# PlaxidityX
> Welcome to the PlaxidityX blog, the best place for updates about automotive cyber security. Click here to read the latest industry news!
---
## Pages
- [Compliance](https://plaxidityx.com/automotive-cybersecurity-compliance/): Get expert guidance to navigate & achieve ISO 21434, UN R155 & UN R156 compliance. Simplify automotive cybersecurity regulations & CSMS setup. Consult us!
- [Pentesting](https://plaxidityx.com/automotive-penetration-testing-contact/): Strengthen vehicle security with expert automotive penetration testing. We identify ECU, CAN bus & system vulnerabilities for compliance. Contact our experts!
- [PlaxidityX Coordinated Vulnerability Disclosure Policy](https://plaxidityx.com/plaxidityx-coordinated-vulnerability-disclosure-policy/):
- [PlaxidityX Coordinated Vulnerability Disclosure Policy](https://plaxidityx.com/plaxidityx-coordinated-vulnerability-disclosure-policy/):
- [パートナー](https://plaxidityx.com/company/partners/):
- [Partners](https://plaxidityx.com/company/partners/): Together with partners, PlaxidityX deliver end-to-end automotive cyber security solutions that boost business value to meet customer needs.
- [DevSecOps Platform](https://plaxidityx.com/products/devsecops-platform/): 車載ソフトウェア開発ライフサイクル全体をカバーする、包括的なアプリケーションセキュリティ製品を提供。セキュリティ強化と効率化を実現します。
- [DevSecOps Platform](https://plaxidityx.com/products/devsecops-platform/): Automotive (SAST) DevSecOps Automation Platform | Transform your automotive software security across the development lifecycle.
- [Automotive World - 2025](https://plaxidityx.com/ja/automotive-world-2025/):
- [ELIV ](https://plaxidityx.com/eliv-2024/):
- [Auto-ISAC Annual Summit](https://plaxidityx.com/auto-isac-annual-summit/):
- [Security AutoTester](https://plaxidityx.com/products/security-autotester/): 自動車ソフトウェア開発者向けにファジングテストやペネトレーションテストなどのエンタープライズレベルのセキュリティテストの実施をサポートします
- [Security AutoTester](https://plaxidityx.com/products/security-autotester/): Security AutoTester is an automotive fuzz testing tool for vehicles & components, used by automotive software developers, OEMs & suppliers.
- [Code Security Manager](https://plaxidityx.com/products/code-security-manager/): 早期かつ頻繁にソースコードの脆弱性スキャンを行い、製品のセキュリティを向上させることで、市場投入までの時間を短縮し、コストを削減します
- [Code Security Manager](https://plaxidityx.com/products/code-security-manager/): We integrate static application security testing into early development with CI/CD integration, source-code analysis for robust pre-production security
- [Security AutoDesigner](https://plaxidityx.com/products/security-autodesigner/): 脅威分析とリスク評価を実行し、車両アーキテクチャ、システム、コンポーネントについて規制に準拠した作業成果物の作成をサポートします
- [Security AutoDesigner](https://plaxidityx.com/products/security-autodesigner/): PlaxidityX' automotive TARA threat analysis and risk assessment software enables OEMs & Tier-1 suppliers to automate reports to secure vehicle ECUs
- [SW Supply Chain Security](https://plaxidityx.com/products/sw-supply-chain-security/): 自動車サイバー規制に準拠し、製品のセキュリティを確保するため、既知およびプライベート脆弱性について自動バイナリSBOMスキャンを実行します
- [SW Supply Chain Security](https://plaxidityx.com/products/sw-supply-chain-security/): SW Supply Chain Security performs automatic binary SBOM extraction and scanning for vehicle vulnerabilities to comply with cybersecurity regulations.
- [Quality Policy](https://plaxidityx.com/quality-policy/): PlaxidityX believes that transparency & collaboration are essential to automotive cyber security. Click here for an overview of PlaxidityX' quality policy!
- [Quality Policy](https://plaxidityx.com/quality-policy/): PlaxidityX believes that transparency & collaboration are essential to automotive cyber security. Click here for an overview of PlaxidityX' quality policy!
- [JSAE 2024](https://plaxidityx.com/ja/jsae-2024/):
- [Request a free workshop](https://plaxidityx.com/request-a-free-workshop/): ご質問や詳しい情報、もしくはデモのお申込みをご希望でしたら、こちらからお問い合わせください。
- [Request a free workshop](https://plaxidityx.com/request-a-free-workshop/): Learn how PlaxidityX can give you tangible cybersecurity benefits. Request a free workshop! One of our friendly team members will contact you
- [自動二輪車向けUNR155およびISO21434サイバーセキュリティコンプライアンス](https://plaxidityx.com/motorcycle-type-approval-and-cybersecurity-compliance/): 二輪車メーカーにとってもサイバーセキュリティ対応が必須になります。CSMSとISO 21434への対応、型式認証やメンテナンスワークに向けた準備をしましょう。
- [UNR 155 and ISO 21434 Cyber Security Compliance.](https://plaxidityx.com/motorcycle-type-approval-and-cybersecurity-compliance/): With PlaxidityX motorcycle type approval consulting services, Two-Wheelers OEMs can achieve complete regulation compliance.
- [Vdome](https://plaxidityx.com/vdome/):
- [PlaxidityX In-Vehicle Infotainment Cyber Guard](https://plaxidityx.com/solutions/plaxidityx-in-vehicle-infotainment-cybersecurity/): PlaxidityX’ IVI cyber security system provides robust & adaptive security for IVI systems, ensuring resilience against evolving vehicle cyber threats.
- [PlaxidityX In-Vehicle Infotainment Cyber Guard](https://plaxidityx.com/solutions/plaxidityx-in-vehicle-infotainment-cybersecurity/): IVIシステムの幅広い攻撃対象領域に対して堅牢かつ適応性の高いセキュリティを提供するとともに、進化を続けるサイバー攻撃に対しレジリエンスを示します
- [PlaxidityX In-Vehicle Infotainment Cyber Guard](https://plaxidityx.com/solutions/plaxidityx-in-vehicle-infotainment-cybersecurity/): PlaxidityX’ IVI cyber security system provides robust & adaptive security for IVI systems, ensuring resilience against evolving vehicle cyber threats.
- [PlaxidityX Zone Control Unit Protection](https://plaxidityx.com/solutions/plaxidityx-zone-control-unit-security/): 自動車サイバーセキュリティ規制UNR155への準拠のために必要な機能が、このソリューションを利用することで使用可能になります。
- [PlaxidityX Zone Control Unit Protection](https://plaxidityx.com/solutions/plaxidityx-zone-control-unit-security/): Our Automotive Zone Control Unit Protection helps OEMs, Tier-1 suppliers comply with regulations by providing IDS, AUTOSAR compatible firewall protection.
- [Escar USA](https://plaxidityx.com/escar-usa/):
- [EVS37 2024](https://plaxidityx.com/evs37-2024/):
- [VECS 2024](https://plaxidityx.com/vecs-2024/):
- [UNR155およびISO21434 サイバーセキュリティ・コンプライアンス](https://plaxidityx.com/unr-155-and-iso-21434-cyber-security-compliance/): UNR 155およびISO 21434に規定された管理システムの確立に向け、自動車サイバーセキュリティの包括的なコンサルティング、型式認証取得支援を提供します。
- [UNR 155 and ISO 21434 Cyber Security Compliance](https://plaxidityx.com/unr-155-and-iso-21434-cyber-security-compliance/): Achieve comprehensive automotive cyber security UNR 155 & ISO21434 compliance with customized processes & expert guidance.
- [TARAとサイバーセキュリティ・アーキテクチャデザイン](https://plaxidityx.com/plaxidityx-tara-and-cyber-security-architecture-design/): 脅威分析とリスク評価(TARA)をはじめ、様々なサービスが揃っており、開発の初期段階からサイバーセキュリティを組込んだ車両アーキテクチャの実現をサポートします。
- [PlaxidityX TARA and Cyber Security Architecture Design](https://plaxidityx.com/plaxidityx-tara-and-cyber-security-architecture-design/): Threat analysis & risk assessment (TARA) for vehicle architectures, systems and components. Learn more about automotive security risk assessments.
- [Automotive Penetration Testing](https://plaxidityx.com/automotive-penetration-testing/): ペネトレーションテストを通じ、規制準拠への支援およびAmazon Alexaのセキュリティ認証などお客様の製品のセキュリティ支援を行っています。
- [Automotive Penetration Testing](https://plaxidityx.com/automotive-penetration-testing/): PlaxidityX experts are global leaders in automotive cyber security pen-testing, with 100% success rates. Increase security & comply with regulations.
- [PlaxidityX Ethernet Switch Protection](https://plaxidityx.com/solutions/plaxidityx-ethernet-switch-protection/): 車載Ethernetスイッチに事前統合されたIDPSソリューションを採用すれば、 規制準拠が容易になり、IDPS統合の複雑な作業コストを下げることができます。
- [PlaxidityX Ethernet Switch Protection](https://plaxidityx.com/solutions/plaxidityx-ethernet-switch-protection/): Our Ethernet Switch Protection helps OEMs, Tier1 suppliers comply with UNR regulation by providing IDPS & firewall capabilities that meet AUTOSAR standards
- [Automotive World](https://plaxidityx.com/ja/automotive-world/):
- [vDome](https://plaxidityx.com/products/vdome-can-injection-car-theft-protection/): PlaxidityXのCANバスサイバーセキュリティソフトで車両盗難を防止!トラフィック監視と脅威検出により高度なサイバーネットワーク侵入防御機能を提供します。
- [vDome](https://plaxidityx.com/products/vdome-can-injection-car-theft-protection/): PlaxidityX’ vDome protects vehicles against CAN injection attacks, preventing keyless entry and CAN injection car theft.
- [KSAE 2023](https://plaxidityx.com/ksae-2023/):
- [KSAE 2023](https://plaxidityx.com/ksae-2023/):
- [AUTOSARベースECUを
サ イバサイバーリスクから
保護する
革新的なモビリティの実現にむけて](https://plaxidityx.com/ja/autosar%e3%83%99%e3%83%bc%e3%82%b9ecu%e3%82%92%e3%82%b5-%e3%82%a4%e3%83%90%e3%82%b5%e3%82%a4%e3%83%90%e3%83%bc%e3%83%aa%e3%82%b9%e3%82%af%e3%81%8b%e3%82%89%e4%bf%9d%e8%ad%b7%e3%81%99%e3%82%8b%e9%9d%a9/):
- [CES 2024](https://plaxidityx.com/ces-2024/):
- [CES 2024](https://plaxidityx.com/ces-2024/):
- [Thank you - Mailing list](https://plaxidityx.com/thank-you-mailing-list/):
- [Thank you - demo](https://plaxidityx.com/thank-you-demo/):
- [escar Europe](https://plaxidityx.com/escar-europe/):
- [Auto-ISAC USA](https://plaxidityx.com/auto-isac-usa/):
- [ELIV](https://plaxidityx.com/eliv/):
- [Search](https://plaxidityx.com/search/): 検索 Argus Cyber Security. 詳細については、当社の Web サイトをご覧ください。
- [Search](https://plaxidityx.com/search/): Search the entire Argus website to find what you're looking for in the field of automotive cyber security, vehicle cyber security & more.
- [IAA Mobility](https://plaxidityx.com/iaa-mobility/):
- [自動車サイバーセキュリティのギアを上げる(LP)](https://plaxidityx.com/automotive-cybersecurity-lp/):
- [Automotive Cybersecurity (LP)](https://plaxidityx.com/automotive-cybersecurity-lp/):
- [自動車サイバーセキュリティのギアを上げる](https://plaxidityx.com/automotive-cybersecurity/):
- [Automotive Cybersecurity](https://plaxidityx.com/automotive-cybersecurity/): document. addEventListener("DOMContentLoaded", function { // Function to initialize the textarea auto-resizing function initializeTextareaAutoResize { // Select the form with class...
- [Auto-ISAC Europe](https://plaxidityx.com/auto-isac-europe/):
- [Auto-ISAC Europe](https://plaxidityx.com/auto-isac-europe/):
- [escar](https://plaxidityx.com/escar/): 米国で開催される自動車サイバーセキュリティの主要カンファレンスにぜひご参加ください。
- [escar](https://plaxidityx.com/escar/):
- [JSAE](https://plaxidityx.com/ja/jsae/): PlaxidityXは、グループ会社コンチネンタルのブース内(小間番号94)において、自動車サイバーセキュリティソリューションのデモを行います。
- [PlaxidityX Small Series Starter kit](https://plaxidityx.com/plaxidityx-small-series-starter-kit/): 少量生産を行う自動車メーカーおよびTier1サプライヤーに必要な自動車サイバーセキュリティのコンプライアンス対応のためのソリューションがお役に立ちます。
- [PlaxidityX Small Series Starter kit](https://plaxidityx.com/plaxidityx-small-series-starter-kit/): Automotive EV Cybersecurity solution: Our starter kit for small-series automotive manufacturers provides an EV security compliance tailored framework.
- [CES 2023, schedule a meeting](https://plaxidityx.com/ces-2023-schedule-a-meeting/): Argus Cyber Security is participating at the CES Las Vegas, Nevada event. Click here to learn what, when, where and book your visit!
- [キャリア](https://plaxidityx.com/company/careers/): PlaxidityX でのキャリア. セキュアでコネクテッドな未来を共に目指す.
- [Careers](https://plaxidityx.com/company/careers/): PlaxidityX (Formerly Argus Cyber Security) is a global leader in vehicle cyber security. We protect lives - drivers & vehicle manufacturers from cyber attacks on their vehicles.
- [Thank you page](https://plaxidityx.com/thank-you-download/): お問い合わせいただきありがとうございます。折り返しご連絡を差し上げますので、しばらくお待ちください。
- [Thank you- Download](https://plaxidityx.com/thank-you-download/):
- [Request a demo](https://plaxidityx.com/request-a-demo/): ソフトウェアデファインドビークル、コネクテッドカーに搭載されるアルガスの先進組み込みテクノロジーとバックエンドサービスのデモをご体験ください。
- [Request a Demo](https://plaxidityx.com/request-a-demo/): We would love to demonstrate how PlaxidityX can give you tangible benefits. Click here now to book a free personalized demo and see for yourself!
- [Become a partner](https://plaxidityx.com/become-a-partner/): プラクシディティ エックスは、パートナーと協力して、顧客が安心して製品をより早く市場に投入できるよう支援しています。パートナー企業のお問合せはこちら。
- [Become a partner](https://plaxidityx.com/become-a-partner/): Become a partner of PlaxidityX. Send us contact request and one of our friendly team members will get back you.
- [CAN IDPS](https://plaxidityx.com/products/can-protection/): 車載トラフィックの監視、ネットワークへの脅威や異常の検知など、CANネットワークへのアタックに対する防御の仕組みを提供し、セキュリティを高めます。
- [CAN Protection](https://plaxidityx.com/products/can-protection/): PlaxidityX' CAN bus cyber security software monitors traffic, detects threats, anomalies & offers advanced cyber network intrusion prevention for vehicles.
- [Terms of Use](https://plaxidityx.com/terms-of-use/): PlaxidityX believes that transparancy & honesty are essential to automotive cyber security. Click here for an overview of PlaxidityX' terms of use!
- [Cookies Policy](https://plaxidityx.com/cookie-policy/): PlaxidityX believes that transparency & collaboration are essential to automotive cyber security. Click here for an overview of PlaxidityX' cookie policy!
- [Certifications](https://plaxidityx.com/company/certifications/): Argus Cyber Security believes that transperancy & compatibility are essential to automotive cyber security. Click here for an overview of PlaxidityX's certifications!
- [プラクシディティ エックスについて](https://plaxidityx.com/company/about/): モビリティのための包括的なセキュリティソリューションを提供しているプラクシディティ エックスは、自動車メーカーおよびTier1サプライヤーの複雑なニーズに対応します
- [About](https://plaxidityx.com/company/about/): PlaxidityX (Formerly Argus Cyber Security) - About our team, history, our automotive, vehicle cyber security expertise, and more. Click here to learn all about PlaxidityX!
- [PlaxidityX Fraud Detection](https://plaxidityx.com/solutions/plaxidityx-fraud-detection/): プラクシディティ エックスは、SDVに対する不正なアクティビティを特定し、自動車メーカーとそのサプライヤーに及ぼす財務リスクと風評リスクを低減します
- [PlaxidityX Fraud Detection](https://plaxidityx.com/solutions/plaxidityx-fraud-detection/): Our cyber security software detects fraud in software-defined vehicles (SDVs) to minimize financial & reputational damages to vehicle manufacturers.
- [PlaxidityX VMDR](https://plaxidityx.com/ja/solutions/argus-vmdr/): PlaxidityX's VMDR は、自動車サイバーセキュリティおよびコンプライアンスに対応したエンドツーエンドのモジュール型ソリューションです。
- [PlaxidityX Compliance Readiness](https://plaxidityx.com/ja/solutions/plaxidityx-compliance-readiness/): 自動車型式認証取得には、サイバーセキュリティ対策を導入し、UNR 155やISO21434に準拠したシステムの確立、継続的なコンプライアンスの実現が必要です。
- [Vehicle vulnerability management](https://plaxidityx.com/products/vvm/): ISO/SAE 21434やUNR155などの規制要件を満たし、消費者の安全とプライバシーへの脅威を低減するには、自動車専用脆弱性管理ツールが有効です。
- [Vehicle Vulnerability Management](https://plaxidityx.com/products/vvm/): Our advanced system for detecting vulnerabilities in automotive assets including ECUs complies with ISO/SAE 21434 standards for automotive cyber security.
- [XDR](https://plaxidityx.com/products/xdr/): 高度なAIアナリティクスとトップレベルのセキュリティを備えたPlaxidityXDRで、進化するサイバーセキュリティ脅威の検知と対応をアップグレードしましょう
- [PlaxidityXDR](https://plaxidityx.com/products/xdr/): Vehicle SOC (VSOC): Enhance fleet management with PlaxidityXDR - advanced AI analytics for increased efficiency and regulation compliance.
- [Ethernet IDPS](https://plaxidityx.com/products/ethernet-protection/): Ethernetのサイバー対策を強化、特定のOSやハードウェアに依存せず、自動車向けの侵入検知・防御システム(IDPS)を構築してセキュリティを高めます。
- [Ethernet Protection](https://plaxidityx.com/products/ethernet-protection/): Our automotive network security for in-vehicle Ethernet networks provides monitoring, threat detection, attack prevention & AUTOSAR compliant firewall.
- [Host IDPS](https://plaxidityx.com/products/host-protection/): 車載ECUを保護するホストIDPSを搭載することで、アタックサーフェスとなりうるECUを多層防御し、自動車の安全とコンプライアンスを支援します。
- [Host Protection](https://plaxidityx.com/products/host-protection/): PlaxidityX’ IDS automotive software drives compliance with detection, protection, logging, & fail-safe capabilities for Posix based ECUs running Linux & Android
- [企業情報](https://plaxidityx.com/company/):
- [ソリューション](https://plaxidityx.com/solutions/):
- [サービス](https://plaxidityx.com/services/): 侵入テスト、セキュリティコンサルティングサービス、エンジニアリングサービスなど、プラクシディティ エックスはお客様に合ったセキュリティサービスをご提供します。
- [PlaxidityX Automotive Cyber Security Services](https://plaxidityx.com/services/): PlaxidityX provides CSMS & automotive penetration testing services for automotive security compliance. Learn more.
- [製品](https://plaxidityx.com/products/):
- [お問合せ](https://plaxidityx.com/company/contact/): ご質問や詳しい情報、もしくはデモのお申込みをご希望でしたら、こちらからお問い合わせください。
- [Contact](https://plaxidityx.com/company/contact/): Want to contact the leading automotive cyber security team in the industry? Click here for a variety of ways to get in touch with PlaxidityX!
- [Blog](https://plaxidityx.com/blog/): 自動車セキュリティ情報について最新のニュースから技術の分析まで幅広く提供。車両の安全性向上や気になるテクノロジーに関する専門知識をお届けするブログ。
- [Blog](https://plaxidityx.com/blog/): Welcome to the PlaxidityX blog, the best place for updates about automotive cyber security. Click here to read the latest industry news!
- [Shifting gears in automotive cyber security](https://plaxidityx.com/): Welcome to Argus Cyber Security, the global leader in vehicle & automotive cyber security. Learn about our innovative car cyber security solutions!
- [自動車サイバー セキュリティの ギアを上げる - PlaxidityX Security](https://plaxidityx.com/): PlaxidityX(旧Argus)は、自動車業界向けのサイバーセキュリティソリューションのリーダー企業として、コネクテッドなモビリティの未来に信頼と安全をもたらします。
- [Privacy Policy](https://plaxidityx.com/privacy-policy/): PlaxidityX believes that transparency & safety are essential to automotive cyber security. Click here for an overview of PlaxidityX' privacy policy!
- [Shifting gears in automotive cyber security](https://plaxidityx.com/): Welcome to PlaxidityX (Formerly Argus Cyber Security), the global leader in vehicle & automotive cyber security. Learn about our innovative car cyber security solutions!
---
## Posts
- [ISO 15118で実現するEVサイバーセキュリティ:充電インフラの安全性確保](https://plaxidityx.com/blog/blog-post/iso-15118-ev-cybersecurity-guide/): ISO 15118はEV充電の安全性と利便性を支える国際規格です。サイバー脅威対策とイノベーションを併存させるため、普及が進むEVと充電施設に対してどのようなサイバーセキュリティ対策ができるのか、解説しています。
- [ISO 15118 and EV Cybersecurity: Securing the Charging Ecosystem](https://plaxidityx.com/blog/blog-post/iso-15118-ev-cybersecurity-guide/): Understand ISO 15118's impact on EV charging cybersecurity. Explore threats, smart protocols, and how to strengthen electric vehicle cyber security.
- [Automotive HPC Security: Your Infotainment System Could Hijack Your Brakes](https://plaxidityx.com/blog/cyber-security-blog/automotive-hpc-cybersecurity-guide/): Automotive HPC security is urgent and complex. Learn key risks, cybersecurity solutions and download our white paper to stay ahead.
- [トラックのサイバーセキュリティ:脅威に立ち向かう](https://plaxidityx.com/blog/blog-post/truck-cybersecurity-combating-threats-on-the-open-road/): コネクテッド化が進む商用トラックは、サイバー攻撃の新たな標的になっています。この記事では、トラックのサイバーリスクについて、そしてサイバー攻撃対策の基本を解説します。
- [Truck Cybersecurity: Combating Threats on the Open Road](https://plaxidityx.com/blog/blog-post/truck-cybersecurity-combating-threats-on-the-open-road/): In Truck Cybersecurity, the complexity of connected systems have created a broad attack surface for potential cyber threats to Trucks.
