ブログ

FFRI BLOG

Monthly Research 「自動車の脆弱性事例とCVSS v3による評価

  今回は自動車セキュリティについて、Black Hat USAやDEF CON以外のカンファレンスではどのような発表が行われたのか紹介したいと思います。 また、今年の6月に公開されたCVSS v3についても解説します。

●裁判所からの差し止め命令・・・2年越しのレポート公開

  まずは、自動車のイモビライザーに使用されている暗号に対する攻撃手法についての発表で、タイトルは、”Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer”です。この発表は、2015年8月12日から14日の2日間開催された24th USENIX Security Symposiumで公開されたもので、本来は2年前の2013年に公開される予定だったものですが、裁判所からの公開差し止め命令によって公開が見送られたという経緯があります。

  このレポートでは、自動車のイモビライザーで使用されているMegamos暗号システムに問題があり、秘密鍵が容易に解読出来てしまう危険があると指摘しています。また、こうした問題に対して2種類の攻撃手法を提示していますが、そのうちの1つは脆弱な秘密鍵が使用されていることに起因するもので、ディーラーなどの専門家による対策が必要とのことでした。
  このレポートは2年前に執筆されたものになりますが、近年では無線技術に対する研究が発展してきており、GMのOnStarサービスに対するMITM攻撃のように無線通信の盗聴やなりすましに対する敷居が下がってきています。そのため、通信の暗号化だけでなく、鍵の生成方法やその管理方法についても十分に検討を行うべきだと我々が考えています。

●OBD-IIを利用したテレマティクス装置の脆弱性

  続いて、OBD-IIポートを利用して車両の情報をモニタリングするテレマティクス装置の脆弱性に関する発表で、タイトルは”Fast and Vulnerable: A Story of Telematics Failures”となります。 この発表は、USENIXから派生したWOOT (Workshop on Offensive Technologies)で公開されたもので、指摘された脆弱性には以下のCVE番号が割り当てられています。

表 1 割り当てられたCVE番号一覧

CVE#概要
CVE-2015-2906 他のインストールから(SSH)秘密鍵の情報を利用されることでアクセス権を取得される可能性がある
CVE-2015-2907 ハードコードされたSSHクレデンシャルによって、第三者にクレデンシャル情報を利用され、アクセス権を取得される可能性がある
CVE-2015-2908 ファームウェアアップデートの検証を行っていないため、アップデートサーバを特定された場合に、任意のコードを実行される可能性がある

  このレポートは、2015年9月7日~8日に開催されたescar Asia 2015でDigital Bond社のDale Peterson氏が講演した、「車載診断機能『OBD-II』を狙った攻撃と防御」で指摘されていた脅威が現実的なものであるということを示す事例といえます。(escar Asia 2015については、クルマのハッキング対策カンファレンス「escar Asia 2015」リポートを参照ください)
  自動車に対するサイバーセキュリティ対策は、OEMやサプライヤーだけでなく、OBD-IIなどの自動車インタフェースを利用する側でも考えるべきです。

●CVSS v3で変化した脆弱性評価観点

  CVSS v3は、2015年6月に公開された脆弱性評価手法で、従来のCVSS v2は脆弱性によって影響を受けるシステムの深刻度を評価基準としてきましたが、CVSS v3では脆弱性のあるコンポーネント単位で評価する手法へと変化しています。この変化に伴い、攻撃による影響(CIA)評価と認証有無などの難易度評価が分離され、更に影響評価にはその広がり(スコープ)が加味されるようになり、この他にも「ユーザ関与レベル」項目の追加などが行われています。CVSS v3の従来からの変化内容については、IPAが公開している「共通脆弱性評価システムCVSS v3概説」を参照ください。
  CVSSは、自動車技術会(JSAE)が今年の5月に発行した「TP15002:2015 情報セキュリティ分析ガイド」でもCVSS v2紹介されていますが、CVSS v3は脆弱性に対する評価基準がコンポーネント単位に変化したことから、多くの電子部品やソフトウェアで構成されている自動車に対するセキュリティ分析とその対策の検討材料としてもより有効に活用できるのでは無いかと考えています。
  今回は、先ほど紹介したUSENIXに加え、Black Hat USA 2015、DEF CON 23発表された脆弱性について、CVSS v2とCVSS v3での算出例を以下に示します。

