HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2015年 ≫ 2015年10月 ≫ Monthly Research 「自動車の脆弱性事例とCVSS v3による評価」

Monthly Research 「自動車の脆弱性事例とCVSS v3による評価」

今回は自動車セキュリティについて、Black Hat USAやDEF CON以外のカンファレンスではどのような発表が行われたのか紹介したいと思います。また、今年の6月に公開されたCVSS v3についても解説します。

●裁判所からの差し止め命令・・・２年越しのレポート公開

まずは、自動車のイモビライザーに使用されている暗号に対する攻撃手法についての発表で、タイトルは、”Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer”です。この発表は、2015年8月12日から14日の２日間開催された24th USENIX Security Symposiumで公開されたもので、本来は２年前の2013年に公開される予定だったものですが、裁判所からの公開差し止め命令によって公開が見送られたという経緯があります。

このレポートでは、自動車のイモビライザーで使用されているMegamos暗号システムに問題があり、秘密鍵が容易に解読出来てしまう危険があると指摘しています。また、こうした問題に対して２種類の攻撃手法を提示していますが、そのうちの１つは脆弱な秘密鍵が使用されていることに起因するもので、ディーラーなどの専門家による対策が必要とのことでした。
このレポートは2年前に執筆されたものになりますが、近年では無線技術に対する研究が発展してきており、GMのOnStarサービスに対するMITM攻撃のように無線通信の盗聴やなりすましに対する敷居が下がってきています。そのため、通信の暗号化だけでなく、鍵の生成方法やその管理方法についても十分に検討を行うべきだと我々が考えています。

●OBD-IIを利用したテレマティクス装置の脆弱性

続いて、OBD-IIポートを利用して車両の情報をモニタリングするテレマティクス装置の脆弱性に関する発表で、タイトルは”Fast and Vulnerable: A Story of Telematics Failures”となります。この発表は、USENIXから派生したWOOT (Workshop on Offensive Technologies)で公開されたもので、指摘された脆弱性には以下のCVE番号が割り当てられています。

表 1 割り当てられたCVE番号一覧

CVE#	概要
CVE-2015-2906	他のインストールから(SSH)秘密鍵の情報を利用されることでアクセス権を取得される可能性がある
CVE-2015-2907	ハードコードされたSSHクレデンシャルによって、第三者にクレデンシャル情報を利用され、アクセス権を取得される可能性がある
CVE-2015-2908	ファームウェアアップデートの検証を行っていないため、アップデートサーバを特定された場合に、任意のコードを実行される可能性がある

このレポートは、2015年9月7日～8日に開催されたescar Asia 2015でDigital Bond社のDale Peterson氏が講演した、「車載診断機能『OBD-II』を狙った攻撃と防御」で指摘されていた脅威が現実的なものであるということを示す事例といえます。（escar Asia 2015については、クルマのハッキング対策カンファレンス「escar Asia 2015」リポートを参照ください）
自動車に対するサイバーセキュリティ対策は、OEMやサプライヤーだけでなく、OBD-IIなどの自動車インタフェースを利用する側でも考えるべきです。

●CVSS v3で変化した脆弱性評価観点

  CVSS v3は、2015年6月に公開された脆弱性評価手法で、従来のCVSS v2は脆弱性によって影響を受けるシステムの深刻度を評価基準としてきましたが、CVSS v3では脆弱性のあるコンポーネント単位で評価する手法へと変化しています。この変化に伴い、攻撃による影響（CIA）評価と認証有無などの難易度評価が分離され、更に影響評価にはその広がり（スコープ）が加味されるようになり、この他にも「ユーザ関与レベル」項目の追加などが行われています。CVSS v3の従来からの変化内容については、IPAが公開している「共通脆弱性評価システムCVSS v3概説」を参照ください。
  CVSSは、自動車技術会（JSAE）が今年の５月に発行した「TP15002:2015 情報セキュリティ分析ガイド」でもCVSS v2紹介されていますが、CVSS v3は脆弱性に対する評価基準がコンポーネント単位に変化したことから、多くの電子部品やソフトウェアで構成されている自動車に対するセキュリティ分析とその対策の検討材料としてもより有効に活用できるのでは無いかと考えています。
  今回は、先ほど紹介したUSENIXに加え、Black Hat USA 2015、DEF CON 23発表された脆弱性について、CVSS v2とCVSS v3での算出例を以下に示します。

表 2 Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle
Immobilizerに対する脆弱性評価

評価項目	CVSS v3	CVSS v2
AV:攻撃元区分	隣接	隣接
AC:攻撃の複雑さ	高	高
Au:攻撃前の認証要否	―	不要
PR:攻撃に必要な権限レベル	不要	―
UI:ユーザ関与レベル	要	―
S:スコープ	変更なし	―
C:機密性への影響	高	全面的
I:完全性への影響	なし	なし
A:可用性への影響	高	全面的
基本値	6.4	6.2

表 3 Fast and Vulnerable: A Story of Telematics Failureに対する脆弱性評価
（CVE-2015-2906, 2907, 2908共に同じ）

評価項目	CVSS v3	CVSS v2
AV:攻撃元区分	ネットワーク	ネットワーク
AC:攻撃の複雑さ	低	低
Au:攻撃前の認証要否	―	単一
PR:攻撃に必要な権限レベル	低	―
UI:ユーザ関与レベル	不要	―
S:スコープ	変更なし	―
C:機密性への影響	高	全面的
I:完全性への影響	高	全面的
A:可用性への影響	高	全面的
基本値	8.8	9.0

表 4 Black Hat USA 2015で発表されたFCA (Fiat Chrysler Automobiles) UConnect
の脆弱性評価

評価項目	CVSS v3	CVSS v2
AV:攻撃元区分	ネットワーク	ネットワーク
AC:攻撃の複雑さ	高	中
Au:攻撃前の認証要否	―	単一
PR:攻撃に必要な権限レベル	不要	―
UI:ユーザ関与レベル	不要	―
S:スコープ	変更あり	―
C:機密性への影響	高	全面的
I:完全性への影響	高	全面的
A:可用性への影響	高	全面的
基本値	9.0	8.5

表 5 DEF CON 23で発表されたされたGM Onstarサービス向けiPhoneアプリの脆弱性評価

評価項目	CVSS v3	CVSS v2
AV:攻撃元区分	隣接	隣接
AC:攻撃の複雑さ	高	中
Au:攻撃前の認証要否	―	不要
PR:攻撃に必要な権限レベル	なし	―
UI:ユーザ関与レベル	要	―
S:スコープ	変更なし	―
C:機密性への影響	高	全面的
I:完全性への影響	なし	なし
A:可用性への影響	高	全面的
基本値	6.4	7.3

これらの例から分かる通り、CVSS v3で新たに設定された評価基準である「ユーザ関与レベル」や「スコープ」によって、脆弱性そのものの深刻度をより具体的に数値化することができます。こうした特長から、「TP15002:2015　情報セキュリティ分析ガイド」で示される分析された脅威から対策優先度を決定する際のリスク評価（現在はCVSS v2に基づいたCRSS (CVSS based Risk Scoring System) およびRSMA (Risk Scoring Methodology for Automotive Systems) による解説が掲載されている）にも効果的に利用できる可能性があります。