- [How You Can Use Git Reference Repository to Reduce Jenkins’ Disk Space](https://plaxidityx.com/blog/engineering-blog/how-you-can-use-git-reference-repository-to-reduce-jenkins-disk-space/): Read how you can use Git Reference Repository to reduce Jenkins’ disk space and what are the cyber security benefits. Click here & learn more
- [車載イーサネットカメラに対するハッキング](https://plaxidityx.com/blog/cyber-security-blog/hacking-automotive-ethernet-cameras/): 自動車サイバーセキュリティ業界、特にコネクテッドカーにおいて、自動車イーサネットカメラのハッキングがトレンドになっている理由をお読みください。 詳細については、ここをクリックしてください。
- [Hacking Automotive Ethernet Cameras](https://plaxidityx.com/blog/cyber-security-blog/hacking-automotive-ethernet-cameras/): Read why hacking automotive ethernet cameras is trending in the automotive cyber security industry, especially in connected cars. Click here for more!
- [Going Behind The Scenes of Docker Networking](https://plaxidityx.com/blog/engineering-blog/docker-networking-behind-the-scenes/): Docker is a set of PaaS products that use OS kernel virtualization (Containers), isolated and self contained filesystem, software, configurations and libraries.
- [自動車サイバーセキュリティ:急速に変化する規制状況への対応ガイド](https://plaxidityx.com/blog/blog-post/iso-21434-compliance/): 自動車業界のサイバーセキュリティ規制とコネクテッドカーのセキュリティを確保する方策について、UNR 155とISO/SAE 21434を中心にCSMSの導入方法や最新の世界の規制動向も紹介
- [ISO 21434 Compliance in Automotive Cybersecurity](https://plaxidityx.com/blog/blog-post/iso-21434-compliance/): Automotive cyber security regulations, such as ISO 21434, are designed to protect connected vehicles from cyber attacks and ensure vehicle safety.
- [External communication with Apache Kafka deployed in Kubernetes cluster](https://plaxidityx.com/blog/engineering-blog/external-communication-with-apache-kafka-deployed-in-kubernetes-cluster/): Read how the external communication with Apache Kafka feature deployed in Kubernetes cluster can help your automotive cyber security. Click here for more!
- [Hijacking SOME/IP Protocol with Man in the Middle Attack](https://plaxidityx.com/blog/engineering/some-ip-protocol-man-in-the-middle-attack/): SOME/IP: This article will describe a man in the middle attack on automotive applications, using SOME/IP protocol over in-vehicle Ethernet networks.
- [車両盗難への備え:新たなサイバー攻撃に必要な車両盗難防止対策の進化](https://plaxidityx.com/blog/blog-post/car-theft-on-steroids-how-cyber-powered-techniques-are-transforming-vehicle-protection/): サイバー車両盗難が世界的に拡大しています。自動車業界関係者が知っておくべき新たな攻撃手口と、新たな視点による盗難防止対策を紹介します。
- [Car Theft on Steroids: How Cyber-Powered Techniques Are Transforming Vehicle Protection](https://plaxidityx.com/blog/blog-post/car-theft-on-steroids-how-cyber-powered-techniques-are-transforming-vehicle-protection/): Cyber car theft surges. Discover how hackers steal cars in seconds, bypassing traditional security. Learn about new tech & aftermarket protection solutions.
- [自動車業界の技術戦:米国の対中・対露禁輸措置が引き起こす大混乱](https://plaxidityx.com/blog/blog-post/the-auto-tech-war-u-s-ban-on-china-and-russia-leaves-industry-scrambling/): 2025年1月に米国商務省が発表した中国製およびロシア製のコネクテッドーカー用ハードウェアおよびソフトウェアの販売・輸入禁止措置に関して、自動車業界への影響を考察しています。
- [The Auto Tech War: U.S. Ban on China and Russia Leaves Industry Scrambling](https://plaxidityx.com/blog/blog-post/the-auto-tech-war-u-s-ban-on-china-and-russia-leaves-industry-scrambling/): On Jan 14 2025 the Department of Commerce issued a rule banning the sale/import of connected vehicle hardware & software originating from China or Russia. Learn more.
- [動的SBOM:ソフトウェアセキュリティをリアルタイムで可視化](https://plaxidityx.com/blog/engineering/dynamic-sbom-monitoring-the-pulse-of-software-security/): 動的SBOM分析は、ライブラリの使用状況をリアルタイムで把握し、静的SBOM分析では見逃しがちな脆弱性の検出や対処の優先順位付けを行う上で強力なツールです。効果や検討すべき点について解説しています。
- [Dynamic SBOM: Monitoring the Pulse of Software Security](https://plaxidityx.com/blog/engineering/dynamic-sbom-monitoring-the-pulse-of-software-security/): Discover how Dynamic SBOM offers real-time insights into library usage to prioritize vulnerabilities and complement static analysis for robust software security.
- [市販の自動車ハッキングキットを解剖する](https://plaxidityx.com/blog/blog-post/a-tale-of-an-off-the-shelf-car-hacking-kit/): 市販のハッキングキットを調査し、自動車盗難のリスクや影響を分析した結果からOEMが採用すべきセキュリティ対策について解説します。
- [Unpacking an Off-the-Shelf Car Hacking Kit](https://plaxidityx.com/blog/blog-post/a-tale-of-an-off-the-shelf-car-hacking-kit/): A Curious Device Recently, the PlaxidityX (formerly Argus) research team encountered a curious item – a stylish handheld PSP-like device,...
- [自動車業界を脅かすサイバーリスク:なぜ断片的サイバーセキュリティ対策は危険なのか?
](https://plaxidityx.com/blog/blog-post/why-a-fragmented-approach-to-cyber-security-is-a-risk-the-automotive-industry-cant-afford/): 自動車業界に対応したプラットフォームアプローチを採用する重要性と、自動車サイバーセキュリティ対策の管理における利点について解説しています。
- [Why a Fragmented Approach to Cyber Security is a Risk the Automotive Industry Can’t Afford](https://plaxidityx.com/blog/blog-post/why-a-fragmented-approach-to-cyber-security-is-a-risk-the-automotive-industry-cant-afford/): The automotive industry is transforming rapidly. Vehicles are no longer just mechanical machines—they’re connected, software-driven, and part of a complex...
- [自動車用メモリ保護ユニットに隠れた脆弱性を解明](https://plaxidityx.com/blog/blog-post/is-your-memory-protecteduncovering-hidden-vulnerabilities-in-automotive-mpu-mechanisms/): 自動車用MPUは不正アクセスを防ぎ、セキュリティに対し重要な役割を担っています。ECUや組み込みシステムの安全性を脅かすリスクを解明し、効果的な対策を考察します。
- [Automotive Memory Protection Units: Uncovering Hidden Vulnerabilities](https://plaxidityx.com/blog/blog-post/is-your-memory-protecteduncovering-hidden-vulnerabilities-in-automotive-mpu-mechanisms/): Memory Protection Units (MPUs) play a crucial role in preventing unauthorized access, and in safeguarding against automotive security threats.
- [ギアを加速:自動車サイバーセキュリティの変革とAIの果たす役割](https://plaxidityx.com/blog/blog-post/shifting-gears-ais-role-in-transforming-automotive-cyber-security-post/): 巧妙化するサイバー攻撃に対し、AIを活用した自動車サイバーセキュリティ対策の進化と実用例、今後の期待される役割について見てみましょう
- [Driving Ahead of the Curve: How AI is Shaping Automotive Cybersecurity](https://plaxidityx.com/blog/blog-post/shifting-gears-ais-role-in-transforming-automotive-cyber-security-post/): Discover how AI is revolutionizing automotive cyber security, from anomaly detection in vehicle data to AI-powered XDR platforms. Learn how advanced AI tools mitigate modern cyber threats and safeguard connected vehicles.
- [DevSecOpsを加速する: 2024年調査レポート 車載ソフトウェア開発者のための洞察](https://plaxidityx.com/blog/cyber-security-blog/devsecops-in-high-gear-key-insights-for-automotive-developers-in-2024/): PlaxidityX は2024年「自動車業界から見たDevSecOps」のレポートを公開し、自動車業界全体のDevSecOps導入の現状を把握できるようにしました。
- [DevSecOps in High Gear: Key Insights for Automotive Developers in 2024](https://plaxidityx.com/blog/cyber-security-blog/devsecops-in-high-gear-key-insights-for-automotive-developers-in-2024/): PlaxidityX has released its annual 2024 DevSecOps Automotive Report, providing a comprehensive view of DevSecOps adoption across the industry.
- [CI/CDパイプライン:品質を維持し、追加コストをかけずに、自動化ソフトウェアのテスト時間を85%短縮する方法](https://plaxidityx.com/blog/rd/ci-cd-pipeline-how-to-reduce-85-of-automated-software-testing-duration-without-compromising-quality-or-incurring-additional-costs/): CI/CDパイプラインに組み込んだ自動化テストの効果を最大化させるための時間短縮について自分たちが実施した改善策についてご紹介します
- [CI/CD pipeline: How to reduce 85% of Automated Software Testing Duration without Compromising Quality or Incurring Additional Costs](https://plaxidityx.com/blog/rd/ci-cd-pipeline-how-to-reduce-85-of-automated-software-testing-duration-without-compromising-quality-or-incurring-additional-costs/): Introduction Automatic tests integrated into a CI/CD pipeline offer immeasurable benefits, but to be truly effective, they must align with...
- [EVのサイバーセキュリティ:PlaxidityXがEVerestオープンソースEV充電ファームウェアに重大な脆弱性を発見(CVE-2024-37310)](https://plaxidityx.com/blog/automotive-cyber-security/ev-cyber-security-plaxidityx-discovers-critical-vulnerability-in-everest-open-source-ev-charging-firmware-stack-cve-2024-37310/): EV充電ステーションの攻撃に使用される恐れのある脆弱性に関するブログ記事です。この重大な脆弱性に対してEVメーカーはどのような対策を取れるでしょうか。
- [EV Charging Cyber Security: PlaxidityX Discovers Critical Vulnerability in EVerest Open-Source EV Charging Firmware Stack (CVE-2024-37310)](https://plaxidityx.com/blog/automotive-cyber-security/ev-cyber-security-plaxidityx-discovers-critical-vulnerability-in-everest-open-source-ev-charging-firmware-stack-cve-2024-37310/): PlaxidityX research group researched EV charging protocols and discovered a critical vulnerability in EVerest Open-Source EV Charging Firmware Stack (CVE-2024-37310).
- [ユーザー・デファインド・ビークルの登場:テクノロジー、パーソナライゼーション、サイバーセキュリティの融合](https://plaxidityx.com/blog/automotive-cyber-security/the-rise-of-the-user-defined-vehicle-bridging-technology-personalization-and-cyber-security/): ユーザー・デファインド・ビークル(UDV)の登場は、まったく新しいデジタル体験になると同時に、考慮すべき自動車サイバーセキュリティの問題も提起しています。
- [The Rise of the User Defined Vehicle: Bridging Technology, Personalization, and Cyber Security](https://plaxidityx.com/blog/automotive-cyber-security/the-rise-of-the-user-defined-vehicle-bridging-technology-personalization-and-cyber-security/): Beyond the shift of mechanical controls to software, the Software Defined Vehicle allows for decoupling of hardware and software.
- [車載ECUのサイバーセキュリティ: SELinuxとHost Protectionのパワフルな組合せ](https://plaxidityx.com/blog/cyber-security-blog/ecu-cyber-security-selinux-and-host-protection-power-duo/): LinuxベースのECUを保護し、規制要件を満たすために、自動車グレードのセキュリティのレイヤーを追加して補完する必要があります
- [ECU Cyber Security: SELinux and Host Protection Power Duo](https://plaxidityx.com/blog/cyber-security-blog/ecu-cyber-security-selinux-and-host-protection-power-duo/): ECU Cyber Security: While SELinux is an effective general-purpose tool for software developers, it doesn't check all the boxes from an automotive cyber security standpoint.
- [自動車サイバーセキュリティリスク管理とそれを自動化する理由](https://plaxidityx.com/blog/cyber-security-blog/automotive-cyber-security-risk-management-why-to-automate-it/): 自動車サイバーセキュリティのための包括的な脅威分析とリスク評価(TARA)を確実に実施する体系的な方法の紹介とそれを自動化する方法をまとめています。
- [Automotive Cyber Security Risk Management & Why to Automate It](https://plaxidityx.com/blog/cyber-security-blog/automotive-cyber-security-risk-management-why-to-automate-it/): PlaxidityX’ TARA tool automates automotive supply chain risk management, to comply with evolving, stringent cybersecurity regulations.
- [自動車のためのDevSecOps: ソフトウェア・デファインド・ビークルの開発を加速し、サイバーセキュリティを強化](https://plaxidityx.com/blog/cyber-security-blog/devsecops-for-automotive-accelerating-development-and-bolstering-cyber-security-of-software-defined-vehicles/): V字モデルの初期工程からセキュリティテストを統合し、車載ソフトウェア開発を迅速かつ効率良く、かつ市場投入までの時間を短縮します。
- [DevSecOps for Automotive: Accelerating Development and Bolstering Cyber Security of Software-Defined Vehicles](https://plaxidityx.com/blog/cyber-security-blog/devsecops-for-automotive-accelerating-development-and-bolstering-cyber-security-of-software-defined-vehicles/): PlaxidityX DevSecOps offers automotive OEM and Tier1s tools to facilitate vehicle software devlopment with integrated cyber security.
- [二輪車向けサイバーセキュリティ規制の導入](https://plaxidityx.com/blog/vehicle-vulnerability-management/cyber-security-regulation-is-coming-to-two-wheelers/): UN R155の対象が二輪車へも拡大されます。規制対応に必要なリスク評価・セキュリティマネジメントの進め方を事例とともに紹介します。
- [Cyber Security Regulation is Coming to Two-Wheelers ](https://plaxidityx.com/blog/vehicle-vulnerability-management/cyber-security-regulation-is-coming-to-two-wheelers/): In Jan 2024 the UNECE extended its cybersecurity regulation to include motorcycles, scooters & electric bikes with speed exceeding 25 kmph.
- [レーンを守る: EvidenとPlaxidityXが自動車のサイバーセキュリティ強化のために提携](https://plaxidityx.com/blog/fleet-protection/guarding-the-lanes-eviden-and-argus-join-forces-to-fortify-automotive-cybersecurity/): コネクテッドカーとソフトウェア・デファインド・ビークルは、運転に革命をもたらしています。新しいテクノロジーは運転体験を向上させ、安全性を高める一方で、コネクティビティの向上は、自動車をより大きなサイバーセキュリティリスクにさらすことにもなります。 ソフトウェアの脆弱性を悪用すれば、セーフティ・クリティカルなシステム(ブレーキなど)を侵害したり、個人情報にアクセスしたり、あるいは遠隔から車を始動させることもできます。これは、19歳のIT専門家がサードパーティ製アプリの脆弱性を悪用し、複数の車両機能を遠隔操作したテスラ・ハックの例で実証されています。最近よく聞かれる自動車盗難の手法である「CANインジェクション」と呼ばれるハッキング技術では、窃盗犯はキーを使用せずに、2分以内に車のロックを解除し、始動させ、盗むことができます。 データプライバシー規制がOEMに与える影響 データプライバシーは、自動車のコネクティビティの重要な要素の1つです。自動車から収集されるデータはOEMが顧客理解を深めるのに役立ちますが、同時に倫理的・法的な課題ももたらします。OEMはGDPRやCCPAといったデータ保護法を遵守する必要があり、自動車から収集される個人データを扱う際には、同意、セキュリティ、透明性が求められます。 データプライバシー規制を遵守することで、OEMはリスクを回避し、顧客との信頼を築くことができます。また、自社の製品やサービスを革新し、差別化するためにデータプライバシーを活用することもできます。プライバシー・バイ・デザインの原則と信頼性の高いセキュリティ・ソリューションを適用することで、OEMは顧客の期待に応えることができて、よりユーザー中心の安全なソリューションを構築することができます。 OEMに車両セキュリティ・オペレーション・センター(VSOC)が必要な理由 自動車に対するサイバー攻撃は、費用のかかるリコールや規制上の問題から賠償責任や評判の低下まで、OEMに大きな財務的インパクトを与えます。サイバーによって発生した自動車盗難は、保険会社への請求が増えることを意味し、ひいては所有者や車両運行会社の保険料が上がる可能性があります。 こうした現実の脅威を反映し、UNR155のような新しい自動車サイバーセキュリティ規制は、サイバー攻撃を検知、監視、調査、対応するシステムの導入をOEMに義務付けています。2024年7月には、すべての新型車または継続生産車が、サイバーセキュリティに関するUNR 155型式認証の対象になります。 その結果、OEM各社はサイバーセキュリティ能力を強化し、新たな自動車サイバーセキュリティ規制や基準に準拠できるようシステムを導入しています。 ここ数年の間に、従来のIT SOCで自動車サイバーセキュリティの規模、複雑さ、課題に対応するためには最適化が必要なことにOEMが気づき始めています。つまり、何百万ものエンドポイントを保護する必要性、12~15年の車両寿命、非常に複雑なサプライチェーン、厳格なコンプライアンス要件、コストのかかる緩和プロセスなどが含まれるためです。 最も重要なことは、ネットワークやデータを標的とするITサイバー攻撃とは異なり、自動車サイバー攻撃の影響は人命にかかわる可能性があるということです。悪意のあるハッカーが自動車のブレーキシステムを侵害するシナリオを想像してみてください。 人命が危険にさらされる可能性があり、何百万台ものコネクテッドカーがすでに運用されているため、OEMは車両をリアルタイムで監視し、車両に影響が及ぶ前に潜在的な脅威を検知するMDR(Managed Detection and Response)ソリューションを必要としています。従って、OEMはサイバー攻撃をリアルタイムで監視、調査、対応する専用の車両SOC(VSOC)を構築しているのです。 ソリューション:自動車のサイバーセキュリティに合わせた最適なMDRサービス 最高の防御を実現するための専門知識の統合: Evidenとプラクシディティ...
- [Guarding the Lanes: Eviden and PlaxidityX Join Forces to Fortify Automotive Cybersecurity](https://plaxidityx.com/blog/fleet-protection/guarding-the-lanes-eviden-and-argus-join-forces-to-fortify-automotive-cybersecurity/): Eviden and Argus offer OEMs a comprehensive VSOC/MDR service including threat hunting, incident management, and SOC operations. Learn more!
- [車と家の関係の始まり](https://plaxidityx.com/blog/cyber-security-blog/your-car-is-about-to-have-a-relationship-with-your-home/): コネクテッドカー、スマートホーム、そしてスマートフォンがバーに入っていく... ... これからオタク的な技術ジョークが始まる訳ではありません。あらゆるもの同士がつながるための一歩として、サムスン電子と現代自動車グループが、車がスマートホームと会話をする新しいライフスタイルの未来を創造するために提携したという最近の発表があります。どういうこと?と思いますか? 技術オタクではなく、新技術のアーリーアダプターでもない私たちのために、順を追って考えてみましょう。 スマートホームとは? 家庭にあるデジタル機器、家電製品、コントローラー、スイッチなどを思い浮かべてください。近年、これらの機器はますますスマートホームのエコシステムの一部となっていることに気づくでしょう。テレビ、スピーカー、玄関チャイム、エアコンのコントローラー、冷蔵庫など、数え上げればきりがありません。まず、これらのデバイスはインターネットに接続できるようになりました。しかし、単に接続性だけでなく、「スマート」なところは、センサーを活用してローカルデータをリアルタイムで収集し、インターネットからの無限のデータと組み合わせて賢く行動するということです。その結果、彼らはイケてるもの、便利なもの、単に奇妙なだけのものなど、多くの新しい技を習得します。例えば自宅の洗濯機は、投入された洗濯物の種類と量がわかるとその情報を乾燥機に伝え、この洗濯物を乾燥させるのに最適なプログラムを自動で設定します。照明のスイッチは私の照明の好みを知っていて、毎晩、日没の直前に完璧な組み合わせの照明がつきます。離れていてもスマホのアプリからドアの開錠ができます。嵐が来るのを事前に予測し、自動で窓のシャッターが下ります。これらのスマートデバイスやスイッチはすべてワイヤレスでインターネットに接続され、最終的にはスマートフォンで簡単にアクセスできるアプリに接続されています。 テクノロジー愛好家向けのニッチな市場のように聞こえるかもしれませんが、決してそうではありません。例えばグーグル、アマゾン、アップル、サムスンなど、ハイテク業界の大企業がスマートホームやスマートデバイスに多大な投資を行っています。以前は、スマートホーム技術は高価で導入するには複雑なものでしたが、現在では主流になりつつあります。 スマートカーとは? ソフトウェア・デファインド・ビークルという単語を耳にしたことがあるでしょうか。ModelSの登場で、2012年にTeslaがこのコンセプトを普及させたといっていいでしょう。簡単に言えば、車のハードウェアとソフトウェアを切り離すことで、自動車メーカーは車のライフを通じて定期的にソフトウェアを更新し続けることができるということです。問題の修正だけでなく、性能の向上、新機能の追加、新機能の導入も可能です。最近では、スマートフォンだけでなくインターネットにも接続された車が主流になってきています。ドライバーはストリーミング音楽、ポッドキャスト、オンラインラジオを聴くことができ、同乗者はビデオをストリーミング再生したり、オンラインビデオゲームで遊ぶことができます。そして、「リコール」の概念は完全に変わりました。かつては、安全上の問題を解決するためのリコールといえば、サービスセンターまで車を走らせ、ドライバーにとってはあまり楽しい経験ではないですが、整備士が部品を交換するまで数時間待つものでした。何百万ドルあるいはそれ以上ものコストがOEMに発生することは言うまでもありませんが、今日のリコールは、スマートフォンの定期的な更新のように、オーバージエア(OTA)アップデートで行われています。 さて、スマートホームとスマート/コネクテッドカーという2つの分野を理解したところで、最新の状況に話を戻しましょう。この2つの分野が出合い、少なくとも、交流が始まっているといえます。サムスンと現代自動車が先行者になっていますが、この流れは他のプレーヤーも必ず取り入れることでしょう。具体的には、サムスンと現代自動車は、新しい消費者向けサービスを提供するために、スマートホームとコネクテッドカー間の双方向通信を発表しました。 ホーム・トゥ・カーサービス 車のオーナーは、スマートホームのアプリを使って、車のエンジンをかけたり、車内温度の管理、窓の開閉、充電状況の確認など、自宅から車をコントロールできるようになります。これはコネクテッドカーのOEMアプリでも可能ですが、2つのエコシステムを組み合わせた新しいユースケースについて考えてみましょう。寒い日にスマートホームアプリでホームステータスを「留守」に設定すれば、車は自動的にドライブの準備と暖房の開始を指示されたと理解します。 カー・トゥ・ホームサービス 裏を返せば、車が家の中の機能をコントロールすることもできます。車載インフォテインメント・ディスプレイは、家の照明や温度をコントロールできるようになります。また別の、スマートなシナリオもあります。例えば、予期せぬ渋滞で帰宅が45分遅れるような場合、車が家の空調スケジュールを自動的に調整してエネルギーを節約することができます。また、EVのバッテリー残量や走行可能距離をテレビや家にあるスマート・ディスプレイに表示するなど、車両情報を共有して家にあるデバイスに表示することもできます。 では、なぜ心配するのでしょう? 一言で言えば、サイバーセキュリティです。コネクテッドカーはサイバー攻撃の標的になりつつあります。自動車がより多くのソフトウェアを搭載し、携帯電話、無線LAN、ブルートゥースなど複数の接続チャンネルを提供するようになるにつれ、意図せず新たな攻撃ベクトルが生まれています。自動車のサイバーセキュリティが業界で最初に注目されたのは、2015年に起こった有名なジープ・チェロキーのリサーチャーによるハッキングでした。 自動車へのサイバー攻撃、公表されたリスクや脆弱性は増加の一途をたどり、ついに自動車サイバーセキュリティ規制につながり、特に有名なものにUNECE R155規制、国際標準ISO/SAE 21434があります。 技術的に言えば、スマートホームのエコシステムを車に接続することは、まったく新しい攻撃ベクトルを導入することになります。大きいというよりも非常に巨大なものです。厳しい規制があり、品質と安全性の高い基準が設定されている自動車業界とは異なり、スマートホームデバイスはまだそこに至っていません。スマートデバイスのサイバーセキュリティへの対応は始まったばかりであり、無数のベンダーが製造したスマートデバイスが安価に普及するにつれ、スマートホームのエコシステムのサイバー態勢を評価することはかなり不可能になっています。脆弱性に関するニュースの報道から判断すると、素晴らしいとは言い難いのです。よく知られているRingセキュリティカメラは2019年にハッキングされ、顧客を危険にさらしました。より最近のカメラのセキュリティ報道は、Wyzeウェブカメラに関わるもので、自分のものではない知らないカメラからの映像フィードを短期間見ることができたと報告した所有者がいたため、ニューヨークタイムズのWirecutterは6年間のレビューの後、Wyzeセキュリティカメラの推奨を取り下げました。しかし、スマートホームのセキュリティに関する懸念はウェブカメラだけではありません。リサーチャーたちは、スマート電球でさえハッキングされる可能性があり、ハッカーはそこから自宅のWi-Fiネットワークに侵入し、個人情報を盗むことができることがわかりました。...