表 2 Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle
Immobilizerに対する脆弱性評価

評価項目CVSS v3CVSS v2
 AV:攻撃元区分 隣接 隣接
 AC:攻撃の複雑さ
 Au:攻撃前の認証要否 不要
 PR:攻撃に必要な権限レベル 不要
 UI:ユーザ関与レベル
 S:スコープ 変更なし
 C:機密性への影響 全面的
 I:完全性への影響 なし なし
 A:可用性への影響 全面的
 基本値 6.4 6.2

表 3 Fast and Vulnerable: A Story of Telematics Failureに対する脆弱性評価
(CVE-2015-2906, 2907, 2908共に同じ)

評価項目CVSS v3CVSS v2
 AV:攻撃元区分 ネットワーク ネットワーク
 AC:攻撃の複雑さ
 Au:攻撃前の認証要否 単一
 PR:攻撃に必要な権限レベル
 UI:ユーザ関与レベル 不要
 S:スコープ 変更なし
 C:機密性への影響 全面的
 I:完全性への影響 全面的
 A:可用性への影響 全面的
 基本値 8.8 9.0

表 4 Black Hat USA 2015で発表されたFCA (Fiat Chrysler Automobiles) UConnect
の脆弱性評価

評価項目CVSS v3CVSS v2
 AV:攻撃元区分 ネットワーク ネットワーク
 AC:攻撃の複雑さ
 Au:攻撃前の認証要否 単一
 PR:攻撃に必要な権限レベル 不要
 UI:ユーザ関与レベル 不要
 S:スコープ 変更あり
 C:機密性への影響 全面的
 I:完全性への影響 全面的
 A:可用性への影響 全面的
 基本値 9.0 8.5

表 5 DEF CON 23で発表されたされたGM Onstarサービス向けiPhoneアプリの脆弱性評価

評価項目CVSS v3CVSS v2
 AV:攻撃元区分 隣接 隣接
 AC:攻撃の複雑さ
 Au:攻撃前の認証要否 不要
 PR:攻撃に必要な権限レベル なし
 UI:ユーザ関与レベル
 S:スコープ 変更なし
 C:機密性への影響 全面的
 I:完全性への影響 なし なし
 A:可用性への影響 全面的
 基本値 6.4 7.3

  これらの例から分かる通り、CVSS v3で新たに設定された評価基準である「ユーザ関与レベル」や「スコープ」によって、脆弱性そのものの深刻度をより具体的に数値化することができます。こうした特長から、「TP15002:2015 情報セキュリティ分析ガイド」で示される分析された脅威から対策優先度を決定する際のリスク評価(現在はCVSS v2に基づいたCRSS (CVSS based Risk Scoring System) およびRSMA (Risk Scoring Methodology for Automotive Systems) による解説が掲載されている)にも効果的に利用できる可能性があります。


●まとめ

  • OBD-IIなどのCANネットワークに直接接続が可能なインタフェースを利用する側もセキュリティを意識した開発を行うべき。
  • 無線に関するセキュリティは近年急速に研究が進んでいる領域となるため、有線同様に盗聴のリスクを考慮する必要がある。
  • 通信の暗号化を行う場合、秘密鍵の生成や管理方法についても窃取の可能性を考慮して十分に検討を行うべき。
  • CVSS v3は脆弱性のあるコンポーネント単位で評価が出来ることから、自動車の情報セキュリティ分析や対策の検討においてより効果的に利用できる可能性がある。

Monthly Researchのダウンロードはこちら(日本語 / English

関連記事

Monthly Research 「Black Hat USA 2015 サーベイレポート」

Monthly Research 「Windows10 IoTのセキュリティについて」

Monthly Research 「次世代の車載ネットワークと現状のセキュリティ研究動向」

pagetop