。
【請求項5】
請求項1乃至4の何れかに記載したバス監視セキュリティ装置において、
前記制御手段は、前記ツールが前記ECU側バスに接続されたと判定した場合に、前記ツールが前記ECU側バスに接続されたことに関する情報を不正検出履歴として不正検出履歴記憶手段に記憶させることを特徴とするバス監視セキュリティ装置。
【請求項6】
請求項5に記載したバス監視セキュリティ装置において、
前記制御手段は、前記不正検出履歴記憶手段に記憶されている不正検出履歴を通知することを特徴とするバス監視セキュリティ装置。
【請求項7】
請求項1乃至6の何れかに記載したバス監視セキュリティ装置と、
前記バス監視セキュリティ装置が前記バスから取外されたか否かを判定し、前記バス監視セキュリティ装置が前記バスから取外されたと判定した場合に、前記ツールと前記アクセス対象にされているECUとの間でのデータの送受信を妨害する監視代行装置と、を備えたことを特徴とするバス監視セキュリティシステム。
【請求項1】
ECU(電子制御ユニット)が接続されていると共に前記ECUと通信可能なツールを接続可能なツール接続端子が設けられているバスを、前記ECUが接続されているECU側バスと前記ツール接続端子が接続されているツール側バスとに切分けるように前記バスに接続され、
前記ECUをアクセス対象とするツールが前記ECU側バスに接続されたか否かを判定し、前記ツールが前記ECU側バスに接続されたと判定した場合に、前記ツールと前記アクセス対象にされているECUとの間でのデータの送受信を妨害する制御手段を備えたことを特徴とするバス監視セキュリティ装置。
【請求項2】
請求項1に記載したバス監視セキュリティ装置において、
前記ECUは、起動状態では外部からデータ要求コマンドを受信してから所定時間内にデータ応答コマンドを外部へ送信することで通信を成立させ、外部からデータ要求コマンドを受信した後に起動状態から休止状態に移行した場合には所定時間内にデータ応答コマンドを外部へ送信しないように構成されており、
前記制御手段は、前記ツールが前記ECU側バスに接続されたと判定した場合に、前記アクセス対象にされているECUを起動状態から休止状態に移行させることで、前記ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することを特徴とするバス監視セキュリティ装置。
【請求項3】
請求項1又は2に記載したバス監視セキュリティ装置において、
前記制御手段は、前記ツールが前記ECU側バスに接続されたと判定した場合に、擬似データ応答コマンドを前記ツールへ送信することで、前記ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することを特徴とするバス監視セキュリティ装置。
【請求項4】
請求項1乃至3の何れかに記載したバス監視セキュリティ装置において、
前記制御手段は、前記ツールが前記ECU側バスに接続されたと判定した場合に、仕様で規定されているデータフォーマットとは異なるデータフォーマットのデータをアクセス対象にされているECUへ送信することで、前記ツールとアクセス対象にされているECUとの間でのデータの送受信を妨害することを特徴とするバス監視セキュリティ装置。
【請求項5】
請求項1乃至4の何れかに記載したバス監視セキュリティ装置において、
前記制御手段は、前記ツールが前記ECU側バスに接続されたと判定した場合に、前記ツールが前記ECU側バスに接続されたことに関する情報を不正検出履歴として不正検出履歴記憶手段に記憶させることを特徴とするバス監視セキュリティ装置。
【請求項6】
請求項5に記載したバス監視セキュリティ装置において、
前記制御手段は、前記不正検出履歴記憶手段に記憶されている不正検出履歴を通知することを特徴とするバス監視セキュリティ装置。
【請求項7】
請求項1乃至6の何れかに記載したバス監視セキュリティ装置と、
前記バス監視セキュリティ装置が前記バスから取外されたか否かを判定し、前記バス監視セキュリティ装置が前記バスから取外されたと判定した場合に、前記ツールと前記アクセス対象にされているECUとの間でのデータの送受信を妨害する監視代行装置と、を備えたことを特徴とするバス監視セキュリティシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2013−74489(P2013−74489A)
【公開日】平成25年4月22日(2013.4.22)
【国際特許分類】
【出願番号】特願2011−212517(P2011−212517)
【出願日】平成23年9月28日(2011.9.28)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
【公開日】平成25年4月22日(2013.4.22)
【国際特許分類】
【出願日】平成23年9月28日(2011.9.28)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
[ Back to top ]