- [Your car is about to have a relationship with your home](https://plaxidityx.com/blog/cyber-security-blog/your-car-is-about-to-have-a-relationship-with-your-home/): A connected car, a smart home and a smartphone walk into a bar... This could be the beginning of a...
- [業界リーダーが協力し、次世代の自動車およびモビリティ・セキュリティ・ソリューションのパイオニアに](https://plaxidityx.com/blog/cyber-security-blog/industry-leaders-unite-to-pioneer-next-generation-automotive-and-mobility-security-solution/): 業界リーダーが協力し、次世代の自動車およびモビリティ・セキュリティ・ソリューションのパイオニアに UNECEのWP. 29とISO 21434による今後の規制強化は、自動車産業におけるセキュリティ・ライフサイクルの安全確保に関するコンプライアンス要件を推進するものです。このコンプライアンスを実現するためには、自動車産業特有の複雑性から、設計・開発、製造、路上での運用という自動車ライフサイクルの3段階すべてを網羅し、最終的には各車両の15~20年のセキュリティ・ライフサイクル全体を管理する、未来の自動車の安全性を確保するための包括的なアプローチが必要となります。 このような独特な課題に対処するため、PlaxidityX(旧アルガス)、CyberArk、Device Authority、マイクロソフトの革新的な協業により、自動車およびモビリティ・セキュリティのための次世代ソリューションが誕生しました。この包括的なプラットフォームベースのアプローチは、マイクロソフトの最新のAzure OpenAI Security Co-pilotテクノロジーを活用することで、コネクテッドカーの安全確保、データ主権・管理およびコンプライアンスの確保、クラウドとエンタープライズ環境の保護といった複雑な課題に対処します。 この協業は、自動車とモビリティのセキュリティにおける大きな飛躍を意味し、各社の強みを組み合わせて堅牢なエンドツーエンドのソリューションを構築します。コネクテッドカーがもたらす独特な課題に取り組むことで、このパートナーシップは、急速に進化する自動車業界において、セキュリティ・データ管理とコンプライアンスの新たなベンチマークとなるでしょう。 コラボレーションとイノベーションの主要分野: 包括的でセキュアなソフトウェア開発環境 GitHub Copilotと開発環境を活用することで、ソフトウェア開発を加速し、開発者が問題解決とコラボレーションにより多くのエネルギーを集中させ、ありふれた定型的な作業に労力を費やさないようにします。バイナリコード分解ツールを使用して、大規模な自動車ソフトウェアの脅威サーフェスのセキュリティ態勢を確立します。 エンド・ツー・エンドのセキュリティ サイバーセキュリティ・ソリューションのシームレスな統合により、Vehicle Security Operation Center (VSOC)やVehicle...
- [Industry Leaders unite to Pioneer Next Generation Automotive and Mobility Security Solution](https://plaxidityx.com/blog/cyber-security-blog/industry-leaders-unite-to-pioneer-next-generation-automotive-and-mobility-security-solution/): Industry Leaders Unite to Pioneer Next-Generation Automotive and Mobility Security Solution The upcoming regulatory mandates from UNECE’s WP. 29 and...
- [中間者攻撃によるSOME/IPプロトコルの乗っ取りについて](https://plaxidityx.com/ja/blog/cyber-security-blog-ja/some-ip-protocol-man-in-the-middle-attack/): SOME/IPプロトコルの仕組みと脆弱性、それを使った自動車アプリケーションに対する中間者(MITM)攻撃について、またそれを軽減する方法について説明します。
- [SDVサイバーセキュリティ入門: 自動車の安全な未来のために](https://plaxidityx.com/blog/cyber-security-blog/intro-to-sdv-cyber-security-securing-the-future-of-automotive/): SDVサイバーセキュリティが自動車の未来を守る鍵となります。このブログではSDVにおけるサイバー脅威を技術的観点から解説し、その対策と業界動向について解説します。
- [Intro to SDV Cyber Security: Securing the Future of Automotive](https://plaxidityx.com/blog/cyber-security-blog/intro-to-sdv-cyber-security-securing-the-future-of-automotive/): SDV cyber security: Argus security experts explore challenges facing vehicle manufacturers as they look for ways to protect SDVs from cyber threats.
- [自動車セキュリティを合理化する:AUTOSARおよびLinuxベースECU向け侵入検知システムマネジャー(IdsM)](https://plaxidityx.com/blog/ecu-protection/streamlining-automotive-cyber-security-ids-management-idsm-for-autosar-and-linux-ecus/): Qsevを活用したIdsMで、AUTOSARおよびLinux ECUのサイバーセキュリティ管理を効率化しましょう。運用負荷を抑えつつモニタリングを最適化する方法をご紹介します。
- [Streamlining Automotive Cyber Security: IDS Manager (IdsM) for AUTOSAR and Linux ECUs](https://plaxidityx.com/blog/ecu-protection/streamlining-automotive-cyber-security-ids-management-idsm-for-autosar-and-linux-ecus/): Simplifying and streamlining VSOC integration – With standard security event formats across ECU platforms; Lower development costs of Linux
- [自動車サイバーセキュリティのシフトレフト:車両脆弱性管理におけるROI重視のアプローチ](https://plaxidityx.com/blog/vehicle-vulnerability-management/shifting-left-in-automotive-cyber-security-an-roi-driven-approach-for-vehicle-vulnerability-management/): 自動車サイバーセキュリティをV字モデルの初期段階に導入し、テストを効率よく行いながらソフトウェア開発のサイクル全体を効率よく回していきましょう。
- [Shifting Left in Automotive Cyber Security: An ROI-Driven Approach for Vehicle Vulnerability Management](https://plaxidityx.com/blog/vehicle-vulnerability-management/shifting-left-in-automotive-cyber-security-an-roi-driven-approach-for-vehicle-vulnerability-management/): Learn about PlaxidityX's ROI-driven approach to vehicle vulnerability management and automotive cyber security.
- [Enabling a Digital Driving Experience with End-to-End Cyber Security](https://plaxidityx.com/blog/blog-post/enabling-a-digital-driving-experience-with-end-to-end-cyber-security/): The automotive industry is in the midst of a digital revolution – and this transformation is powered by software. Software-defined...
- [ASPICEとサイバーセキュリティを連携させ品質管理を効率化させる方法](https://plaxidityx.com/blog/blog-post/aligning-aspice-and-cyber-security-for-more-efficient-quality-management/): 自動車ソフトウェア・システムエンジニアリングにおけるコンプライアンスのベースラインには、ASPICE (Automotive SPICE®) Cyber Securityが役に立ちます。
- [Aligning ASPICE and Cyber Security for More Efficient Quality Management](https://plaxidityx.com/blog/blog-post/aligning-aspice-and-cyber-security-for-more-efficient-quality-management/): ASPICE (Automotive SPICE®) Cyber Security stands out when establishing a baseline for compliance in automotive software systems engineering.
- [リモート/パッシブ・キーレス・エントリー・システムにおける脆弱性の軽減](https://plaxidityx.com/blog/vehicle-vulnerability-management/mitigating-vulnerabilities-in-remote-passive-keyless-entry-systems/): キーレスエントリーシステムのセキュリティ:RKEやPKEは自動車窃盗やハッカーに弱いシステムです。リスク軽減に向けて何ができるか、みてみましょう。
- [Mitigating Vulnerabilities in Remote/Passive Keyless Entry Systems](https://plaxidityx.com/blog/vehicle-vulnerability-management/mitigating-vulnerabilities-in-remote-passive-keyless-entry-systems/): Keyless entry systems security: RKE/PKE systems are susceptible to attacks from hackers and car thieves. Learn more about mitigating the risks
- [「CANインジェクション」による自動車盗難を防ぐためにOEMができること](https://plaxidityx.com/blog/blog-post/what-oems-can-do-to-prevent-can-injection-car-theft/): CANインジェクションが高級車盗難のハッキング手法としてニュースになっています。この手法の仕組みと自動車メーカーに何ができるか、検証してみましょう。
- [What OEMs Can Do to Prevent “CAN Injection” Car Theft](https://plaxidityx.com/blog/blog-post/what-oems-can-do-to-prevent-can-injection-car-theft/): Prevent CAN Injection car theft: One very effective measure is to deploy an Intrusion Detection and Prevention System (IDPS) in the vehicle’s CAN network.
- [少量生産を行うOEM向けの自動車サイバーセキュリティのベストプラクティス](https://plaxidityx.com/blog/blog-post/automotive-cyber-security-best-practices-for-small-series-oems/): 2024年、すべての新型/継続生産の自動車モデルがUNR155サイバーセキュリティ型式承認の対象となります。準備はできていますか?
- [Automotive Cyber Security Best Practices for Small-Series OEMs](https://plaxidityx.com/blog/blog-post/automotive-cyber-security-best-practices-for-small-series-oems/): Jesse K. Sultanik, Director of Business Development In July 2024, all new or existing “vehicle types” will be subject to...
- [Alexa(アレクサ)、サイバー攻撃から保護されていますか?](https://plaxidityx.com/blog/unr/alexa-are-you-protected-against-cyber-attacks/): バーチャル・アシスタント技術は、30年以上前の小さな一歩から着実に進歩しています。今日のデジタルに精通したミレニアル世代は、AIを搭載したバーチャル・アシスタントやチャット・ボットが提供する高度に個人向けに最適化されたサービスを、家庭でも職場でも期待するようになってきています。
- [Alexa, are you protected against cyber attacks?](https://plaxidityx.com/blog/unr/alexa-are-you-protected-against-cyber-attacks/): Alexa cyber security for vehicles: to ensure compliance, OEMs are mandated to pass security assessments with authorized third-party labs.
- [How Quantum Computing Could Affect the Automotive Landscape](https://plaxidityx.com/blog/vehicle-vulnerability-management/how-quantum-computing-could-affect-the-automotive-landscape/): Itay is a leading security researcher in the PlaxidityX (formerly Argus Cyber Security) Cyber Penetration Testing team. Among his roles,...
- [PlaxidityX VVMにAUTOSAR Automatic SBOM Extraction機能を追加](https://plaxidityx.com/blog/vehicle-vulnerability-management/plaxidityx-vvm-now-offers-autosar-automatic-sbom-extraction-capabilities/): SBOM抽出機能追加により、課題であったAUTOSAR ECUの脆弱性スキャンが可能になります。車載ソフトウェアの脆弱性管理は、規制準拠のためにも重要です。
- [PlaxidityX VVM Now Offers AUTOSAR Automatic SBOM Extraction Capabilities](https://plaxidityx.com/blog/vehicle-vulnerability-management/plaxidityx-vvm-now-offers-autosar-automatic-sbom-extraction-capabilities/): PlaxidityX' new AUTOSAR SBOM Extraction capability enables vulnerability scanning of AUTOSAR-Based ECUs. Read on and learn more!
- [未来のコネクテッドカー技術:諸刃の剣](https://plaxidityx.com/blog/cyber-security-blog/tomorrows-connected-car-technologies-risk-or-reward/): コネクテッドカーに対するサイバー脅威対策の必要性が高まっています。自動車メーカーは、消費者の求める対策をモビリティに導入することで、チャンスを掴むことができます。
- [Tomorrow’s Connected Car Technologies: Risk or Reward?](https://plaxidityx.com/blog/cyber-security-blog/tomorrows-connected-car-technologies-risk-or-reward/): What is the future holding for automotive cyber security technoilogies - more vulnerabilities or more advantages? Click here for our analysis!
- [Discovering Tunneling Service Security Flaws in AnyDesk Remote Application](https://plaxidityx.com/blog/engineering-blog/discovering-tunneling-service-security-flaws-in-anydesk-remote-application/): Discovering tunneling service security flaws in AnyDesk remote application is critical for automotive cyber security. Click here to learn all you need to know
- [Vehicle Manufacturers Need to Know What's Inside Their Supplier's Code](https://plaxidityx.com/blog/cyber-security-blog/vehicle-manufacturers-need-to-know-whats-inside-their-suppliers-code/): If you are a manufacturer of connected vehicles, you must be aware of what’s inside your suppliers' code. Click here to learn all you need to know!
- [Log4Shell—Vehicle Fleets Can be Impacted](https://plaxidityx.com/blog/cyber-security-blog/log4shell-vehicle-fleets-can-be-impacted/): Did you know that Log4Shell can compromize your automotive fleet's cyber security? Avoid any vulnerabilities and learn all you need to know by clicking here!
- [PlaxidityX Wins Automotive Cyber Security Innovation of the Year Award for its Outstanding, Industry-First Penetration Testing Technology](https://plaxidityx.com/blog/cyber-security-blog/argus-wins-automotive-cyber-security-innovation/): We won the Automotive Cyber Security Innovation of the Year Award for our innovative penetration testing technology. Click here to read the details!
- [Automate k8s Secrets Creation Using Terraform and ExternalSecrets](https://plaxidityx.com/blog/engineering-blog/automate-k8s-secrets-creation-using-terraform-and-externalsecrets/): Read why and how you should automate your k8s Secrets creation using Terraform and ExternalSecrets. Click here to learn all you need to know!
- [Using bitfield patterns to identify functions in binaries](https://plaxidityx.com/blog/engineering-blog/using-bitfield-patterns-to-identify-functions-in-binaries/): Read how you can bitfield patterns to identify functions in binaries and what are the cyber security advantages of it. Click here to learn all you need to know!
- [UNR 155: 3 Essentials for Automotive Cybersecurity Compliance](https://plaxidityx.com/blog/cyber-security-blog/3-essentials-for-automotive-cybersecurity-compliance-unr-155/): Read about the three essentials required for automotive cybersecurity compliance with the important UNR 155 standard. Learn more!
- [Attention Vehicle Manufacturers: The Vulnerability Management Countdown Has Begun](https://plaxidityx.com/blog/cyber-security-blog/attention-vehicle-manufacturers-the-vulnerability-management-countdown-has-begun/): Learn what procedures vehicle manufacturers must pay attention to in automotive cyber security vulnerability management. Click here so you don't miss out!
- [Cracking Anomaly Detection on System Logs](https://plaxidityx.com/blog/engineering-blog/anomaly-detection-on-system-logs/): One of the foundations of automotive cyber security is successfully monitoring and detecting anomalies on system logs. Click here to learn all you need to know!
- [最適な車両サイバーセキュリティのため、ファジングを用いて侵入テストを補完する方法](https://plaxidityx.com/blog/cyber-security-blog/how-fuzzing-complements-penetration-testing-for-optimal-vehicle-cybersecurity/): ファジングツールは効率よくバグや脆弱性の検出を行うことができ、手作業が必要なペネトレーションテストとうまく組み合わせて運用することをお勧めします。
- [How Fuzzing Complements Penetration Testing for Optimal Vehicle Cybersecurity](https://plaxidityx.com/blog/cyber-security-blog/how-fuzzing-complements-penetration-testing-for-optimal-vehicle-cybersecurity/): If you have not already implemented fuzzing into with your automotive penetration testing procedures - you should. Click here to learn why and how!
- [Addressing API Vulnerabilities in Connected Car Services and Fleets](https://plaxidityx.com/blog/cyber-security-blog/addressing-api-vulnerabilities-in-connected-car-services-and-fleets/): API vulnerabilities are prevelant in almost every connected car service and global fleet. In this article we explain the risks for OEMs and fleet managers.
- [自動車の侵入テストにおける6つの必須事項](https://plaxidityx.com/blog/cyber-security-blog/6-must-dos-of-vehicle-penetration-testing/): 自動車ペネトレーションテストとは、脆弱性やセキュリティの欠陥、セキュリティ要件の適切な実装を検証するシミレーションテストです。この必須事項をまとめています。
- [6 Must-Do’s of Vehicle Penetration Testing](https://plaxidityx.com/blog/cyber-security-blog/6-must-dos-of-vehicle-penetration-testing/): Read about the six must-do’s of performing vehicle penetration testing for optimal automotive cyber security. Click here to learn all you need to know!
- [High Profile Linux Vulnerability May Make Vehicles Susceptible to Cyber Attack](https://plaxidityx.com/blog/cyber-security-blog/high-profile-linux-vulnerability/): As vehicles become increasingly software driven their risk of cyber attack grows. To learn more about how this CVE and others can impact you - read this blog!
- [IPA Approaches for Vehicle Information Security](https://plaxidityx.com/blog/standards-and-compliance/ipa-approaches-for-vehicle-information-security/): The Japanese IPA is a governmental agency tasked with monitoring and analyzing shifting IT trends and technologies. Click here to learn all you need to know!
- [ISO 14229-1:2013 Road Vehicles - Unified Diagnostic Services (UDS) - Part 1: Specification and Requirements](https://plaxidityx.com/blog/standards-and-compliance/iso-14229-12013-unified-diagnostic-services-uds/): ISO 14229 defines common requirements for diagnostic systems, whatever the serial data link is. Click here to learn all you need to know about ISO 14229!
- [Virtual Chat Recording & Q&A: The Origins and Impact of WP.29’s Regulation on Automotive Cyber Security & CSMS](https://plaxidityx.com/blog/standards-and-compliance/impact-wp-29-virtual-chat/): The rise in cyberattacks against vehicles has led to multiple standards, best practices and imminent regulations, that OEMs & Tier 1s may battle to comply with
- [Auto-ISAC Series of Automotive Cybersecurity Best Practices](https://plaxidityx.com/blog/standards-and-compliance/auto-isac-series-of-automotive-cybersecurity-best-practices/): The Auto-ISAC stems from PDD-63 on for the protection of the U.S. critical infrastructure. Learn its impact ob automotive cyber security here!
- [NHTSA Cybersecurity Best Practices for Modern Vehicles](https://plaxidityx.com/blog/standards-and-compliance/nhtsa-cybersecurity-best-practices-for-modern-vehicles/): The NHTSA’s goal is to leverage existing tools and technologies. The DOT HS 812 333 recommends using a layered approach to vehicle cybersecurity. Click for more
- [Raspberry Pi Remote Flashing](https://plaxidityx.com/blog/engineering-blog/raspberry-pi-remote-flashing/): Raspberry Pi is a low cost SBC developed in the UK by the Raspberry Pi Foundation to promote the teaching of basic computer science. Clicl here to learn more!
- [Our NestJS Adoption Story: The Need for an Extensive Application Framework](https://plaxidityx.com/blog/engineering-blog/our-nestjs-adoption-story/): There are various alternatives to the Scala/Play framework. This article presents a detailed overview of 1 alternative - called NestJS. Click here for more!
- [Trusted Execution Environment (TEE)](https://plaxidityx.com/blog/standards-and-compliance/trusted-execution-environment-tee/): The Trusted Execution Environment (TEE) is a secure area that resides alongside the REE of the main processor in connected devices. Click here to learn more!
- [SP 800-153 Guidelines for Securing Wireless Local Area Networks (WLANs)](https://plaxidityx.com/blog/standards-and-compliance/sp-800-153-guidelines-for-securing-wireless-local-area-networks-wlans/): The NIST SP 800-153 document was developed to provide security guidance for WLAN connections based on the IEEE 802.11 specification. This standard is meant to supplement, not override any other NIST documents, guidelines, and standards related to communication security. The SP 800-153 is considered one of the vital digital security documents aimed at providing the groundwork for a significant portion of IoT connections, including applications that relate to the smart city/automotive combination.
- [ISO/IEC 30111:2013 Information Technology - Security Techniques - Vulnerability Handling Processes](https://plaxidityx.com/blog/standards-and-compliance/iso-iec-301112013-information-technology-security-techniques-vulnerability-handling-processes/): ISO/IEC 30111:2013 (Vulnerability Handling Processes) has been developed by the ISO and IEC’s JTC 1/SC 27 Technical Committee. Click here to learn more!
- [ISO/IEC 29147:2018 Information Technology - Security Techniques - Vulnerability Disclosure](https://plaxidityx.com/blog/standards-and-compliance/iso-iec-291472018-information-technology-security-techniques-vulnerability-disclosure/): ISO 29147 (Vulnerability Disclosure) has been developed by the ISO and IEC’s JTC 1/SC 27 Technical Committee. Click here to learn all you need to know about it!
- [PlaxidityX CAN IDS Production-Grade Integration Now Takes Only One Month with New PlaxidityX CAN IDS API and Generic CPU Architecture Support](https://plaxidityx.com/blog/cyber-security-blog/argus-can-ids-production-grade-integration-now-takes-only-one-month-with-new-argus-can-ids-api-and-generic-cpu-architecture-support/): Read about the sharp increase in demand among OEMs to integrate CAN Intrusion Detection Systems (IDS) in multiple ECUs. Click here to learn more!
