自動車の侵入テストにおける6つの必須事項
ITベースの侵入テスト(ペンテスト)は、サイバー攻撃のシミュレーション手法としてよく知られています。ペンテストのプロジェクトでは、リサーチャーは、実際の攻撃シナリオをシミュレーションするため、ハッカーの行動、手法、ツールを模倣して、企業のコンピューターネットワークの脆弱性やその他のセキュリティの欠陥がないか、セキュリティ要件が適切に実装されているかについて検証を行います。
自動車がますますインターネットとつながり、ソフトウェアが多用されるようになる中、UNECE R155もきっかけとなって、自動車にペンテストを実施することは、サイバーリスクを低減したいOEMやティア1にとって不可欠な作業となりました。当社ではOEMやティア1から依頼を受け、何十ものペンテストプロジェクトを実施し、100%の成功率で侵入を達成してきました。これを受け、読者の方が今後ペンテストを最大限有効なものにできるよう、以下の自動車ペンテストの必須事項をまとめました。
自動車ペンテストの必須事項1:時間を賢く使ってペンテストを行うこと
ペンテストとは自動車への侵入が目的なのであり、むやみに何かを探ることではない
OEMやティア1は、ペンテストを実施するチームにテスト対象についての情報をほとんど提供せず、テストを難しくすればするほど、最大の効果を得られるという誤解をしがちです。ブラックボックスプロジェクトとして一般に知られていますが、これはテストの際、リサーチャーに対象となるコンポーネントの情報をまったく与えないで行われるプロジェクトのことです。
しかし、ハッカーは意志が強く、最終的にシステムをハッキングしてしまうので、ハッキングは時間の問題です。重要なのは、コードにどのような脆弱性が存在しているか、またハッカーがその他のセキュリティの欠陥を発見するかです。これを見つけることがペンテストの真の目的です。
一例ですが、当社のペンテストチームがテレマティクスユニットのテストを依頼されました。チームはコードをテストするために、何週間もかかってユニットのファームウェアを抽出し、そのソフトウェアをリバースエンジニアリングし、逆コンパイラを構築しました。リサーチャーたちはこの課題を楽しんでいたものの、脆弱性ではなく、テレマティクスユニットのコードを入手するのに貴重な2週間を費やすことになりました。最終的に、チームは複数の脆弱性を発見しましたが、もっと時間を有効に使えば、1か月かけてより多くのセキュリティの欠陥を見つけ出し、そのユニットのサイバーセーフティを高めることに貢献できたはずでした。
自動車ペンテストの必須事項2:重要な情報をペンテスターと共有する
何を保護すべきかの情報がなければ、テスターは何をテストするか推量しなければならない
脅威分析およびリスク評価(TARA)のプロジェクトにおいては、車両のアーキテクチャ、システム、そして様々なECUについて、サイバー脅威に対する評価を行います。脅威分析では脅威を特定してモデル化し、リスク評価ではそれぞれの脅威に関連する影響やそれが実際に起きる可能性を分類します。これにより、OEMは車両設計および開発プロセスのごく早い段階で車両のセキュリティ状況について理解することができます。
OEMおよびティア1は、当該の情報が無関係である、あるいは機密であると思い込み、ペンテスターにその脅威評価を伝えないことがあります。
しかし、情報共有を徹底することは最善の結果につながります。前回の脅威評価に基づいてペンテストを実施した場合、テストチームは優先順位の高い脅威に集中して取り組むことができます。脅威評価レポートを共有しないことによって、ペンテストチームはテスト項目の決定とそれに対する評価を行い、これに対して支払いが発生します。
自動車ペンテストの必須事項3:他のプロジェクトと同様に取り扱う
準備に失敗するということは、失敗する準備をしているようなものである
テストを実施する企業も、プロジェクトを主導するOEMも、ペンテストを他のプロジェクト同様に管理する必要があります。
プロジェクトは、例えば、要件分析、テスト範囲の決定、テストストラテジー、必要なツールの決定、見積もり、プロジェクト計画など、複数の段階からなっています。これらはすべてペンテストプロジェクトを成功させるのに不可欠なステップです。当社のペンテストチームは記憶に残るあるペンテストプロジェクトから、事前の準備の大切さを学びました。チームはセルラーネットワークにつながっておらず、コネクテッド機能がすべて無効になった状態のユニットのペンテストを依頼されました。この見落としによって2か月の遅延が生じましたが、これは回避することができたはずでした。
車両ペンテストはプロジェクトであり、どのような複雑なプロジェクトにも適切な計画が必要と言えます。
自動車ペンテストの必須事項4:やめ時を知る
どこまでもやらなければならない、ということではない
通常のペンテストプロジェクトでは、発見された脆弱性をすべてマッピングした後、OEMまたはティア1の要件に基づき、ペンテスターがそれらを用いて侵入を試みることがあります。脆弱性を利用するには、多くの時間や資源がかかります。さまざまな攻撃を実証するにはペンテスターは自らの経験や直感を駆使する必要があるからです。
前述したように、ハッカーは発見した脆弱性の悪用に最終的には成功するものなので、ペンテスターとしては、付加価値が得られることが明らかな場合にのみ、脆弱性を活用するべきです。例えば、ほとんどのケースで既によく知られている攻撃の影響を経営陣に証明する必要がある場合などです。
ペンテストの目標を事前に決めておき、それを達成したところで終わりにすべきです。
自動車ペンテストの必須事項5:想定外!に備える
最善を期待し、最悪の事態を予測し、想定外に備える
自動車のペンテストプロジェクトでは、既に販売されている車両の脆弱性をリサーチャーが発見する可能性があるため、OEMやティア1にとって深刻な事態となる場合があります。OTAによるセキュリティアップデート機能がない場合、自動車メーカーはサイバーリコールをしなければならず、そうなれば重大な財政的損失やブランドイメージの低下につながりかねません。自動車メーカーがペンテストプロジェクトを実施する際には、常に最悪の事態に備え、インシデント対応計画を定めておく必要があります。
自動車ペンテストの必須事項6:組織内での期待値のズレをなくす
共有は、思いやりである
OEMやティア1は多くの大企業が直面しているのと同じ、「効果的な知識の伝達」という課題を抱えています。ある部署がペンテストプロジェクトを実施しても、その結果が社内で共有されないことも少なくありません。
当社のリサーチチームは、ある地域のティア1から、あるユニットのペンテストを依頼されました。後になってわかったのですが、このテスト結果は、このユニットに関わっている別の地域のチームにはまったく伝えられていませんでした。社内で知識の伝達が行われないのは非効率なことであり、テストの対象となったユニットのセキュリティ状況を改善するという目標に近づくことができません。
プラクシディティ エックスのリサーチチーム一同、上記のアドバイスがお客様のペンテストプロジェクトのお役に立つことを願っています。今後のペンテストプロジェクトについてのご相談や、関連するご質問があれば、お問合せフォームからご連絡ください。すぐに当社から折り返しご連絡いたします。