- [Over 17 Million Vehicles To Be Secured by PlaxidityX Connected ECU Protection](https://plaxidityx.com/blog/cyber-security-blog/over-17-million-vehicles-to-be-secured-by-argus-connected-ecu-protection/): Argus Connected ECU Protection to secure more than 17 million vehicles in production projects for multiple OEMs over the next few years. Click here for more!
- [Guide to Busybox Compilation on Automotive Build Platforms](https://plaxidityx.com/blog/engineering-blog/guide-to-busybox-compilation-on-automotive-build-platforms/): Busybox is an GPL2 software project combining tiny versions of common UNIX utilities into a single small executable. Knife of Embedded Linux. Read more here!
- [E-safety Vehicle Intrusion Protected Applications (EVITA)](https://plaxidityx.com/blog/standards-and-compliance/e-safety-vehicle-intrusion-protected-applications-evita/): The EVITA project was an automotive cyber security initiative co-funded by the European Union. Click here to learn all you need to know about it!
- [ISO/IEC 27035:2016 Information Technology, Security Techniques, and Information Security Incident Management](https://plaxidityx.com/blog/standards-and-compliance/iso-iec-270352016-information-technology-security-techniques-and-information-security-incident-management/): ISO 27035 is a two-part standard developed by the ISO and the IEC, notably the ISO/IEC JTC 1/SC 27 Technical Committee. Click here to learn all you need to know
- [UNECE WP29 Automotive Cybersecurity Regulation](https://plaxidityx.com/blog/standards-and-compliance/unece-wp29-automotive-cybersecurity-regulation/): WP 29 cyber security is the world forum for the harmonization of vehicle regulations which defines the process of type approval for all vehicle types.
- [Federal Motor Vehicle Safety Standard 114: Theft Protection and Rollaway Prevention](https://plaxidityx.com/blog/standards-and-compliance/federal-motor-vehicle-safety-standard-114-theft-protection-and-rollaway-prevention/): The Confidentiality and Integrity Algorithms for GSM and GPRS (specifically the A5/3, A5/4, GEA43, and GEA4) are tied to patents held by Mitsubishi
- [Cyber-Physical Mobile Apps](https://plaxidityx.com/blog/standards-and-compliance/cyber-physical-mobile-apps/): The Confidentiality and Integrity Algorithms for GSM and GPRS (A5/3, A5/4, GEA43 & GEA4) are tied to patents held by the Mitsubishi. Click here to learn more!
- [UNECE Recommendation on Software Update Processes](https://plaxidityx.com/blog/standards-and-compliance/unece-recommendation-on-software-update-processes/): Read about UNECE's recommendation on software update processes and its applications in automotive cyber security. Click here to learn all you need to know!
- [eSIM GSMA: The SIM for the Next Generation of Connected Consumer Devices](https://plaxidityx.com/blog/standards-and-compliance/esim-gsma-the-sim-for-the-next-generation-of-connected-consumer-devices/): The Confidentiality and Integrity Algorithms for GSM and GPRS (A5/3, A5/4, GEA43 and GEA4) are tied to patents held by the Mitsubishi Electric Corporation Japan
- [PAS 1885:2018 - The Fundamental Principles of Automotive Cyber-Security](https://plaxidityx.com/blog/standards-and-compliance/pas-18852018-the-fundamental-principles-of-automotive-cyber-security/): Read about PAS 1885:2018: the fundamental principles of automotive cyber-security and its applications. Click here to learn all you need to know about it!
- [Public Key Certificate x.509](https://plaxidityx.com/blog/standards-and-compliance/public-key-certificate-x-509/): Read about Public Key Certificate x.509 its applications & benefits in automotive cyber security. Click here to learn all you need to know about x.509!
- [Execution Environment (EE) Architecture](https://plaxidityx.com/blog/standards-and-compliance/execution-environment-ee-architecture/): The Confidentiality and Integrity Algorithms for GSM and GPRS (specifically the A5/3, A5/4, GEA43, and GEA4) are tied to patents held by the Mitsubishi Electric Corporation Japan
- [Open Web Application Security Project Mobile AppSec Verification Standard 1.1.4](https://plaxidityx.com/blog/standards-and-compliance/open-web-application-security-project-mobile-appsec-verification-standard-1-1-4/): Read about the Open Web Application Security project mobile AppSec verification standard 1.1.4 and its applications. Click here to learn all you need to know
- [Over-the-Air Update Security](https://plaxidityx.com/blog/standards-and-compliance/over-the-air-update-security/): Read about Over-the-Air (OTA) update security and its benefits for automotive cyber security. Click here to learn all you need to know about it!
- [Webinar Recording: What Can Vehicle Cyber Security Teams Learn from Other Industries](https://plaxidityx.com/blog/standards-and-compliance/regulations-compliance-webinar-wp29/): Vehicle cyber security teams can gain valuable insights from other industries for their own operations. Watch this webinar to learn what you've been missing!
- [ETSI EN 303 613 V1.1.0](https://plaxidityx.com/blog/standards-and-compliance/etsi-en303-613/): The ETSI EN 303 613 standard concerns ITS and specifically a V2X access layer specification for ITS operating in the 5 GHz frequency band. Read more here!
- [NIST SP 800-187 Guide to LTE Security](https://plaxidityx.com/blog/standards-and-compliance/nist-sp800-187/): The SP 800-187 standard from the NIST is focusing solely on 4G LTE. It outlines the capabilities, benefits, and challenges of deploying it. Click here for more
- [3GPP Confidentiality and Integrity Algorithms for GSM and GPRS](https://plaxidityx.com/blog/standards-and-compliance/3gpp-confidentiality-gsm-gprs/): The Confidentiality and Integrity Algorithms for GSM and GPRS (A5/3, A5/4, GEA43 & GEA4) are tied to patents held by the Mitsubishi Electric Corporation Japan
- [自動車サイバーセキュリティを担う自動車CISOが直面する最も重大な10の課題](https://plaxidityx.com/blog/cyber-security-blog/automotive-security-10-biggest-challenges-facing-oem-cisos/): もし、最高情報セキュリティ責任者(CISO)全員に共通していることと問われれば、1つは、「わからない」ことに対する怖れです
- [10 Biggest Challenges Facing Automotive CISOs Tasked with Vehicle Cyber Security](https://plaxidityx.com/blog/cyber-security-blog/automotive-security-10-biggest-challenges-facing-oem-cisos/): A CISO's biggest fear is not knowing. In this article, we discuss the rising challenges facing automotive CISOs tasked with vehicle cyber security.
- [Welcome to PlaxidityX Automotive Cyber Security Standards and Compliance Blog](https://plaxidityx.com/blog/standards-and-compliance/plaxidityx-standards-compliance-blog/): Argus automotive cyber security experts are happy to bring you this dedicated automotive standards and compliance blog. Click here to catch up on the latest!
- [Incident Response Procedures](https://plaxidityx.com/blog/standards-and-compliance/iso-sae-cd-21434-2/): Incident response is a relatively new area of security for the automotive sector, at least where it concerns connected vehicles. Click here to learn more!
- [ISO/SAE 21434 Road Vehicles - Cybersecurity Engineering](https://plaxidityx.com/blog/standards-and-compliance/iso-sae-21434/): The ETSI Technical Committee Intelligent Transportation System (ITS) has published more than 269 specifications and standards on ITS security. Click for more!
- [ETSI Intelligent Transport Systems; Security Standards Series](https://plaxidityx.com/blog/standards-and-compliance/etsi-intelligent-transport/): The ETSI Technical Committee Intelligent Transportation System has published more than 269 specifications and standards on the topic of ITS, including security
- [Uptane: Securing Software Updates for Automobiles](https://plaxidityx.com/blog/standards-and-compliance/uptane-securing-software-updates-for-automobiles/): Read about Uptane: securing software updates for automobiles and its applications in automotive cyber security. Click here to learn all you need to know!
- [SAE J3061 Cyber Security Guidebook For Cyber-Physical Vehicle Systems](https://plaxidityx.com/blog/standards-and-compliance/sae-j3061-cyber-security-guidebook-for-cyber-physical-vehicle-systems/): Read about SAE J3061 and its applications in cyber-physical vehicle systems and connected fleets. Click here to learn all you need to know about it!
- [Hersteller Initiative Software (HIS) Security Hardware Extension (SHE)](https://plaxidityx.com/blog/standards-and-compliance/hersteller-initiative-software-his-security-hardware-extension-she/): Read about Hersteller Initiative Software Security Hardware Extension & what are the cyber security advantages of it. Click here to learn all you need to know!
- [NIST SP 800 121 Guide to Bluetooth Security](https://plaxidityx.com/blog/standards-and-compliance/nist-sp-800-121-guide-to-bluetooth-security/): The SP 800 121 standard from the NIST is focusing solely on bluetooth security. It outlines the capabilities, benefits, and challenges of it. Click for more!
- [NIST Special Publication 800-163 Vetting The Security of Mobile Applications](https://plaxidityx.com/blog/standards-and-compliance/nist-special-publication-800-163-vetting-the-security-of-mobile-applications/): The NIST Special Publication 800-163 is focusing on vetting the security of mobile applications. It outlines the capabilities, benefits & challenges. Click here
- [PlaxidityX teams up with Riscure to develop automotive-focused challenges for this year’s Riscure Hack Me competition](https://plaxidityx.com/blog/cyber-security-blog/argus-teams-riscure-develop-automotive-focused-challenges-years-riscure-hack-competition/): We team up with Riscure to develop automotive-focused challenges for this year’s Riscure Hack Me competition. Click here to learn more about the project!
- [REDUCING ATTACK SURFACES, HARDENING CYBERSECURITY](https://plaxidityx.com/blog/cyber-security-blog/11016-2/): Read how to reduce attack surfaces and harden cyber security for connected & autonomous vehicles and fleets. Click here to learn all you need to know!
- [A Remote Attack on the Bosch Drivelog Connector Dongle](https://plaxidityx.com/blog/cyber-security-blog/remote-attack-bosch-drivelog-connector-dongle/): A remote attack on the Bosch Drivelog Connector dongle is a serious automotive cyber security vulnerability. Click here to learn all you need to know!
- [Collaborative Reverse Engineering with PSIDA](https://plaxidityx.com/blog/engineering-blog/collaborative-reverse-engineering-psida/): Read why and how you should employ collaborative reverse engineering with PSIDA for automotive cyber security. Click here to learn all you need to know!
- [Monitoring Apache Spark (Streaming) with Prometheus](https://plaxidityx.com/blog/engineering-blog/monitoring-spark-prometheus/): Read how you can monitor Apache Spark (streaming) with Prometheus and what are the cyber security advantages of it. Click here to learn all you need to know!
- [Car Hacking Now Taking Center Stage](https://plaxidityx.com/blog/cyber-security-blog/car-hacking-now-taking-center-stage/): Read why car hacking is now taking center stage in the automotive cyber security industry, especially in connected vehicles. Click here to learn more!
- [BMW’s ConnectedDrive Cyber Security Flaw](https://plaxidityx.com/blog/cyber-security-blog/bmws-connecteddrive-cyber-security-flaw/): Read about BMW’s ConnectedDrive cyber security flaw to make sure your automotive cyber security operation is not compromised. Click here so you don't miss out!
- [A remote attack on an aftermarket telematics service](https://plaxidityx.com/blog/cyber-security-blog/remote-attack-aftermarket-telematics-service/): A remote cyber attack on the Zubie aftermarket telematics service is a serious automotive cyber security vulnerability. Click here to learn all you need to know
---
#
# Detailed Content
## Pages
### Compliance
> Get expert guidance to navigate & achieve ISO 21434, UN R155 & UN R156 compliance. Simplify automotive cybersecurity regulations & CSMS setup. Consult us!
- Published: 2025-05-06
- Modified: 2025-05-06
- URL: https://plaxidityx.com/automotive-cybersecurity-compliance/
- Translation Priorities: Optional
document. addEventListener("DOMContentLoaded", function { // Function to initialize the textarea auto-resizing function initializeTextareaAutoResize { // Select the form with class . c-form-hubspot const form = document. querySelector(". c-form-hubspot"); if (form) { console. log("Form found:", form); // Select the textarea inside the form const textarea = form. querySelector("textarea"); if (textarea && ! textarea. dataset. resizingInitialized) { if (textarea) console. log("Textarea found:", textarea); // Set initial height textarea. style. height = "100px"; // Function to auto-resize the textarea function autoResize { // Reset height to auto to calculate the new scrollHeight this. style. height = "auto"; // Set the height to match the scrollHeight this. style. height = this. scrollHeight + "px"; } // Attach the input event listener to the textarea textarea. addEventListener("input", autoResize); // Mark this textarea as initialized to prevent duplicate listeners textarea. dataset. resizingInitialized = "true"; // Stop checking once we've initialized resizing clearInterval(checkFormInterval); } } } // Check for the form every second const checkFormInterval = setInterval(initializeTextareaAutoResize, 1000); });
---
### Pentesting
> Strengthen vehicle security with expert automotive penetration testing. We identify ECU, CAN bus & system vulnerabilities for compliance. Contact our experts!
- Published: 2025-05-06
- Modified: 2025-05-06
- URL: https://plaxidityx.com/automotive-penetration-testing-contact/
- Translation Priorities: Optional
document. addEventListener("DOMContentLoaded", function { // Function to initialize the textarea auto-resizing function initializeTextareaAutoResize { // Select the form with class . c-form-hubspot const form = document. querySelector(". c-form-hubspot"); if (form) { console. log("Form found:", form); // Select the textarea inside the form const textarea = form. querySelector("textarea"); if (textarea && ! textarea. dataset. resizingInitialized) { if (textarea) console. log("Textarea found:", textarea); // Set initial height textarea. style. height = "100px"; // Function to auto-resize the textarea function autoResize { // Reset height to auto to calculate the new scrollHeight this. style. height = "auto"; // Set the height to match the scrollHeight this. style. height = this. scrollHeight + "px"; } // Attach the input event listener to the textarea textarea. addEventListener("input", autoResize); // Mark this textarea as initialized to prevent duplicate listeners textarea. dataset. resizingInitialized = "true"; // Stop checking once we've initialized resizing clearInterval(checkFormInterval); } } } // Check for the form every second const checkFormInterval = setInterval(initializeTextareaAutoResize, 1000); });
---
### PlaxidityX Coordinated Vulnerability Disclosure Policy
- Published: 2025-03-03
- Modified: 2025-03-10
- URL: https://plaxidityx.com/plaxidityx-coordinated-vulnerability-disclosure-policy/
- Translation Priorities: Optional
---
### PlaxidityX Coordinated Vulnerability Disclosure Policy
- Published: 2025-03-03
- Modified: 2025-03-05
- URL: https://plaxidityx.com/plaxidityx-coordinated-vulnerability-disclosure-policy/
- Translation Priorities: Optional
---
### パートナー
- Published: 2025-01-06
- Modified: 2025-03-24
- URL: https://plaxidityx.com/company/partners/
- Translation Priorities: Optional
---
### Partners
> Together with partners, PlaxidityX deliver end-to-end automotive cyber security solutions that boost business value to meet customer needs.
- Published: 2025-01-06
- Modified: 2025-03-17
- URL: https://plaxidityx.com/company/partners/
- Translation Priorities: Optional
---
### DevSecOps Platform
> 車載ソフトウェア開発ライフサイクル全体をカバーする、包括的なアプリケーションセキュリティ製品を提供。セキュリティ強化と効率化を実現します。
- Published: 2024-12-16
- Modified: 2024-12-23
- URL: https://plaxidityx.com/products/devsecops-platform/
- Translation Priorities: Optional
---
### DevSecOps Platform
> Automotive (SAST) DevSecOps Automation Platform | Transform your automotive software security across the development lifecycle.
- Published: 2024-12-16
- Modified: 2025-05-07
- URL: https://plaxidityx.com/products/devsecops-platform/
- Translation Priorities: Optional
---
### Automotive World - 2025
- Published: 2024-11-22
- Modified: 2024-11-22
- URL: https://plaxidityx.com/ja/automotive-world-2025/
- Translation Priorities: Optional
---
### ELIV
- Published: 2024-09-25
- Modified: 2024-09-30
- URL: https://plaxidityx.com/eliv-2024/
- Translation Priorities: Optional
---
### Auto-ISAC Annual Summit
- Published: 2024-09-23
- Modified: 2024-10-09
- URL: https://plaxidityx.com/auto-isac-annual-summit/
- Translation Priorities: Optional
---
### Security AutoTester
> 自動車ソフトウェア開発者向けにファジングテストやペネトレーションテストなどのエンタープライズレベルのセキュリティテストの実施をサポートします
- Published: 2024-05-06
- Modified: 2024-12-03
- URL: https://plaxidityx.com/products/security-autotester/
- Translation Priorities: Optional
---
### Security AutoTester
> Security AutoTester is an automotive fuzz testing tool for vehicles & components, used by automotive software developers, OEMs & suppliers.
- Published: 2024-05-06
- Modified: 2025-03-17
- URL: https://plaxidityx.com/products/security-autotester/
- Translation Priorities: Optional
---
### Code Security Manager
> 早期かつ頻繁にソースコードの脆弱性スキャンを行い、製品のセキュリティを向上させることで、市場投入までの時間を短縮し、コストを削減します
- Published: 2024-05-06
- Modified: 2024-12-03
- URL: https://plaxidityx.com/products/code-security-manager/
- Translation Priorities: Optional
---
### Code Security Manager
> We integrate static application security testing into early development with CI/CD integration, source-code analysis for robust pre-production security
- Published: 2024-05-06
- Modified: 2024-11-27
- URL: https://plaxidityx.com/products/code-security-manager/
- Translation Priorities: Optional
---
### Security AutoDesigner
> 脅威分析とリスク評価を実行し、車両アーキテクチャ、システム、コンポーネントについて規制に準拠した作業成果物の作成をサポートします
- Published: 2024-05-06
- Modified: 2024-12-03
- URL: https://plaxidityx.com/products/security-autodesigner/
- Translation Priorities: Optional
---
### Security AutoDesigner
> PlaxidityX' automotive TARA threat analysis and risk assessment software enables OEMs & Tier-1 suppliers to automate reports to secure vehicle ECUs
- Published: 2024-05-06
- Modified: 2024-11-27
- URL: https://plaxidityx.com/products/security-autodesigner/
- Translation Priorities: Optional
---
### SW Supply Chain Security
> 自動車サイバー規制に準拠し、製品のセキュリティを確保するため、既知およびプライベート脆弱性について自動バイナリSBOMスキャンを実行します
- Published: 2024-05-06
- Modified: 2024-12-03
- URL: https://plaxidityx.com/products/sw-supply-chain-security/
- Translation Priorities: Optional
---
### SW Supply Chain Security
> SW Supply Chain Security performs automatic binary SBOM extraction and scanning for vehicle vulnerabilities to comply with cybersecurity regulations.
- Published: 2024-05-06
- Modified: 2024-11-27
- URL: https://plaxidityx.com/products/sw-supply-chain-security/
- Translation Priorities: Optional
---
### Quality Policy
> PlaxidityX believes that transparency & collaboration are essential to automotive cyber security. Click here for an overview of PlaxidityX' quality policy!
- Published: 2024-05-01
- Modified: 2025-03-10
- URL: https://plaxidityx.com/quality-policy/
- Translation Priorities: Optional
---
### Quality Policy
> PlaxidityX believes that transparency & collaboration are essential to automotive cyber security. Click here for an overview of PlaxidityX' quality policy!
- Published: 2024-05-01
- Modified: 2024-08-05
- URL: https://plaxidityx.com/quality-policy/
- Translation Priorities: Optional
---
### JSAE 2024
- Published: 2024-04-11
- Modified: 2024-04-11
- URL: https://plaxidityx.com/ja/jsae-2024/
- Translation Priorities: Optional
---
### Request a free workshop
> ご質問や詳しい情報、もしくはデモのお申込みをご希望でしたら、こちらからお問い合わせください。
- Published: 2024-03-11
- Modified: 2024-09-16
- URL: https://plaxidityx.com/request-a-free-workshop/
- Translation Priorities: Optional
---
### Request a free workshop
> Learn how PlaxidityX can give you tangible cybersecurity benefits. Request a free workshop! One of our friendly team members will contact you
- Published: 2024-03-11
- Modified: 2024-08-05
- URL: https://plaxidityx.com/request-a-free-workshop/
- Translation Priorities: Optional
---
### 自動二輪車向けUNR155およびISO21434サイバーセキュリティコンプライアンス
> 二輪車メーカーにとってもサイバーセキュリティ対応が必須になります。CSMSとISO 21434への対応、型式認証やメンテナンスワークに向けた準備をしましょう。
- Published: 2024-03-11
- Modified: 2024-12-03
- URL: https://plaxidityx.com/motorcycle-type-approval-and-cybersecurity-compliance/
- Translation Priorities: Optional
---
### UNR 155 and ISO 21434 Cyber Security Compliance.
> With PlaxidityX motorcycle type approval consulting services, Two-Wheelers OEMs can achieve complete regulation compliance.
- Published: 2024-03-11
- Modified: 2024-12-02
- URL: https://plaxidityx.com/motorcycle-type-approval-and-cybersecurity-compliance/
- Translation Priorities: Optional
---
### Vdome
- Published: 2024-03-11
- Modified: 2024-08-21
- URL: https://plaxidityx.com/vdome/
- Translation Priorities: Optional
---
### PlaxidityX In-Vehicle Infotainment Cyber Guard
> PlaxidityX’ IVI cyber security system provides robust & adaptive security for IVI systems, ensuring resilience against evolving vehicle cyber threats.
- Published: 2024-03-06
- Modified: 2024-12-02
- URL: https://plaxidityx.com/solutions/plaxidityx-in-vehicle-infotainment-cybersecurity/
- Translation Priorities: Optional
---
### PlaxidityX In-Vehicle Infotainment Cyber Guard
> IVIシステムの幅広い攻撃対象領域に対して堅牢かつ適応性の高いセキュリティを提供するとともに、進化を続けるサイバー攻撃に対しレジリエンスを示します
- Published: 2024-03-06
- Modified: 2024-12-03
- URL: https://plaxidityx.com/solutions/plaxidityx-in-vehicle-infotainment-cybersecurity/
- Translation Priorities: Optional
---
### PlaxidityX In-Vehicle Infotainment Cyber Guard
> PlaxidityX’ IVI cyber security system provides robust & adaptive security for IVI systems, ensuring resilience against evolving vehicle cyber threats.
- Published: 2024-03-06
- Modified: 2024-12-02
- URL: https://plaxidityx.com/solutions/plaxidityx-in-vehicle-infotainment-cybersecurity/
- Translation Priorities: Optional
---
### PlaxidityX Zone Control Unit Protection
> 自動車サイバーセキュリティ規制UNR155への準拠のために必要な機能が、このソリューションを利用することで使用可能になります。
- Published: 2024-03-06
- Modified: 2024-12-03
- URL: https://plaxidityx.com/solutions/plaxidityx-zone-control-unit-security/
- Translation Priorities: Optional
---
### PlaxidityX Zone Control Unit Protection
> Our Automotive Zone Control Unit Protection helps OEMs, Tier-1 suppliers comply with regulations by providing IDS, AUTOSAR compatible firewall protection.
- Published: 2024-03-06
- Modified: 2024-12-02
- URL: https://plaxidityx.com/solutions/plaxidityx-zone-control-unit-security/
- Translation Priorities: Optional
---
### Escar USA
- Published: 2024-03-06
- Modified: 2024-03-06
- URL: https://plaxidityx.com/escar-usa/
- Translation Priorities: Optional
---
### EVS37 2024
- Published: 2024-02-23
- Modified: 2024-02-23
- URL: https://plaxidityx.com/evs37-2024/
- Translation Priorities: Optional
---
### VECS 2024
- Published: 2024-02-23
- Modified: 2024-02-23
- URL: https://plaxidityx.com/vecs-2024/
- Translation Priorities: Optional
---
### UNR155およびISO21434 サイバーセキュリティ・コンプライアンス
> UNR 155およびISO 21434に規定された管理システムの確立に向け、自動車サイバーセキュリティの包括的なコンサルティング、型式認証取得支援を提供します。
- Published: 2024-02-14
- Modified: 2024-12-03
- URL: https://plaxidityx.com/unr-155-and-iso-21434-cyber-security-compliance/
- Translation Priorities: Optional
---
### UNR 155 and ISO 21434 Cyber Security Compliance
> Achieve comprehensive automotive cyber security UNR 155 & ISO21434 compliance with customized processes & expert guidance.
- Published: 2024-02-14
- Modified: 2025-01-13
- URL: https://plaxidityx.com/unr-155-and-iso-21434-cyber-security-compliance/
- Translation Priorities: Optional
---
### TARAとサイバーセキュリティ・アーキテクチャデザイン
> 脅威分析とリスク評価(TARA)をはじめ、様々なサービスが揃っており、開発の初期段階からサイバーセキュリティを組込んだ車両アーキテクチャの実現をサポートします。
- Published: 2024-02-14
- Modified: 2024-12-03
- URL: https://plaxidityx.com/plaxidityx-tara-and-cyber-security-architecture-design/
- Translation Priorities: Optional
---
### PlaxidityX TARA and Cyber Security Architecture Design
> Threat analysis & risk assessment (TARA) for vehicle architectures, systems and components. Learn more about automotive security risk assessments.
- Published: 2024-02-14
- Modified: 2025-03-24
- URL: https://plaxidityx.com/plaxidityx-tara-and-cyber-security-architecture-design/
- Translation Priorities: Optional
---
### Automotive Penetration Testing
> ペネトレーションテストを通じ、規制準拠への支援およびAmazon Alexaのセキュリティ認証などお客様の製品のセキュリティ支援を行っています。
- Published: 2024-02-14
- Modified: 2024-12-03
- URL: https://plaxidityx.com/automotive-penetration-testing/
- Translation Priorities: Optional
---
### Automotive Penetration Testing
> PlaxidityX experts are global leaders in automotive cyber security pen-testing, with 100% success rates. Increase security & comply with regulations.
- Published: 2024-02-14
- Modified: 2025-03-24
- URL: https://plaxidityx.com/automotive-penetration-testing/
- Translation Priorities: Optional
---
### PlaxidityX Ethernet Switch Protection
> 車載Ethernetスイッチに事前統合されたIDPSソリューションを採用すれば、 規制準拠が容易になり、IDPS統合の複雑な作業コストを下げることができます。
- Published: 2024-01-30
- Modified: 2024-12-03
- URL: https://plaxidityx.com/solutions/plaxidityx-ethernet-switch-protection/
- Translation Priorities: Optional
---
### PlaxidityX Ethernet Switch Protection
> Our Ethernet Switch Protection helps OEMs, Tier1 suppliers comply with UNR regulation by providing IDPS & firewall capabilities that meet AUTOSAR standards
- Published: 2024-01-30
- Modified: 2024-12-02
- URL: https://plaxidityx.com/solutions/plaxidityx-ethernet-switch-protection/
- Translation Priorities: Optional
---
### Automotive World
- Published: 2023-12-26
- Modified: 2023-12-26
- URL: https://plaxidityx.com/ja/automotive-world/
- Translation Priorities: Optional
---
### vDome
> PlaxidityXのCANバスサイバーセキュリティソフトで車両盗難を防止!トラフィック監視と脅威検出により高度なサイバーネットワーク侵入防御機能を提供します。
- Published: 2023-12-19
- Modified: 2025-02-18
- URL: https://plaxidityx.com/products/vdome-can-injection-car-theft-protection/
- Translation Priorities: Optional
---
### vDome
> PlaxidityX’ vDome protects vehicles against CAN injection attacks, preventing keyless entry and CAN injection car theft.
- Published: 2023-12-19
- Modified: 2025-02-13
- URL: https://plaxidityx.com/products/vdome-can-injection-car-theft-protection/
- Translation Priorities: Optional
Example: vDome detects and prevents malicious CAN injection
---
### KSAE 2023
- Published: 2023-11-01
- Modified: 2023-11-01
- URL: https://plaxidityx.com/ksae-2023/
- Translation Priorities: Optional
---
### KSAE 2023
- Published: 2023-11-01
- Modified: 2023-11-01
- URL: https://plaxidityx.com/ksae-2023/
- Translation Priorities: Optional
---
### AUTOSARベースECUを
サ イバサイバーリスクから
保護する
革新的なモビリティの実現にむけて
- Published: 2023-10-30
- Modified: 2023-10-30
- URL: https://plaxidityx.com/ja/autosar%e3%83%99%e3%83%bc%e3%82%b9ecu%e3%82%92%e3%82%b5-%e3%82%a4%e3%83%90%e3%82%b5%e3%82%a4%e3%83%90%e3%83%bc%e3%83%aa%e3%82%b9%e3%82%af%e3%81%8b%e3%82%89%e4%bf%9d%e8%ad%b7%e3%81%99%e3%82%8b%e9%9d%a9/
- Translation Priorities: Optional
---
### CES 2024
- Published: 2023-10-30
- Modified: 2023-11-06
- URL: https://plaxidityx.com/ces-2024/
- Translation Priorities: Optional
---
### CES 2024
- Published: 2023-10-30
- Modified: 2023-12-02
- URL: https://plaxidityx.com/ces-2024/
- Translation Priorities: Optional
---
### Thank you - Mailing list
- Published: 2023-10-19
- Modified: 2023-10-19
- URL: https://plaxidityx.com/thank-you-mailing-list/
- Translation Priorities: Optional
---
### Thank you - demo
- Published: 2023-10-11
- Modified: 2023-10-11
- URL: https://plaxidityx.com/thank-you-demo/
- Translation Priorities: Optional
---
### escar Europe
- Published: 2023-08-16
- Modified: 2023-08-16
- URL: https://plaxidityx.com/escar-europe/
- Translation Priorities: Optional
---
### Auto-ISAC USA
- Published: 2023-08-15
- Modified: 2023-08-15
- URL: https://plaxidityx.com/auto-isac-usa/
- Translation Priorities: Optional
---
### ELIV
- Published: 2023-08-02
- Modified: 2023-09-27
- URL: https://plaxidityx.com/eliv/
- Translation Priorities: Optional
---
### Search
> 検索 Argus Cyber Security. 詳細については、当社の Web サイトをご覧ください。
- Published: 2023-08-01
- Modified: 2023-08-17
- URL: https://plaxidityx.com/search/
- Translation Priorities: Optional
---
### Search
> Search the entire Argus website to find what you're looking for in the field of automotive cyber security, vehicle cyber security & more.
- Published: 2023-08-01
- Modified: 2023-08-15
- URL: https://plaxidityx.com/search/
- Translation Priorities: Optional
---
### IAA Mobility
- Published: 2023-07-25
- Modified: 2023-07-26
- URL: https://plaxidityx.com/iaa-mobility/
- Translation Priorities: Optional
---
### 自動車サイバーセキュリティのギアを上げる(LP)
- Published: 2023-07-19
- Modified: 2023-09-22
- URL: https://plaxidityx.com/automotive-cybersecurity-lp/
- Translation Priorities: Optional
---
### Automotive Cybersecurity (LP)
- Published: 2023-07-19
- Modified: 2023-08-29
- URL: https://plaxidityx.com/automotive-cybersecurity-lp/
- Translation Priorities: Optional
---
### 自動車サイバーセキュリティのギアを上げる
- Published: 2023-07-19
- Modified: 2023-09-22
- URL: https://plaxidityx.com/automotive-cybersecurity/
- Translation Priorities: Optional
---
### Automotive Cybersecurity
- Published: 2023-07-19
- Modified: 2025-04-16
- URL: https://plaxidityx.com/automotive-cybersecurity/
- Translation Priorities: Optional
document. addEventListener("DOMContentLoaded", function { // Function to initialize the textarea auto-resizing function initializeTextareaAutoResize { // Select the form with class . c-form-hubspot const form = document. querySelector(". c-form-hubspot"); if (form) { console. log("Form found:", form); // Select the textarea inside the form const textarea = form. querySelector("textarea"); if (textarea && ! textarea. dataset. resizingInitialized) { if (textarea) console. log("Textarea found:", textarea); // Set initial height textarea. style. height = "100px"; // Function to auto-resize the textarea function autoResize { // Reset height to auto to calculate the new scrollHeight this. style. height = "auto"; // Set the height to match the scrollHeight this. style. height = this. scrollHeight + "px"; } // Attach the input event listener to the textarea textarea. addEventListener("input", autoResize); // Mark this textarea as initialized to prevent duplicate listeners textarea. dataset. resizingInitialized = "true"; // Stop checking once we've initialized resizing clearInterval(checkFormInterval); } } } // Check for the form every second const checkFormInterval = setInterval(initializeTextareaAutoResize, 1000); });
---
### Auto-ISAC Europe
- Published: 2023-05-29
- Modified: 2023-06-02
- URL: https://plaxidityx.com/auto-isac-europe/
- Translation Priorities: Optional
---
### Auto-ISAC Europe
- Published: 2023-05-29
- Modified: 2023-06-02
- URL: https://plaxidityx.com/auto-isac-europe/
- Translation Priorities: Optional
---
### escar
> 米国で開催される自動車サイバーセキュリティの主要カンファレンスにぜひご参加ください。
- Published: 2023-05-25
- Modified: 2023-08-17
- URL: https://plaxidityx.com/escar/
- Translation Priorities: Optional
---
### escar
- Published: 2023-05-25
- Modified: 2023-06-05
- URL: https://plaxidityx.com/escar/
- Translation Priorities: Optional
---
### JSAE
> PlaxidityXは、グループ会社コンチネンタルのブース内(小間番号94)において、自動車サイバーセキュリティソリューションのデモを行います。
- Published: 2023-05-17
- Modified: 2023-08-17
- URL: https://plaxidityx.com/ja/jsae/
- Translation Priorities: Optional
---
### PlaxidityX Small Series Starter kit
> 少量生産を行う自動車メーカーおよびTier1サプライヤーに必要な自動車サイバーセキュリティのコンプライアンス対応のためのソリューションがお役に立ちます。
- Published: 2023-03-13
- Modified: 2024-09-16
- URL: https://plaxidityx.com/plaxidityx-small-series-starter-kit/
- Translation Priorities: Optional
---
### PlaxidityX Small Series Starter kit
> Automotive EV Cybersecurity solution: Our starter kit for small-series automotive manufacturers provides an EV security compliance tailored framework.
- Published: 2023-03-13
- Modified: 2024-08-08
- URL: https://plaxidityx.com/plaxidityx-small-series-starter-kit/
- Translation Priorities: Optional
---
### CES 2023, schedule a meeting
> Argus Cyber Security is participating at the CES Las Vegas, Nevada event. Click here to learn what, when, where and book your visit!
- Published: 2022-12-22
- Modified: 2022-12-29
- URL: https://plaxidityx.com/ces-2023-schedule-a-meeting/
- Translation Priorities: Optional
---
### キャリア
> PlaxidityX でのキャリア. セキュアでコネクテッドな未来を共に目指す.
- Published: 2022-10-06
- Modified: 2025-04-07
- URL: https://plaxidityx.com/company/careers/
- Translation Priorities: 任意
---
### Careers
> PlaxidityX (Formerly Argus Cyber Security) is a global leader in vehicle cyber security. We protect lives - drivers & vehicle manufacturers from cyber attacks on their vehicles.
- Published: 2022-10-06
- Modified: 2025-04-07
- URL: https://plaxidityx.com/company/careers/
- Translation Priorities: 任意
---
### Thank you page
> お問い合わせいただきありがとうございます。折り返しご連絡を差し上げますので、しばらくお待ちください。
- Published: 2022-09-26
- Modified: 2023-08-17
- URL: https://plaxidityx.com/thank-you-download/
- Translation Priorities: Optional
---
### Thank you- Download
- Published: 2022-09-26
- Modified: 2023-10-11
- URL: https://plaxidityx.com/thank-you-download/
- Translation Priorities: Optional
---
### Request a demo
> ソフトウェアデファインドビークル、コネクテッドカーに搭載されるアルガスの先進組み込みテクノロジーとバックエンドサービスのデモをご体験ください。
- Published: 2022-09-22
- Modified: 2025-03-10
- URL: https://plaxidityx.com/request-a-demo/
- Translation Priorities: Optional
---
### Request a Demo
> We would love to demonstrate how PlaxidityX can give you tangible benefits. Click here now to book a free personalized demo and see for yourself!
- Published: 2022-09-22
- Modified: 2025-04-09
- URL: https://plaxidityx.com/request-a-demo/
- Translation Priorities: Optional
document. addEventListener("DOMContentLoaded", function { // Function to initialize the textarea auto-resizing function initializeTextareaAutoResize { // Select the form with class . c-form-hubspot const form = document. querySelector(". c-form-hubspot"); if (form) { console. log("Form found:", form); // Select the textarea inside the form const textarea = form. querySelector("textarea"); if (textarea && ! textarea. dataset. resizingInitialized) { if (textarea) console. log("Textarea found:", textarea); // Set initial height textarea. style. height = "100px"; // Function to auto-resize the textarea function autoResize { // Reset height to auto to calculate the new scrollHeight this. style. height = "auto"; // Set the height to match the scrollHeight this. style. height = this. scrollHeight + "px"; } // Attach the input event listener to the textarea textarea. addEventListener("input", autoResize); // Mark this textarea as initialized to prevent duplicate listeners textarea. dataset. resizingInitialized = "true"; // Stop checking once we've initialized resizing clearInterval(checkFormInterval); } } } // Check for the form every second const checkFormInterval = setInterval(initializeTextareaAutoResize, 1000); });
---
### Become a partner
> プラクシディティ エックスは、パートナーと協力して、顧客が安心して製品をより早く市場に投入できるよう支援しています。パートナー企業のお問合せはこちら。
- Published: 2022-09-22
- Modified: 2024-09-16
- URL: https://plaxidityx.com/become-a-partner/
- Translation Priorities: Optional
---
### Become a partner
> Become a partner of PlaxidityX. Send us contact request and one of our friendly team members will get back you.
- Published: 2022-09-22
- Modified: 2024-08-13
- URL: https://plaxidityx.com/become-a-partner/
- Translation Priorities: Optional
---
### CAN IDPS
> 車載トラフィックの監視、ネットワークへの脅威や異常の検知など、CANネットワークへのアタックに対する防御の仕組みを提供し、セキュリティを高めます。
- Published: 2022-09-15
- Modified: 2024-12-03
- URL: https://plaxidityx.com/products/can-protection/
- Translation Priorities: Optional
---
### CAN Protection
> PlaxidityX' CAN bus cyber security software monitors traffic, detects threats, anomalies & offers advanced cyber network intrusion prevention for vehicles.
- Published: 2022-09-15
- Modified: 2024-11-25
- URL: https://plaxidityx.com/products/can-protection/
- Translation Priorities: Optional
---
### Terms of Use
> PlaxidityX believes that transparancy & honesty are essential to automotive cyber security. Click here for an overview of PlaxidityX' terms of use!
- Published: 2022-09-07
- Modified: 2024-08-21
- URL: https://plaxidityx.com/terms-of-use/
- Translation Priorities: Optional
---
### Cookies Policy
> PlaxidityX believes that transparency & collaboration are essential to automotive cyber security. Click here for an overview of PlaxidityX' cookie policy!
- Published: 2022-09-07
- Modified: 2024-08-08
- URL: https://plaxidityx.com/cookie-policy/
- Translation Priorities: Optional
---
### Certifications
> Argus Cyber Security believes that transperancy & compatibility are essential to automotive cyber security. Click here for an overview of PlaxidityX's certifications!
- Published: 2022-09-07
- Modified: 2022-12-23
- URL: https://plaxidityx.com/company/certifications/
- Translation Priorities: Optional
---
### プラクシディティ エックスについて
> モビリティのための包括的なセキュリティソリューションを提供しているプラクシディティ エックスは、自動車メーカーおよびTier1サプライヤーの複雑なニーズに対応します
- Published: 2022-09-07
- Modified: 2025-03-06
- URL: https://plaxidityx.com/company/about/
- Translation Priorities: Optional
---
### About
> PlaxidityX (Formerly Argus Cyber Security) - About our team, history, our automotive, vehicle cyber security expertise, and more. Click here to learn all about PlaxidityX!
- Published: 2022-09-07
- Modified: 2025-05-15
- URL: https://plaxidityx.com/company/about/
- Translation Priorities: Optional
---
### PlaxidityX Fraud Detection
> プラクシディティ エックスは、SDVに対する不正なアクティビティを特定し、自動車メーカーとそのサプライヤーに及ぼす財務リスクと風評リスクを低減します
- Published: 2022-09-07
- Modified: 2024-12-03
- URL: https://plaxidityx.com/solutions/plaxidityx-fraud-detection/
- Translation Priorities: Optional, Optional
---
### PlaxidityX Fraud Detection
> Our cyber security software detects fraud in software-defined vehicles (SDVs) to minimize financial & reputational damages to vehicle manufacturers.
- Published: 2022-09-07
- Modified: 2024-12-02
- URL: https://plaxidityx.com/solutions/plaxidityx-fraud-detection/
- Translation Priorities: Optional
---
### PlaxidityX VMDR
> PlaxidityX's VMDR は、自動車サイバーセキュリティおよびコンプライアンスに対応したエンドツーエンドのモジュール型ソリューションです。
- Published: 2022-09-07
- Modified: 2023-08-17
- URL: https://plaxidityx.com/ja/solutions/argus-vmdr/
- Translation Priorities: Optional
---
### PlaxidityX Compliance Readiness
> 自動車型式認証取得には、サイバーセキュリティ対策を導入し、UNR 155やISO21434に準拠したシステムの確立、継続的なコンプライアンスの実現が必要です。
- Published: 2022-09-07
- Modified: 2024-09-16
- URL: https://plaxidityx.com/ja/solutions/plaxidityx-compliance-readiness/
- Translation Priorities: Optional
---
### Vehicle vulnerability management
> ISO/SAE 21434やUNR155などの規制要件を満たし、消費者の安全とプライバシーへの脅威を低減するには、自動車専用脆弱性管理ツールが有効です。
- Published: 2022-09-07
- Modified: 2024-09-16
- URL: https://plaxidityx.com/products/vvm/
- Translation Priorities: Optional
---
### Vehicle Vulnerability Management
> Our advanced system for detecting vulnerabilities in automotive assets including ECUs complies with ISO/SAE 21434 standards for automotive cyber security.
- Published: 2022-09-07
- Modified: 2024-08-05
- URL: https://plaxidityx.com/products/vvm/
- Translation Priorities: Optional
---
### XDR
> 高度なAIアナリティクスとトップレベルのセキュリティを備えたPlaxidityXDRで、進化するサイバーセキュリティ脅威の検知と対応をアップグレードしましょう
- Published: 2022-09-07
- Modified: 2024-12-03
- URL: https://plaxidityx.com/products/xdr/
- Translation Priorities: Optional
---
### PlaxidityXDR
> Vehicle SOC (VSOC): Enhance fleet management with PlaxidityXDR - advanced AI analytics for increased efficiency and regulation compliance.
- Published: 2022-09-07
- Modified: 2024-11-25
- URL: https://plaxidityx.com/products/xdr/
- Translation Priorities: Optional
---
### Ethernet IDPS
> Ethernetのサイバー対策を強化、特定のOSやハードウェアに依存せず、自動車向けの侵入検知・防御システム(IDPS)を構築してセキュリティを高めます。
- Published: 2022-09-07
- Modified: 2024-12-03
- URL: https://plaxidityx.com/products/ethernet-protection/
- Translation Priorities: Optional
---
### Ethernet Protection
> Our automotive network security for in-vehicle Ethernet networks provides monitoring, threat detection, attack prevention & AUTOSAR compliant firewall.
- Published: 2022-09-07
- Modified: 2024-11-25
- URL: https://plaxidityx.com/products/ethernet-protection/
- Translation Priorities: Optional
---
### Host IDPS
> 車載ECUを保護するホストIDPSを搭載することで、アタックサーフェスとなりうるECUを多層防御し、自動車の安全とコンプライアンスを支援します。
- Published: 2022-09-07
- Modified: 2024-12-03
- URL: https://plaxidityx.com/products/host-protection/
- Translation Priorities: Optional
---
### Host Protection
> PlaxidityX’ IDS automotive software drives compliance with detection, protection, logging, & fail-safe capabilities for Posix based ECUs running Linux & Android
- Published: 2022-09-07
- Modified: 2024-12-16
- URL: https://plaxidityx.com/products/host-protection/
- Translation Priorities: Optional
---
### 企業情報
- Published: 2022-09-07
- Modified: 2022-11-25
- URL: https://plaxidityx.com/company/
- Translation Priorities: Optional
---
### ソリューション
- Published: 2022-09-07
- Modified: 2022-11-25
- URL: https://plaxidityx.com/solutions/
- Translation Priorities: Optional
---
### サービス
> 侵入テスト、セキュリティコンサルティングサービス、エンジニアリングサービスなど、プラクシディティ エックスはお客様に合ったセキュリティサービスをご提供します。
- Published: 2022-09-07
- Modified: 2024-09-16
- URL: https://plaxidityx.com/services/
- Translation Priorities: Optional
---
### PlaxidityX Automotive Cyber Security Services
> PlaxidityX provides CSMS & automotive penetration testing services for automotive security compliance. Learn more.
- Published: 2022-09-07
- Modified: 2025-03-05
- URL: https://plaxidityx.com/services/
- Translation Priorities: Optional
---
### 製品
- Published: 2022-09-07
- Modified: 2022-11-25
- URL: https://plaxidityx.com/products/
- Translation Priorities: Optional
---
### お問合せ
> ご質問や詳しい情報、もしくはデモのお申込みをご希望でしたら、こちらからお問い合わせください。
- Published: 2022-09-07
- Modified: 2025-03-07
- URL: https://plaxidityx.com/company/contact/
- Translation Priorities: Optional
---
### Contact
> Want to contact the leading automotive cyber security team in the industry? Click here for a variety of ways to get in touch with PlaxidityX!
- Published: 2022-09-07
- Modified: 2025-04-22
- URL: https://plaxidityx.com/company/contact/
- Translation Priorities: Optional
document. addEventListener("DOMContentLoaded", function { // Function to initialize the textarea auto-resizing function initializeTextareaAutoResize { // Select the form with class . c-form-hubspot const form = document. querySelector(". c-form-hubspot"); if (form) { console. log("Form found:", form); // Select the textarea inside the form const textarea = form. querySelector("textarea"); if (textarea && ! textarea. dataset. resizingInitialized) { if (textarea) console. log("Textarea found:", textarea); // Set initial height textarea. style. height = "100px"; // Function to auto-resize the textarea function autoResize { // Reset height to auto to calculate the new scrollHeight this. style. height = "auto"; // Set the height to match the scrollHeight this. style. height = this. scrollHeight + "px"; } // Attach the input event listener to the textarea textarea. addEventListener("input", autoResize); // Mark this textarea as initialized to prevent duplicate listeners textarea. dataset. resizingInitialized = "true"; // Stop checking once we've initialized resizing clearInterval(checkFormInterval); } } } // Check for the form every second const checkFormInterval = setInterval(initializeTextareaAutoResize, 1000); });
---
### Blog
> 自動車セキュリティ情報について最新のニュースから技術の分析まで幅広く提供。車両の安全性向上や気になるテクノロジーに関する専門知識をお届けするブログ。
- Published: 2022-09-07
- Modified: 2024-09-16
- URL: https://plaxidityx.com/blog/
- Translation Priorities: Optional
---
### Blog
> Welcome to the PlaxidityX blog, the best place for updates about automotive cyber security. Click here to read the latest industry news!
- Published: 2022-09-07
- Modified: 2024-12-25
- URL: https://plaxidityx.com/blog/
- Translation Priorities: Optional
---
### Shifting gears in automotive cyber security
> Welcome to Argus Cyber Security, the global leader in vehicle & automotive cyber security. Learn about our innovative car cyber security solutions!
- Published: 2022-08-23
- Modified: 2024-06-17
- URL: https://plaxidityx.com/
- Translation Priorities: Optional
---
### 自動車サイバー セキュリティの ギアを上げる - PlaxidityX Security
> PlaxidityX(旧Argus)は、自動車業界向けのサイバーセキュリティソリューションのリーダー企業として、コネクテッドなモビリティの未来に信頼と安全をもたらします。
- Published: 2022-08-23
- Modified: 2025-05-01
- URL: https://plaxidityx.com/
- Translation Priorities: Optional
---
### Privacy Policy
> PlaxidityX believes that transparency & safety are essential to automotive cyber security. Click here for an overview of PlaxidityX' privacy policy!
- Published: 2022-08-23
- Modified: 2024-08-21
- URL: https://plaxidityx.com/privacy-policy/
- Translation Priorities: Optional
---
### Shifting gears in automotive cyber security
> Welcome to PlaxidityX (Formerly Argus Cyber Security), the global leader in vehicle & automotive cyber security. Learn about our innovative car cyber security solutions!
- Published: 2022-08-23
- Modified: 2025-05-20
- URL: https://plaxidityx.com/
- Translation Priorities: Optional
---
---
## Posts
### ISO 15118で実現するEVサイバーセキュリティ:充電インフラの安全性確保
> ISO 15118はEV充電の安全性と利便性を支える国際規格です。サイバー脅威対策とイノベーションを併存させるため、普及が進むEVと充電施設に対してどのようなサイバーセキュリティ対策ができるのか、解説しています。
- Published: 2025-05-29
- Modified: 2025-06-05
- URL: https://plaxidityx.com/blog/blog-post/iso-15118-ev-cybersecurity-guide/
- Categories: Automotive Cyber Security, Blog, Cyber Security Blog
- Tags: ECU, ECU Cyber Security
- Translation Priorities: Optional
電気自動車(EV)業界は急速に拡大しており、それに伴ってサイバーセキュリティの脅威へのリスクも高まっています。コネクテッドカーや充電ステーションの数が増える中、両者間の通信を安全に保つことが最重要課題となっています。そこで注目されるのが ISO 15118 です。この規格は、EV と充電機器間のやり取りを保護するために不可欠なプロトコルを提供します。 電気自動車のサイバーセキュリティ の重要性はますます高まっています。ISO 15118 は、充電プロセスにおいて信頼できる環境を構築することで、この課題に対応しています。この規格の仕組みを理解し、潜在的なリスクを特定することは、より安全な充電ネットワークを構築するうえで非常に重要です。 ISO 15118 規格とは? ISO 15118 (正式名称:「Road vehicles – Vehicle to grid communication interface」和訳「電気自動車 とグリッド(電力網)間の通信インターフェース」)は、ISO および IEC によって策定された国際標準規格です。この規格は、EV と充電ステーション間(規格では供給装置通信コントローラー(SECC)または 電気自動車供給装置(EVSE)と呼ばれます)の、包括的な IP ベースの通信プロトコルを定義しています。 ISO 15118 の主な目的は、シームレスで安全かつインテリジェントな通信を実現することです。これにより、Plug & Charge(PnC)、スマート充電、V2G(Vehicle-to-Grid)といった高度な機能をサポートします。 ISO 15118は、前身である DINSPEC-70121から発展し、現在では ISO 15118-2 や ISO 15118-20 といった複数の部分に分かれています。ISO 15118-2では、PnCなどの主要な概念が導入され、ISO 15118-20では、双方向のエネルギー転送や無線電力伝送への対応が拡張されています。さらに、すべてのV2GセッションをTLSの下で実施することを必須化するなど、セキュリティ面にもより一層の重点が置かれています。 この規格では、複数の通信層にまたがって使用される通信プロトコルが定義されています。具体的には次のとおりです。 物理層:有線通信において HomePlug Green PHY を使用する電力線通信(PLC)。 ネットワーク層:アドレッシングに IPv6 を使用。 セキュリティ層:TLS暗号化および公開鍵基盤(PKI) による安全な認証を実現。ISO 15118-2 では、TLSの使用はPnCを利用するV2Gセッションに限り必須。ISO 15118-20 では、すべての確立されたセッションにTLSが必須。 アプリケーション層:EVとEVSE間でやり取りされる充電パラメータや充電スケジュールの交渉、PnCの有効化などのV2Gメッセージのセットを定義。 EV充電ネットワークの拡大が生む新たな脅威 電気自動車は今や、交通エコシステムに不可欠な存在です。世界中で130万を超える充電ステーションが稼働しており、今後数年で数千万規模に達すると予測されています。このようにインフラが複雑化する中で、部品やベンダー、デジタルサービスの数が増えることで、潜在的な障害ポイントもますます増加しています。 リスクには大きく分けて2つのカテゴリーがあります。 通信経路:EV、充電器、バックエンドシステム間のデータ交換は、サイバー攻撃の主要な標的です。 インフラ構成要素:エコシステムに接続されるあらゆる関係者が、攻撃者にとって潜在的な侵入口となり得ます。 サイバーセキュリティは、公共の駐車場の充電器から、ユーザー認証を担うバックエンドサービスまで、すべてのレベルで考慮されなければなりません。 ISO 15118:EVと充電ステーション間の安全な通信を実現 ISO 15118は、EVと充電器の接続を保護するために策定された通信規格です。この規格は、すべての充電セッションにおいて、認証や情報の暗号化を行うことで、EV充電のサイバーセキュリティを維持する重要な役割を担っています。 ISO 15118が実現する主な機能 Plug and Charge(PnC):EVと充電器が互いに自動認識し、アプリやアクセスカードを必要とせずに、安全に充電セッションを開始できます。 Vehicle to Grid(V2G):EVが電力網にエネルギーを戻す機能です。これにより、電力網の安定化や再生可能エネルギーの統合が促進されます。 スマート充電:需要や料金などのリアルタイム要因に基づき、電力供給量を調整します。これにより、電力網の効率化が図られ、環境目標の達成にも貢献します。 ISO 15118におけるセキュリティフレームワーク デジタル証明書と公開鍵基盤(PKI) すべてのEV、充電器、バックエンドシステムは、そのIDを確認するためにデジタル証明書を使用します。これらの証明書は、PKI に基づく階層的な構造の一部です。PKIにより、関係するすべてのエンティティ間で信頼関係が確立され、不正アクセスが防止されます。 トランスポート層セキュリティ(TLS) TLS暗号化により、車両と充電器の間でやり取りされるデータは、機密性が保たれ、改ざんされることなく安全に送受信されます。 証明書の失効(リボケーション) もし充電ステーションが侵害された場合、その証明書を失効させることで、今後の充電セッションへの参加を止めることができます。これにより、脅威を迅速に隔離する手段が提供されます。 IEC 61851規格とISO 15118規格の違い IEC 61851とISO 15118は、EV充電の分野において補完し合う規格です。それぞれ、EVとEVSEの相互作用の異なる側面に対応しています。 IEC 61851は、電気的安全性とEV充電の基本的な制御に焦点を当てた規格です。充電モード(1〜4)や、接続確認に用いるPWM(パルス幅変調)信号、そして安全な電力供給に必要な基本インフラを定義しています。交流(AC)・直流(DC)双方の充電設備をカバーし、異なる車両・充電器間の機能的な相互運用性を保証します。 一方で、ISO 15118はIEC 61851が提供する安全性・制御の基盤の上に、さらに高度なデジタル通信レイヤーを追加します。PnCやスマート充電、双方向エネルギー供給(V2G)などの機能をサポートし、TCP/IPなどの高水準なプロトコルやTLSによる暗号化に依存しています 要するに IEC 61851は、安全な物理的接続と基本的な機能を保証します。 ISO 15118は、安全でインテリジェントかつ自動化された充電セッションを可能にします。 この2つの規格は、互いに補完し合って初めて効果を発揮 します。IEC 61851が基礎となり、ISO 15118が安全なデジタル通信を通じてユーザー体験とシステムのインテリジェンスを向上させます。 EV充電システムに潜む共通の脆弱性 ISO 15118のような規格が存在していても、セキュリティの脆弱性は依然として存在しています。 物理アクセスの脅威 充電器は多くの場合、誰でも立ち入れる公共の場所に設置されています。もし誰かが物理的にアクセスできれば、以下のような行為が可能になります。 機器に有害なソフトウェアをインストールする ユーザーデータを抽出する 充電ポートを介して車両に悪意あるコマンドを送信する 実際の例としては、EVerestオープンソースプロジェクトで発見された脆弱性が挙げられます。V2GTP 実装の脆弱性(CVE-2024-37310)により、特別に用意されたパケットでシステムメモリを上書きできる恐れがありました。これにより、攻撃者は充電プラグを通じてターゲットシステムを完全に制御し、直接充電ステーションを攻撃できてしまう危険性がありました。 ペネトレーションテストが教えてくれるEVセキュリティの現実 PlaxidityXのリサーチチームが明らかにしたのは、攻撃者が充電ポートでデジタル信号を模倣し、充電器を装った偽のデバイスをEVに接続できるという事実です。この偽の充電器が車両に接続されると、有害なペイロードを送り込み、EVの内部システムを侵害する恐れがあります。 EV充電サイバーセキュリティを強化する方法 強力な EV サイバーセキュリティ戦略 には、予防的対策と対応的対策の両方が必要です。 主な推奨事項 セキュア・バイ・デザイン:DevSecOpsアプローチを活用し、最初の設計段階からセキュリティを適用します。 コード監査:サードパーティ製ライブラリを含む、すべてのソフトウェアを脆弱性の視点でレビューします。 プロトコル検証: すべての規格が仕様通りに正確に実装されているか確認します。 ペネトレーションテスト: 未知の脆弱性を明らかにするために、実際の攻撃シナリオを模擬します。 システム内防御: ゲートウェイやECUなどの重要なネットワークポイントに侵入検知機能を組み込むことが重要です。 継続的な監視: リアルタイム分析や脅威検知ツールを活用し、フリート(車両群)のアクティビティを常に監視します。 まとめ ISO 15118は、EV充電の未来を守るために不可欠な保護を提供しますが、それだけですべてが解決するわけではありません。強固なEVサイバーセキュリティを継続するためには、企業はこの規格をベースにして、継続的なテスト、監視、そしてインシデント対応の明確な戦略を組み合わせる必要があります。 サイバー脅威がなくなることはありませんが、イノベーションも同様です。強固なセキュリティアーキテクチャと、常に警戒を怠らない姿勢を両立させることで、EV業界はユーザーに利便性と安全性の両方を届ける ことができます。
---
### ISO 15118 and EV Cybersecurity: Securing the Charging Ecosystem
> Understand ISO 15118's impact on EV charging cybersecurity. Explore threats, smart protocols, and how to strengthen electric vehicle cyber security.
- Published: 2025-05-29
- Modified: 2025-06-04
- URL: https://plaxidityx.com/blog/blog-post/iso-15118-ev-cybersecurity-guide/
- Categories: Automotive Cyber Security, Blog, Cyber Security Blog
- Tags: ECU, ECU Cyber Security
- Translation Priorities: Optional
The electric vehicle industry is expanding fast, and so is its exposure to cybersecurity threats. As the number of connected vehicles and charging stations increases, securing communication between them becomes a top priority. This is where ISO-15118 comes into focus. It provides the essential protocols needed to protect interactions between EVs and charging equipment. The importance of electric vehicle cyber security is growing. ISO-15118 helps in addressing it by creating a trusted environment for charging processes. Understanding how this standard operates and identifying potential risks are crucial for building safer charging networks. What is ISO 15118 standard? ISO 15118, titled “Road vehicles - Vehicle to grid communication interface”, is a global standard developed by ISO and IEC. It defines a comprehensive, IP-based communication protocol between electric vehicles (EVs) and charging stations which are referred to in the standard as Supply Equipment Communication Controller (SECC) or Electric Vehicle Supply Equipment (EVSE). The primary goal of ISO 15118 is to enable seamless, secure, and intelligent communication that supports advanced features like Plug & Charge (PnC), Smart Charging, and Vehicle-to-Grid (V2G). ISO 15118 has evolved from its predecessor, DINSPEC-70121 into multiple parts, including ISO 15118-2 and ISO 15118-20. While the former introduced key concepts like PnC, the latter expands the scope to include full bidirectional energy transfer, wireless power transfer and puts more focus on security by requiring any V2G session to be performed under TLS. This standard defines the used communication protocols across the multiple layers of communication, including: Physical layer: Power...
---
### Automotive HPC Security: Your Infotainment System Could Hijack Your Brakes
> Automotive HPC security is urgent and complex. Learn key risks, cybersecurity solutions and download our white paper to stay ahead.
- Published: 2025-05-26
- Modified: 2025-06-04
- URL: https://plaxidityx.com/blog/cyber-security-blog/automotive-hpc-cybersecurity-guide/
- Categories: Cyber Security Blog
- Tags: ECU, ECU Cyber Security, HPC
- Translation Priorities: Optional
When the Car Becomes a Computer Back in the day, when something broke in a car, it was a loose belt or a clogged fuel injector. Today? It could be a compromised GPU, an infected software library, or a zero-day vulnerability inside a high-performance computer (HPC) that governs your ADAS, infotainment, and even your brakes. Welcome to the era where vehicles are rolling datacenters on wheels. And if you're a cybersecurity professional at an OEM or Tier 1 supplier, this isn’t a hypothetical scenario. It’s your Monday. From ECU Chaos to HPC Consolidation Vehicles used to rely on dozens of discrete ECUs distributed across the chassis. Each handled one job. Simpler, yes - but inefficient for the data-heavy, sensor-rich features we now demand. By consolidating previously siloed functions into robust, high-capacity computing platforms, automakers unlocked massive innovation potential: Over-the-air (OTA) updates. Real-time V2X communication. AI-powered perception. But all that comes at a price: an exponentially larger attack surface. Real-World Tensions Mixed Criticality Mayhem: Entertainment and life-critical systems now coexist within a single HPC. Misconfigured hypervisors could mean a rogue app ends up sharing memory space with your lane-keeping system. Performance vs. Security: Every cryptographic operation eats up processing cycles. Cut corners for speed? You expose systems. Go secure? You may throttle real-time responsiveness. Alert Fatigue: Today's Intrusion Detection System (IDS) sensors scream too often and too loud. False positives clog Security Operation Centers (SOC) dashboards. And the real breach? It hides in the noise - unnoticed, undeterred. The Cost of...
---
### トラックのサイバーセキュリティ:脅威に立ち向かう
> コネクテッド化が進む商用トラックは、サイバー攻撃の新たな標的になっています。この記事では、トラックのサイバーリスクについて、そしてサイバー攻撃対策の基本を解説します。
- Published: 2025-04-16
- Modified: 2025-04-25
- URL: https://plaxidityx.com/blog/blog-post/truck-cybersecurity-combating-threats-on-the-open-road/
- Categories: Automotive Cyber Security, Blog, Cyber Security Blog, UNR
- Tags: Automotive Intrusion Detection & Prevention System, Cyber Research, Cyber Trends, Vehicle Vulnerabilities
- Translation Priorities: Optional
現在のコネクテッドカーやソフトウェア・デファインド・ビークルは、しばしば「走るコード」と表現されます。もしそれが的確な表現であるならば、最新世代の商用車、特に電動トラック(eトラック)や自動運転トラックは「走るスーパーコンピューター」と呼ぶべきでしょう。 トラック向けの車載およびリモートのソフトウェアシステムの数は増加しており、運送会社は業務効率の向上や安全性の強化を図ることが可能となっています。一方で、このような車両のコネクティビティにより、機密情報の窃取、車両運行状況の追跡、さらには重要機能の不正操作を目的としたサイバー脅威にさらされる機会も増加しています。さらに、商用車は一般的な乗用車に比べてはるかに長距離を走行し、耐用年数も長いことから、サイバーリスクがより一層高くなっています。 こうした動向を反映する形で、全米貨物輸送協会(NMFTA)が発表した最新のトラック業界向けサイバーセキュリティ動向レポートでは、2025年のトラック業界における最重要課題の1つとしてサイバーセキュリティを挙げています。 Cyber attacks トラックへのサイバー攻撃が及ぼす高額な損失 trucks carry a hefty price tag サイバーセキュリティの重要性がこれほどまでに高まっている背景には、商用車やトラックがサイバー攻撃を受けた際に発生する甚大な経済的損失があります。たとえば、新車のクラス8トラックの平均価格は10万ドル以上、ゼロエミッショントラックに至っては40万ドル以上に達することもあります。さらに、これらのトラックが輸送する貨物自体も数十万ドル相当の価値を持つ場合があります。つまり、サイバー攻撃によって商用車やその積載貨物が盗難・不正操作された場合、その被害額は極めて大きなものになるということなのです。 確かに、セミトレーラーそのものを盗むのは乗用車を盗むよりもはるかに困難です。しかし、今日のサイバー窃盗は、実際に車両を奪わなくても成り立ってしまいます。なぜなら、トラック輸送の運行を妨げることで、即座に深刻な影響を事業に与えるからです。つまり、車両をハッキングして無力化し、車両の解放と引き換えにフリート事業者や自動車メーカーに身代金を要求すれば十分なのです。このようなランサムウェア攻撃は、一般の乗用車では大きな金銭的効果は見込めないかもしれませんが、例えば50万ドル相当の生鮮食品を積んだ商用車のオーナーであれば、支払いに応じる可能性は高くなります。さらに、ランサムウェア攻撃が長期間にわたり、トラックフリート全体が数週間にわたり運用できなければ、運送会社によっては事業継続が不可能になるリスクすらあります。 コネクテッドカーを上回る広範な攻撃対象領域 商用トラックには、フリート管理システムなどの複雑で大規模なコネクテッドシステムが搭載されています。これらのシステムの多くは地域ごとの規制によって義務付けられており、潜在的なサイバー脅威に対して広範な攻撃対象領域を生み出す要因となっています。実際、一部の運輸規制では、運転時間を記録するためのELD(電子記録装置)やその他のテレマティクス機器の搭載が義務付けられています。 こうしたサードパーティ製の機器は、多くの場合、車両の生産後にフリートの所有者によって後付けされます。そのため、これらのデバイスは自動車メーカー(OEM)のサイバーセキュリティ管理プロセスには含まれておらず、通常はサプライチェーンにも組み込まれていません。このため、OEMが車両全体のサイバー保護を確実に担保することは困難となり、結果として攻撃対象領域がさらに広がる要因となっています。 トラックがハッキングされたときの危険性 コネクテッドカーと同様に、コネクテッドトラックの分野でも日々新たなソフトウェアの脆弱性が発見されています。これらの脆弱性を悪用して、ハッカーがブレーキやステアリングなどのセーフティ関連システムや制御システムを侵害したり、また個人情報などへ不正アクセスする恐れがあります。 大型商用車はその巨大なサイズと重量ゆえに、万が一ハッキングによって重要な車両システムが乗っ取られた場合、その被害や危険性は大きくなります。たとえば、15トンのセミトレーラーが高速走行中に衝突事故を起こせば、生命に関わる危険性が想起されますし、そのサイズのトラックが危険な薬品を輸送していた場合には、さらにひどい被害をもたらす恐れがあります。 将来的に自動運転トラックの普及が進めば、精巧に仕組まれたハッキングによって都市全体の物流に影響する事態も想定されます。また、想定されるシナリオとして、犯罪者やテロリストにより複数のトラックが同時に橋や主要な高速道路のジャンクションで停止または立ち往生させられた場合、救急隊や警察といった緊急車両が特定の地域や重要インフラ施設にアクセスできなくなる恐れがあります。 データプライバシーもまた、重要な懸念事項のひとつです。現在のトラックは、膨大な量のデータを生成・収集しており、その中にはビジネス上の機密情報や個人に関するデータも含まれています。ハッカーは脆弱性を悪用して、トラックが輸送している貨物の内容、配送スケジュール、さらには運転手に関連する個人識別情報(PII)などのデータへ不正アクセスする恐れがあります。 トラックの電子記録装置(ELD)を標的としたハッキング 商用トラック特有のハッキングシナリオとして考えられるのが、ELD(電子記録装置)の不正操作や無効化です。国によっては、ドライバーが1日に運転できる時間の上限が法令によって規定されており、その運転時間はELDによって自動的に記録されます。しかし、もしこのELDが改ざん・無効化された場合、ドライバーはシステムをごまかして、1日の上限を超えた運転時間を記録することが可能となってしまいます。こうした不正行為により、公共の安全を脅かすということ以外にも、フリートオーナーに対しても法的責任や罰金などが発生する恐れがあります。 商用トラックメーカーが検討すべきサイバーセキュリティ対策 UNR 155 や ISO/SAE 21434 に代表される自動車サイバーセキュリティのために規定された新たな規制・標準は、コネクテッドカーやトラックをサイバー攻撃から保護し、車両の安全性を確保することを目的としています。残念ながら、これまで確認できる限り、これらの規制は比較的低いセキュリティレベルを設定しています。規制の求める要件を単に「チェックボックスを埋める」形で満たすだけでは、実際の脅威に対して車両を防御するには不十分であることが近年急増している車両へのサイバー攻撃からも明らかです。 増大するサイバー脅威から自社のフリートを守るために、トラックメーカーは専用のサイバーセキュリティ保護メカニズムを導入する必要があります。乗用車および商用トラック向けにサイバーセキュリティソリューションを実装してきた経験から、こうした戦略を構築する上での基本的な要素を以下にご紹介します。 セキュリティ・バイ・デザインの導入 「セキュリティ・バイ・デザイン」のアプローチは、自動車ソフトウェア開発のあらゆる段階においてセキュリティ対策を自動的に組み込むことを目的としており、トラックメーカーはセキュリティを強化するとともに、開発サイクルの短縮を図ることが可能になります。開発初期のアーキテクチャ設計段階から、実際のコーディング前までに潜在的な脅威や脆弱性を事前に特定・把握するため「脅威分析およびリスク評価(TARA:Threat Analysis and Risk Assessment)」を実施することが重要です。さらに、TARAプロセスを自動化することで、OEMは品質の向上と市場投入までの時間短縮を同時に実現でき、トラックのライフサイクル全体にわたってTARAを継続的に更新していくことも可能になります。 車載IDPS(侵入検知・防御システム)の組み込み 自動車向けに特化した高度な侵入検知·防御システム(IDPS:Intrusion Detection and Prevention System)は、トラックの車載ネットワークやECU(電子制御ユニット)をサイバー攻撃から保護する手段です。自動車用IDPSは、車載通信をリアルタイムで監視し、あらかじめ定義されたルールに基づいて異常な通信を検出します。不審なトラフィックはリアルタイムで遮断されるか、クラウド上のフリート監視セキュリティオペレーションセンターに送られ、分析と対応が行われます。IDPSは自動車のイーサネットやCANネットワークの保護以外にも、テレマティクスやインフォテインメントなどの外部と接続するホストECUの保護にも適用可能です。 脆弱性の特定と対策のためのペネトレーションテストの実施 ペネトレーションテストは、開発ライフサイクル全体を通じて、車両のソフトウェアおよびハードウェアに潜む脆弱性を特定するための一般的な手法です。トラックメーカーは、ECUレベルおよび車両レベルでのテスト、またコードレビューに対応した自動車向けペネトレーションテストサービスやツールを活用すべきです。また、既知の自動車テストケースに基づく自動化ファジングテストを導入することで、開発初期段階においてゼロデイ脆弱性やコンフィグレーションミスを発見することが可能になります。 脆弱性のスキャン コネクテッドトラックのセキュリティ確保と規制への適合を実現するためには、車載ソフトウェアにおける脆弱性の発見と緩和が重要です。そのためには、サプライチェーン全体にわたるすべてのソフトウェアコンポーネントに対し、サイバーセキュリティの状況を可視化できる脆弱性管理ツールが有効です。こうしたツールは、AUTOSAR、Linux、Androidなどのバイナリからのソフトウェア部品表(SBOM:Software Bill of Materials)の自動抽出に対応し、さらに既知および私的な脆弱性データベースに基づく継続的な脆弱性スキャンを実施できる必要があります。 商用車フリートの保護に向けたVSOCの確立 多くの商用トラックOEMは、リアルタイムでサイバー攻撃を監視・分析・対応するために、専用の車両セキュリティオペレーションセンター(VSOC:Vehicle Security Operations Center)の構築を進めています。これらのVSOCは、車両フリートに搭載されたセンサーやコンポーネントから生成される非常に多くのデータを収集・分析するXDR(Extended Detection and Response)プラットフォームを使用しています。高度なAI分析技術を用いてデータを分析、異常を検出し、サイバーアナリストが迅速な調査と対応を実行できるようインサイトを生成します。 トラックフリートのサイバーセキュリティ対策に最適なプロセスの確立やふさわしいツールの導入をご検討中ですか?ぜひお気軽にお問い合わせください。
---
### Truck Cybersecurity: Combating Threats on the Open Road
> In Truck Cybersecurity, the complexity of connected systems have created a broad attack surface for potential cyber threats to Trucks.
- Published: 2025-04-16
- Modified: 2025-04-22
- URL: https://plaxidityx.com/blog/blog-post/truck-cybersecurity-combating-threats-on-the-open-road/
- Categories: Automotive Cyber Security, Blog, Cyber Security Blog, UNR
- Tags: Automotive Intrusion Detection & Prevention System, Cyber Research, Cyber Trends, Vehicle Vulnerabilities
- Translation Priorities: Optional
Today's connected, software-defined cars are often referred to as "code on wheels. " If this is true, then the latest generation of commercial vehicles, including electric (e-trucks) and autonomous trucks, should be called "supercomputers on wheels. " While an ever-growing number of onboard and remote software systems can help trucking companies increase efficiency and improve safety, this connectivity also exposes trucks to cyber threats aimed at stealing sensitive data, tracking vehicle operations, or manipulating critical functions. The fact that commercial vehicles travel far longer distances and have a longer lifespan than a passenger vehicle further increases these risks. Consistent with these trends, the latest National Motor Freight Traffic Association (NMFTA) trucking cybersecurity trends report named cybersecurity as one of the most pressing challenges for the trucking industry in 2025. Cyber attacks on trucks carry a hefty price tag This urgent need for cybersecurity reflects the exorbitant financial stakes of a cyber attack on trucks and other commercial vehicles. The average cost of a new Class 8 truck is more than $100,000, while zero-emission trucks can cost upwards of $400,000. The cargo that these trucks are transporting may also be worth hundreds of thousands of dollars. The bottom line is that cyber-enabled theft of commercial vehicles and their cargo carries a huge price tag. Granted, it's much harder to break into and steal a semi-trailer than a Honda Civic. But today's cyber thieves don't have to physically steal the truck to succeed. Since any disruption to trucking operations has a...
---
### How You Can Use Git Reference Repository to Reduce Jenkins’ Disk Space
> Read how you can use Git Reference Repository to reduce Jenkins’ disk space and what are the cyber security benefits. Click here & learn more
- Published: 2025-03-26
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/engineering-blog/how-you-can-use-git-reference-repository-to-reduce-jenkins-disk-space/
- Categories: Engineering Blog
- Tags: Security Development Tools
- Translation Priorities: Optional
Multibranch pipelines, which often include many git branches, may result in the checkout of the very same “. git” directory on the File System. To avoid this duplication, you can configure the Jenkins Git Plugin to use a reference repository as a cache in order to reduce remote data transfer and local disc usage. The problem While many administrators tend to use Jenkins as their main Continuous Integration Tool, day-to-day work becomes quite struggling. Quiet often, developers may complain about longer build intervals, storage will fill up and networking traffic becomes much busier. When working with heavy git repositories, these symptoms become ever more severe. We encountered that exact same issue when we saw that Jenkins’s PV (as we run Jenkin on a GKE cluster) fills up. After analyzing the Jenkins mount directory we came to the conclusion that we have many “. git” directories, which in our case resulted in freeing up about 40% of disk space! An even deeper examination of our Jenkins workspaces folder led to the conclusion that the same “. git” directory is duplicated across many of the same project’s branches in our system. Another problem this situation may cause is increased data traffic between Jenkins nodes and the Git server. Especially in cloud-native environments, this increased traffic may result in extra costs. So why does it happen? First case may be using Multibranch Pipelines which is one of the most used Jenkins job types. The Multibranch Pipeline project type enables you to implement different...
---
### 車載イーサネットカメラに対するハッキング
> 自動車サイバーセキュリティ業界、特にコネクテッドカーにおいて、自動車イーサネットカメラのハッキングがトレンドになっている理由をお読みください。 詳細については、ここをクリックしてください。
- Published: 2025-03-25
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/hacking-automotive-ethernet-cameras/
- Categories: Cyber Security Blog
- Tags: ADAS, Cyber Research
- Translation Priorities: Optional
グーグルで「自動運転車 車載カメラ」という言葉を検索すると、自動運転車の未来について、またカメラや他のセンサーがおよぼす大きな影響について論じている約350万件もの記事を目にするでしょう。自動運転車は、内蔵されたレーダーおよびLiDARシステムを使用する高度運転支援システム (ADAS)によって、他の車両、歩行者、信号、潜在的な危険などを含む周囲の世界を「見て感知する」ことで、自動走行が可能となります。 このテクノロジーによって、非常に素晴らしいことが実現するわけですが、技術的な欠陥やセキュリティ侵害があった場合、どういったことが起こるのでしょう?誤作動を起こしたUberの自動運転車により歩行者が死亡する事故が2018年に起きましたが、これは憂慮すべき問題です。ウェブにすべてが接続された世界で、悪意のあるハッカーがADASシステムにアクセスし、自動車が見て感知しているものを操作したら、どういった事態が起きるのでしょう?当社ではこの問いに答えるため、車載用グレードのイーサネットカメラでPoC(概念実証)を行い、カメラをハッキングするにはどれだけの労力が必要なのか、そしてハッキングによってどの程度のダメージが引き起こされるかを調査することにしました。 設定 リサーチでは、スタンドアロンの車載グレードイーサネットカメラ(法的な理由で、ブランド名を開示することはできません)を使用しました。このカメラは現在量産されているもので、リアビューカメラとしてOEMに採用されています。このカメラは私たちがコンバーターを使用してコンピューターへ接続したBroadR-Reachイーサネットインターフェイスを備えています。カメラはADAS ECU (クライアント)に相当するバーチャルマシン(VM)にライブビデオフィードをストリーミングする一方、同じネットワーク上にある2つめのVMは侵害されたECUをシミュレートしました。ホストマシンはこれらのVMとカメラを同じネットワークにつなぐスイッチとして使用されました。この設定は下の図1と2に示されています。 図1:ネットワーク設定:ハッカーは侵害されたECUを用いてサイドから悪意のあるデータを注入する。 図2:物理的設定:電力ケーブルとBroadR-Reachケーブルに分岐するケーブルにカメラは接続している。電力ケーブルは外部電源に、BroadR-Reachケーブルはコンピューターにつなぐためコンバーターに接続されている。 車載カメラの仕組みを理解する 最初のステップでは、コンピュータシステムを攻撃しようとする場合と同様、車載イーサネットカメラの仕組みを理解することから始めました。まずカメラがネットワークとどのように通信するかを確認しようとしたところ、2つのオープンUDPポートがあるのを発見しました。 ポートの1つはDHCPの実装に使用されており、電源に接続すると、カメラはUDPブロードキャストパケットを送信しIPアドレスを受信しました。DHCP「サーバー」がADAS ECUに実装されており、応答データの中でIPアドレスを送信することによってそのリクエストに応答しました。2つ目のポートはコマンドとコントロール(C&C)に使用され、ADAS ECUは、例えばビデオストリーミングの開始コマンドや停止コマンドを送信することでカメラと通信していました。 カメラのコマンドを理解し再現できるようになった後、ビデオストリーミングの中で送信されている実際のデータの調査に移行しました。ほとんどのイーサネットカメラではTSN(Time-Sensitive Networking)はビデオの転送にAVB プロトコルを用いています。このプロトコルは、ヘッダーおよびデータペイロードの2つの部分から構成されています。ヘッダーの長さは、ペイロードによって異なります。ペイロードは事前定義されたさまざまなオーディオまたはビデオ形式にすることができます。このカメラでは24バイトのヘッダー、 JFIF (JPEG File Interchange Format:JPEGファイル交換形式)のペイロードが使用されていました。 図3:Wiresharkパケットキャプチャ 上の図3はカメラのライブストリーミングからのWiresharkパケットキャプチャを示しています。パケットの最初の14バイトは通常のイーサネットフレームで、それにパケットデータが続きます(青で強調表示)。データは24バイトのヘッダーを備え、実際のペイロードはスタートマーカ(SOI)から始まり、白で強調表示されています。「JFIF」インディケータはオレンジ色で表示されています(この文字列はJFIF基準に従ったヌル終端なので00バイトを含みます)。 つまり、カメラは十分な速さで継続的に静止画像を送信することで、ライブビデオストリーミングに見えるものを作り出しているのです。画像データは MTU (maximum transmission unit:最大転送ユニット)より大きいため、すべての画像はパケットに分割され、クライアントが再構成します。 ADAS ECUに対する攻撃 今までのところで、カメラがどのようにネットワークと接続し通信するのかを説明しました。さて、いよいよお楽しみの始まりです!このカメラはJFIF形式を用いているので、デフォルトでビデオストリーミングの画像送信を簡単に阻害する方法があります。JFIF規格は2バイトをSOIに2バイトをエンドマーカ(EOI)に含めることで機能します。これらは常にそれぞれ0xFFD8と0xFFD9でなければなりません。私たちは、Pythonのscapyライブラリを使って、ストリームを受信しているクライアントに1 万分の 1 秒ごとにEOIバイトを挿入する単純な関数を作成しました。その結果は図4に表示されています。 図4:1 万分の 1 秒ごとにEOIを挿入した結果 ビデオは、EOI関数によりカメラのライブストリーミングが完全に使い物にならない状態になったことを示しています。これはパケットが送信される前にカメラからクライアントに僅かなバイト数のデータしか転送されず、残りの画像データがドロップするためです。 次に、もう少し複雑なことを試みることにし、ビデオストリーミングを事前に録画したビデオに変更しました。まず、Wiresharkを使用してカメラからクライアントに送信されたパケットのビデオストリーミングを録画しました。もちろん、単純に、カメラのライブストリーミング中に録画した動画をクライアントに挿入すれば、データがお互いに干渉し合うため、機能しません(これも、先程のEOI攻撃と同様、カメラを使えなくする方法として使用できます)。 代わりに、カメラのC&Cポートから、「ビデオストリーミングの開始」と「ビデオストリーミングの停止」コマンドを再現する方法を見つけました。再度scapyを使用し、カメラにストリーミングを停止するよう指示するコマンドを送り、一方で録画ビデオストリームを干渉なしに挿入することに成功しました。 図5:カメラに「ストリーミングの停止」を指示した後、ビデオストリーミングを挿入した結果 図5のビデオ開始の4秒後に攻撃を開始し、「ライブ」フィードを録画ビデオに置き換えました。攻撃が終わった後、ライブフィードを開始するために「ビデオストリーミングの開始」コマンドをカメラに送信しましたが、簡単に動画の差し替え、偽動画のループ再生、動画のリアルタイム配信復旧を阻止できました。 結論 このリサーチでは、2つのセキュリティの欠陥が実証されました。 ビデオストリームがクライアントによって適切に認証されておらず、カメラのMACアドレスと合致するソースMACアドレスを持つすべてのパケットを受け入れていました。最低でも、クライアントはAVBヘッダーで用いられているタイムスタンプの確認を行うべきですが、この機能は適切に実装されておらず、その結果悪意のあるトラフィックを簡単に挿入することができるようになっていました。この問題はパケットの認証、またはストリームの暗号化で修正できるのではないかと思われます。しかし、これはどちらの手法もパフォーマンスに著しい影響を及ぼす恐れがあり、ビデオデータを適切に表示するには、画像処理スピードを向上する必要があることから、難しいと思われます。 カメラのC&Cプロトコルにはいかなる形式のセキュリティも装備されておらず、送信者が誰であるかに関わらず指定ポートで受け取ったコマンドをすべて受け入れていました(クライアントからのパケットであるよう見せかける偽装さえ必要ありませんでした)。時間的な制約を強く受けるAVBパケットとは対照的に、C&Cプロトコルではストリーミングを保護するために必要なオーバーヘッドを費やす余裕があります。カメラはパケットのソースMACアドレスとIPアドレスを検証すべきで、実際の通信が始まる前にハンドシェイクプロトコルを可能にするTCP接続を実装すべきです。UDPではなくTCPを使用すると、暗号化による保護機能をさらに高めることができ、その結果攻撃者はハンドシェイクを再現することが難しくなります。 このリサーチはある一台のイーサネットカメラを対象に実施しましたが、当たり前のこととして、他のカメラは異なる装備、動作、セキュリティメカニズムを備えています。このリサーチの動機として、危険なハッキングがADASコンポーネントに対して行われる可能性を証明する意図があります。今回は特にカメラシステムに焦点を当てましたが、こうしたコンセプトはRADARやLiDARといった他のシステムにも応用可能です。現在は、ドライバーが自ら周囲を認識し、車載カメラはドライバーをサポートする役割であるため、車載カメラに対する攻撃があっても必ずしも人命が脅かされることにつながっていないかもしれません。しかし、今後は自動車がカメラや他のセンサーに大きく依存して周囲の状況を認識する方向に進んでいくのであり、こうしたサイバー攻撃は悲惨な結果をもたらす可能性があると言えます。 PlaxidityX、リサーチャー、Daniel Rezvani 日付:2018年11月12日
---
### Hacking Automotive Ethernet Cameras
> Read why hacking automotive ethernet cameras is trending in the automotive cyber security industry, especially in connected cars. Click here for more!
- Published: 2025-03-25
- Modified: 2025-04-21
- URL: https://plaxidityx.com/blog/cyber-security-blog/hacking-automotive-ethernet-cameras/
- Categories: Cyber Security Blog
- Tags: ADAS, Cyber Research
- Translation Priorities: Optional
Background Go ahead, google the words “autonomous vehicle camera”. You will find almost 3. 5 million articles about the future of autonomous vehicles and the extensive impact cameras and other sensors will have on the future. Autonomous vehicles will be enabled by Advanced Driver Assistance Systems (ADAS) through built-in RADAR and LiDAR systems, allowing it to “see and sense” the world around them, including other vehicles, pedestrians, traffic signs, potential hazards, and more. This technology enables truly amazing things, but what happens in cases of technical failures or security breaches? It’s alarming to think that already in 2018, one of Uber's autonomous vehicles killed a pedestrian because of a malfunction. In a world where everything is connected to the web, what could happen if malicious hackers gained access to ADAS systems and manipulated what the car sees and senses? To answer this, we decided to do a PoC on an automotive grade Ethernet camera and see how much effort was needed to hack it, and to what extent the hack could be damaging. The Setup In our research we used a standalone automotive grade Ethernet camera (we cannot disclose its brand name for legal reasons). This camera is currently in production and in use by OEMs as a rear view camera. The camera included a BroadR-Reach Ethernet interface which we connected to a computer using a converter. The camera streamed a live video feed to a virtual machine (VM) representing an ADAS ECU (the client), while a second VM on...
---
### Going Behind The Scenes of Docker Networking
> Docker is a set of PaaS products that use OS kernel virtualization (Containers), isolated and self contained filesystem, software, configurations and libraries.
- Published: 2025-03-24
- Modified: 2025-03-26
- URL: https://plaxidityx.com/blog/engineering-blog/docker-networking-behind-the-scenes/
- Categories: Engineering Blog
- Tags: Vehicle Networking
- Translation Priorities: Optional
Have you ever wondered how does the Docker nat networking mechanism really work? How does it translate its magical capabilities into a practical reality? Well, a few weeks ago I found myself asking the same question, and today, I'm ready to share my insights with you. Understanding Docker NAT networking is essential for efficient container management and network isolation. It enables containers to interact with external networks through a shared IP address, streamlining traffic and enhancing security. By effectively utilizing this networking approach, developers can optimize resource usage, simplify network configurations, and ensure robust connectivity in complex containerized setups. Introduction Let’s start from the beginning. Docker is a set of PaaS products that use OS kernel virtualization (a. k. a Containers), isolated and self-contained filesystems, software, configurations, and libraries. Additionally, as I quote from the official Docker documentation: “Containers can communicate with each other through well-defined channels” What is “well-defined”? What are the “channels” and how do they communicate in practice? In this detailed blog post, I will try to find the answers to these questions. The Docker networking mechanism was built in a very similar way to that of the OS kernel. It uses much of the same concepts, benefits and capabilities, such as abstractions, but it extends and expands them to fit its own needs. Definitions Before we dive deeper into the technical analysis, let's make sure that you are familiar with some important definitions: Layer 2: is the data link layer, a protocol layer that transfers frames...
---
### 自動車サイバーセキュリティ:急速に変化する規制状況への対応ガイド
> 自動車業界のサイバーセキュリティ規制とコネクテッドカーのセキュリティを確保する方策について、UNR 155とISO/SAE 21434を中心にCSMSの導入方法や最新の世界の規制動向も紹介
- Published: 2025-03-24
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/blog-post/iso-21434-compliance/
- Categories: Blog
- Tags: UNECE WP29, UNECE WP29, UNR155
- Translation Priorities: Optional
過去10年間で、自動車業界は大規模なデジタル変革を遂げました。今日、ほとんどの自動車には、情報を送受信するためのコネクティビティ機能が組み込まれています。しかし、こうした利点には代償も伴います。コネクティビティからクラウドベースの機能、自動運転に至るまで、新しいソフトウェア技術により、自動車はこれまで以上にサイバーリスクにさらされています。 UNR 155やISO/SAE 21434などの自動車サイバーセキュリティ規制は、コネクテッドカーをサイバー攻撃から保護し、車両の安全性を確保することを目的としています。本ブログ記事では、急速に拡大する自動車規制の状況について、サイバーセキュリティマネジメントシステム(CSMS)に焦点を当て、そのようなシステムを導入する際の最善の方法について実践的なアドバイスを提供します。 高まる自動車サイバーセキュリティの必要性 コネクテッドカーとソフトウェア・デファインド・ビークル(SDV)は、今までの運転スタイルを一変させています。戦闘機の10倍のコード行数を持つ今日のSDVは、「車輪にコードが乗っている 」とも形容されます。 車両に搭載されるソフトウェアが多ければ多いほど、リスクは大きくなります。新しいソフトウェアの脆弱性は定期的に公表され、事実上すべてのブランドの何百万台もの自動車に影響を及ぼしています。ソフトウェアの脆弱性やオープンソース·コードをハッカーに悪用されると、セーフティクリティカルなシステム(ブレーキ、ステアリングなど)を侵害したり、個人データにアクセスしたり、あるいは遠隔地から自動車を始動させたりすることもできます。 例えば、最近公表された起亜コネクト·システムのソフトウェアの脆弱性では、ハッカーがGPS経由で車の位置を追跡し、ドアの開錠と施錠、エンジンの始動·停止などの操作が可能であることが明らかになりました。 このような課題は、今後ますます増加すると予想されます。自動運転車は、V2Xやその他のテクノロジーを使ってインフラや他の車と通信しながら、現在のSDVよりも数倍多くのコードを使用することになるためです。未来の自動車の安全性とセキュリティを確保するために、OEMは安全なソフトウェア開発プロセスを導入する必要があります。 規制当局の期待に対応すること このようなリスクの高まりを受けて、近年、自動車のサイバーセキュリティ対策に関する標準や規制は大きく変化しました。特に、UNR 155/156やISO/SAE 21434は共に、サイバーセキュリティを考慮した開発プロセスや製品を確実にするために、自動車メーカーにとって事実上の指針となっています。 これらの規制やその他の世界的なサイバーセキュリティ指令は、OEMとそのサプライヤーが製品を開発・管理する方法に多大な影響を与えています。UNR 155は、潜在的なサイバー脅威を検知し、サイバー攻撃から車両を保護するためのリスクベースの管理フレームワーク(別名サイバーセキュリティマネジメントシステム、CSMS)の導入をOEMに求めています。 UNR155は、開発、生産、ポストプロダクションの各段階で実施すべきプロセスを規定していますが、そのようなプロセスを実行するために使用すべき特定のツールや製品については規定していません。UNR156は、ソフトウェア更新管理システム(SUMS)の要件を規定しています。これらの規制を合わせると、業界に新たな基準を設けることになり、OEMは自社の自動車がサイバーセキュリティとソフトウェア更新に関する厳格な基準を満たしていることを実証する必要があります。 ISO/SAE 21434 は、UNR 155 を補完する世界的な業界標準です。この規格は、コンセプト、製品開発、生産、運用、保守に関するサイバーセキュリティリスク管理のエンジニアリング要件を規定しています。ISO/SAE 21434は、乗り物や輸送手段を含む車両と自動車のセキュリティ保護に取り組み、サイバーセキュリティを車両の製品開発プロセスに統合するためのガイダンスを提供しています。 UNR 155とISO/SAE 21434の違い UNR 155とISO/SAE 21434は密接に結びついていますが(例えばTARAに関して、ISO/SAE 21434はUNR 155から参照されています)、相違点もあります。以下の表はいくつかの重要な点についてまとめました。 UNR 155ISO 21434目的サイバーセキュリティのホモロゲーションに必要なもの、OEMに義務付けられているものを規定する規制UNR155で要求されていることを達成する方法を示す標準であり、OEMとそのサプライヤの両方に適用方法具体的な脅威とそれに対応する緩和策を列挙し、OEMがこれらの要件に準拠していることを要求脅威のリストを提供するのではなく、サイバーセキュリティリスクを特定し管理するためのプロセスベースのアプローチを提供適用範囲EU、英国、日本、韓国を含むUNECE輸送協定・条約加盟54カ国に直接適用される義務的な規制所在地域に関係なく、世界中のどの組織でも導入できるグローバルな非強制の標準詳細レベルサイバーセキュリティマネジメントシステム(CSMS)が存在するかどうかを評価するための一般的かつ目標ベースの要件コンセプト段階から廃車まで、車両のライフサイクルを通じてサイバーセキュリティを実践するための詳細なガイダンススケジュールと展開2021年1月に発効、2022年7月、新型車には型式承認のためのCSMS認証取得が義務付けられ、2024年7月には、この要件がすべての新車(継続生産車種または新型車種にかかわらず)に拡大2021年8月発行 、この標準は、60か国、82社から100人以上の専門家が協力して開発したものであり、自動車サイバーセキュリティエンジニアリングのためのより包括的なフレームワーク UNR155が規制要件を定めているのに対し、ISO/SAE21434は自動車サプライチェーン全体でこれらの要件を実施するための、より詳細な枠組みを提供していることがわかります。 UNR 155とISO/SAE 21434は規制のごく一部に過ぎない 現在、ほとんどの自動車メーカーは、UNR 155/156やISO/SAE 21434などのサイバーセキュリティ規制・標準に準拠する必要性を十分に認識しています。しかし、これらの規制や標準はごく一部に過ぎません。世界規模では、自動車業界に関連するサイバーセキュリティ規制、基準、ガイドライン、ベストプラクティスは数十にもなります。一部を以下に紹介します。 GB/T 中国版UNR155として知られているGB/Tは、すでに非常に成熟した段階にあり、2025年に発効する予定です。これらの規格は、電気自動車のリモートサービスと管理システムのサイバーセキュリティに関する要求事項と試験方法、車両のサイバーセキュリティに関する一般的な技術要求事項、車両ゲートウェイのサイバーセキュリティに関する技術要求事項と試験方法などを規定しています。 ASPICE for Cybersecurity Automotive SPICE® (Software Process Improvement and Capability Determination)は、自動車業界が要求する品質と安全基準を満たすソフトウェア製品を開発するために、自動車ソフトウェア開発組織が従うべき一連のプロセスと手法を定義したものです。ASPICEは、要求事項の抽出からソフトウェアのテストと検証に至るまで、ソフトウェア開発ライフサイクル全体をカバーしています。サイバーセキュリティ対応のためにASPICEの拡張版が2022年2月に発行されました。OEMやサプライヤのベースラインとして機能するこの拡張版は、要求事項の抽出、サイバーセキュリティの実装、リスク処理の検証、リスク処理の妥当性確認など、サイバーセキュリティ評価の新たな分野を定義しています。 ENISA 欧州連合サイバーセキュリティ機関(ENISA)は、欧州全体で高いレベルで共通のサイバーセキュリティ基準を実現することを目的とした欧州連合の機関です。2004年に設立され、EUサイバーセキュリティ法によって強化されたENISAは、EUのサイバー政策に貢献し、サイバーセキュリティ認証制度によってICT製品、サービス、プロセスの信頼性を高めています。 NIST NIST サイバーセキュリティ・フレームワークは、あらゆる規模の企業がサイバーセキュリティ・リスクをよりよく理解し、それを管理、低減し、ネットワークとデータを保護できるように支援するものです。NIST サイバーセキュリティ・フレームワークは、以下に示す5 つの中核的機能、あるいは柱に基づいて構築されています。 特定(Identify)、保護(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)です。 OEMにとっての規制遵守の意味 UNR155は、2024年7月にすべての新車に対して発効されました。これに伴い、OEMはUNR155加盟国(EU加盟国など)で販売・登録されるすべての新車について、UNR155型式認証要件に適合していることを証明する必要があります。これは世界の自動車産業にとって大きな節目であり、自動車バリューチェーン全体にとって大きな重要な課題として、真摯に取組みが行われてきました。 OEMは現在、型式認証を取得するためにコンプライアンス準拠の証明が必要であり、ソフトウェアサプライヤに対しても、車両の設計、開発、運用、保守のプロセスにサイバー耐性を組み込むことを要求しています。 そして、この大きな変化が及ぼすビジネスへの影響はすでに現れています。昨年末、ポルシェはベストセラーのICEエンジン搭載SUV「マカン」の販売終了について、サイバーセキュリティ規制のため2024年春に欧州連合内の市場から撤退すると発表しました。ポルシェは、新しい規則に準拠するために必要なアップデートが非常に複雑かつ高コストになるためと説明しています。同様の動きは、VWやアウディの車種でも見られており、この例が特別なのではなく、その他の類似の発表のうちのひとつに過ぎないといえます。 サイバーセキュリティマネジメントシステム(CSMS)とは? CSMSは、サイバーセキュリティの実践と対策が開発プロセスと車両ライフサイクルの各段階にわたって適切に適用されることを保証するために、組織のプロセス、責任、ガバナンスを定義する体系的なアプローチです。特定のセキュリティツールや1つの対策に焦点を当てることが多い従来の対策とは異なり、CSMSは組織のサイバーセキュリティリスクを管理するための包括的なアプローチとなります。CSMS の詳細な仕様は、UNR 155 の文書に記載されています。 CSMSの核となる構成要素には以下のものがあります。 ポリシーと手順 - 脅威に積極的に向き合い、機密情報を保護するためのベストプラクティス、ポリシー、コントロールを策定。組織の業務全体を通じてサイバーリスクを特定、評価、対処するための構造的なアプローチ。 リスク管理 -組織が製品やサービスのライフサイクル全体を通じて、サイバーリスクをタイムリーに特定、評価、軽減するシステムを構築。 インシデント対応 - サイバーインシデント対応計画(CIRP)と呼ばれるサイバーセキュリティインシデントへの対応および管理プロトコルの策定。 現在、UNECE加盟国のOEMは、新車の型式認証を受けるためにCSMS適合証明書(CoC)を取得しなければなりません。CoCは、認定型式認証機関による厳格な審査プロセスを経て付与されます。 CSMSの導入方法 CSMSを確立し、規制コンプライアンスを達成することは、自動車サイバーセキュリティの知識、熟練したリソース、専用ツールを必要とする複雑な取り組みです。幸いなことに、ISO/SAE 21434は国際的に認知されたCSMSの実施ガイドラインを提供しており、多くのOEMやTier1サプライヤが参考にしています。 組織レベルでは、OEMは、ISO/SAE 21434の品質管理要件に沿った手順、方針、戦略など、組織レベルで開発および生産を監視するためのプロセスを整備する必要があります。これには、企業文化、トレーニング、意識などの分野があります。 脅威分析とリスク評価(TARA)は、製品レベル(ECUなど)でのCSMS実装の最初のステップです。TARAは、車両アーキテクチャを分解し、重要なソフトウェア・コンポーネントを特定し、潜在的なサイバー脅威を評価し、これらの脅威の影響と実現可能性を分析します。このステップでは、リスクやギャップを明らかにするために、ペネトレーションテストやファジングテストが行われることが多くあります。OEMはTARAの結果を受け、(リスクの重大性に応じて)リスクと脆弱性を軽減するために必要な修正(すなわち、ソフトウェアへの変更)を実施します。このプロセスの最後のステップは検証と妥当性確認であり、システム全体が安全であり、すべての脆弱性にパッチが適用されていることを確認するための最終テストを含んでいます。このサイクル全体は、ISO/SAE 21434に明記されています。 CSMS導入の課題 自動車業界には複雑で特殊な課題があるため、ISO/SAE 21434に基づくCSMSを導入する際、OEMやTier1は重要な課題に直面します。 他の規格とのシームレスな統合: サイバーセキュリティは、OEMが準拠しなければならない多くの規格(ISO9001、ISO26262、ASPICEなど)の一つに過ぎません。CSMS は、他のすべての品質および安全規格と組織レベルでシームレスに連携している必要があります。 開発サイクルに影響を与えるサイバーセキュリティ: サイバーセキュリティは製品開発サイクルにも影響します。なぜなら、全体的な開発フローの中でセキュリティを実装する必要があるからです。ISO/SAE 21434では、サイバーセキュリティサイクルは継続的であるべきであり、生産段階とその後の段階をカバーすべきであると述べています。 自動車のサイバーセキュリティ専用ツールの必要性: OEMの企業ネットワークの保護に使用されている従来からあるITツールは、コネクテッドカー特有の課題に対応する機能を備えていません。自動車のサイバーセキュリティは開発段階もカバーする必要があるため、IT環境で使用される多くの一般的な標準(ISO27001など)、手順、ツールだけでは対応できません。 サプライチェーンの統合: サプライヤは、自社のサプライチェーン全体でサイバーセキュリティの実践を確実に行う必要があります。これは、自動車のサイバーセキュリティ標準に精通していない可能性のあるサブサプライヤと取引する場合、問題となることもあります。 継続的な脆弱性管理: この規格では、自動車のライフ(10~15年)を通じて、継続的に脆弱性を監視、評価、緩和することを求めています。このようなプロセスを確立し、維持することは、複雑でリソースを多く必要とします。 文書化とトレーサビリティ: ISO/SAE 21434 は、サイバーセキュリティに関連する活動、決定、その理由について詳細な記録を求めています。このレベルの文書を維持し、トレーサビリティを確保することは、多くのサプライヤにとって大きな課題となります。 リソースの制限: CSMSの導入には、多大な時間、人材、資金が必要です。多くのサプライヤ、特に小規模のサプライヤでは、規格のすべての要求事項を満たすために十分なリソースを割り当てることが困難であると感じるかもしれません。 スキル不足:すべての製造業者が CSMS 導入に必要な社内リソースやサイバーセキュリ ティ分野の専門知識を持っているわけではありません。多くの OEM は、CSMS コンプライアンスを専門とする外部のコンサルタントやサービスプロバイダにプロジェクトを依頼しています。 認証プロセス: 認証監査の準備と実施は複雑で時間のかかるプロセスであり、コンプライアンス達成のために十分な準備と複数回の修正が必要になることもあります。 PlaxidityX(旧アルガス)が支援します 自動車のサイバーセキュリティ規制が複雑化する中、コンプライアンス達成には、自動車のプロセスに対する深く包括的な理解、自動車サイバーセキュリティのノウハウ、実績のあるコンプライアンス経験が必要です。 PlaxidityXのサイバーセキュリティ専門家は、車両レベルおよびECUレベルのCSMSおよび型式認証要件によって義務付けられたプロセスを確立するために、OEMおよびTier 1と多くのコンプライアンスプロジェクトを実施してきました。 ギャップ分析、プロセス定義、デプロイ、継続的なサポートなど、CSMS導入のための実証済みの手法により、自動車メーカーはサイバーリスクを最小限に抑えつつ、自動車セキュリティコンプライアンスを達成することができます。 自動車ペネトレーションテスト、 TARAとサイバーセキュリティアーキテクチャ設計、 UNR 155とISO 21434サイバーセキュリティコンプライアンスを含む包括的な自動車サイバーセキュリティサービスは 、自動車メーカーが製品開発と生産の各段階を通じてサイバーセキュリティプロセスを統合する支援をしています。
---
### ISO 21434 Compliance in Automotive Cybersecurity
> Automotive cyber security regulations, such as ISO 21434, are designed to protect connected vehicles from cyber attacks and ensure vehicle safety.
- Published: 2025-03-24
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/blog-post/iso-21434-compliance/
- Categories: Blog
- Tags: ISO21434, UNECE WP29, UNR155
- Translation Priorities: Optional
Over the past decade, the automotive industry has undergone a massive digital transformation. Today most vehicles come with built-in connectivity options for receiving and transmitting information. However, these benefits also carry a price. New software-enabled technologies – from connectivity to cloud-based functionality and autonomous driving – expose vehicles to greater cyber risk. Automotive cyber security regulations, such as UNR 155 and ISO/SAE 21434, are designed to protect connected vehicles from cyber attacks and ensure vehicle safety. This post provides automotive manufactures with a guide to the rapidly growing automotive regulatory landscape, focusing on the challenges and benefits of a Cyber Security Management System (CSMS) and offering practical advice on the best way to implement such a system. The growing need for automotive cyber security Connected and software-defined vehicles (SDVs) are revolutionizing the way we drive. With ten times more lines of code than a fighter aircraft, today's SDVs are aptly referred to as "code on wheels. " The more software in a vehicle, the greater the risk. New software vulnerabilities are published regularly, impacting millions of vehicles across virtually all brands. Software vulnerabilities and open source code can be exploited by hackers to compromise safety-critical systems (e. g. , braking, steering), access personal data, or even start a car from a remote location. For example, a recently published software vulnerability in the Kia Connect system allowed a hacker to track a car’s location via GPS, lock and unlock its doors, and start and stop its engine. These challenges are likely...
---
### External communication with Apache Kafka deployed in Kubernetes cluster
> Read how the external communication with Apache Kafka feature deployed in Kubernetes cluster can help your automotive cyber security. Click here for more!
- Published: 2025-03-24
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/engineering-blog/external-communication-with-apache-kafka-deployed-in-kubernetes-cluster/
- Categories: Engineering Blog
- Tags: Communication Protocols
- Translation Priorities: Optional
Introduction At PlaxidityX (formerly Argus Cyber Security), we strive to deploy all our data pipeline services as Docker containers managed by Kubernetes. This usually makes our lives much easier, and our products much more maintainable. But recently we had to dig deep into Kubernetes and Kafka - for a special use case where we wanted to expose Kafka outside the Kubernetes cluster - in order to communicate with other machines. This tech post serves as a quick yet comprehensive article about communication methods with Kafka that is deployed inside a Kubernetes cluster. It assumes basic knowledge on Kafka, Docker and Kubernetes. The use case Deploying Apache Kafka within a Kubernetes cluster provides a robust and scalable solution for event streaming and data processing. However, effectively exposing Kafka outside Kubernetes requires careful network configuration to maintain performance and security. By understanding best practices to expose Kafka outside Kubernetes, such as utilizing NodePort, LoadBalancer services, or ingress controllers, teams can seamlessly integrate external systems with Kafka running securely within their Kubernetes clusters. We use an analytics database deployed directly on VMs. The database consumes records from kafka that is deployed inside the Kubernetes cluster. This is a special use case since we usually deploy services and databases inside the Kubernetes cluster, and not on VMs. The problem Kafka is designed to store different partitions on different brokers, and the client must communicate directly to the broker that stores the desired partition - brokers cannot coordinate requests and are generally built to be...
---
### Hijacking SOME/IP Protocol with Man in the Middle Attack
> SOME/IP: This article will describe a man in the middle attack on automotive applications, using SOME/IP protocol over in-vehicle Ethernet networks.
- Published: 2025-03-24
- Modified: 2025-03-26
- URL: https://plaxidityx.com/blog/engineering/some-ip-protocol-man-in-the-middle-attack/
- Categories: Engineering
- Tags: Cyber Research
- Translation Priorities: Optional
This article will describe a Man in the Middle (MITM) attack on automotive applications, using SOME/IP protocol over in-vehicle Ethernet networks and how it can be mitigated. Note: A MiTM attack involves the secret interception and manipulation of communications between two parties. The SOME/IP protocol (also called Some/IP or some ip) is widely adopted in automotive Ethernet communications, enabling efficient and reliable service-oriented message exchange between electronic control units (ECUs). Understanding how SOME/IP functions and its vulnerabilities, such as susceptibility to man-in-the-middle attacks, is critical for automotive cybersecurity professionals. By addressing potential security risks in SOME/IP-based communications, automotive companies can safeguard their systems against unauthorized data interception and manipulation. In order to facilitate effective and high bandwidth in-vehicle network connections, in-vehicle Ethernet links are becoming more common in-vehicle E/E architecture. In order to use Ethernet in the automotive world, dedicated application layer protocols were developed, such as DoIP (Diagnostics over IP) and SOME/IP. In addition, a typical automotive Ethernet stack can also include common Ethernet protocols from the IT world, such as ICMP, ARP, and DHCP. Typical In-Vehicle Ethernet Stack A general analysis of in-vehicle network security refers mainly to the following high-level impacts of Attack Patterns: Denial of service Tampering with ECU behavior Malicious triggering of vehicle behavior Falsify driver information User information disclosure Compromise intellectual property Four of the above threats can be caused by this MiTM attack: denial of service, malicious triggering of vehicle behavior, falsify driver information, and user information disclosure. Background to SOME/IP and Service...
---
### 車両盗難への備え:新たなサイバー攻撃に必要な車両盗難防止対策の進化
> サイバー車両盗難が世界的に拡大しています。自動車業界関係者が知っておくべき新たな攻撃手口と、新たな視点による盗難防止対策を紹介します。
- Published: 2025-03-17
- Modified: 2025-03-24
- URL: https://plaxidityx.com/blog/blog-post/car-theft-on-steroids-how-cyber-powered-techniques-are-transforming-vehicle-protection/
- Categories: Blog
- Tags: Cyber Trends
- Translation Priorities: Optional
月曜日の朝。あなたはベッドから起き上がり、コーヒーを淹れて車に向かいます。ところが、道路脇に停めた車を見て目を疑います。フロントバンパーとヘッドライトのカバーが半分外れ、周囲には擦り傷や塗装の剥がれが落ちています。週末にいたずらなティーンエイジャーがやったのだろうと考え、とりあえず修理工場に車を持って行き、そのまま忘れてしまいます。そして、その2日後、あなたの車は盗まれてしまうのです。 これに心当たりがありますか?これはあなただけではありません。こうした高度なサイバー技術を用いた車両盗難は今やパンデミックのように広がっており、その影響は業界全体、つまり車の所有者、自動車メーカー(OEM)、フリート運用者、保険会社に至るまで、誰もがその被害を受けているのです。 従来手口のホットワイヤリングから高度なハッキングへ これまで車両盗難に必要な道具といえば、窓を割るための大きな石とイグニッションをバイパスするためのホットワイヤーが定番でした。それさえあれば、車を簡単に持ち去ることができたのです。そして約20年前、イモビライザーが登場し、盗難防止の「大定番」となりました。しかし、言うまでもなく、現在のハイテクな車両盗難手口にはイモビライザーはもはや対抗できません。私たちはこの現実を近所の道路でも日々目の当たりにしているのです。 セキュリティの観点から見ると、今日のソフトウェア・デファインド・ビークル(SDV)の高度な技術は諸刃の剣です。キーを使わずにすむ技術や、その他のスマートなコネクテッドカーのシステムは、ドライバーにとって安全性と利便性を高めてくれる一方で、同時に新たなアタックベクトルにもなっています。車両の盗難ではこれらの技術を悪用し、わずか30秒足らずで車のロックを解除し、エンジンをかけて盗み出すことができるのです。 車両盗難の増加はもはやエピデミックレベル 車の盗難は、多くの国で深刻な問題に発展しています。たとえばカナダだけでも、2023年だけで自動車盗難による保険金請求が15億カナダドルを超えました。アメリカでも同様に、同年に盗難された車両の数は100万台を超えています。「Crime trends report(犯罪動向レポート)」によると、自動車盗難は2023年前半では39%、後半には21%増加しています(グラフ参照)。 ソース:Council on Criminal Justice、「Crime Trends in U. S. Cities, Mid-Year 2023 Update Report 」 自動車エコシステムに及ぼす深刻な影響 車両の盗難は、車の所有者だけみても毎年80億ドル以上の損失をもたらす数十億ドル規模の犯罪です。サイバー盗難は、車の所有者に精神的な苦痛をもたらすだけでなく、自動車エコシステム全体に影響を及ぼします。 OEM(自動車メーカー) – 一部の市場や国では、特定の自動車ブランドやモデルが盗まれやすい車として知られており、このような「レッテル」は、メーカーのブランドイメージや販売に悪影響を与えます。 保険会社 – 車の盗難率が高いということは、保険会社への請求が増えることを意味し、その結果として消費者やフリート運用者に課される保険料が引き上げられます。こうしたトラブルやコストを避けようと、盗難されやすい車種に対する保険の引き受けを渋る保険会社が増えてきています。 フリート運用者 – 保険会社が損失回避のために引き受けを控える中、多くのフリート運用者は車両を自社で保険管理(自家保険)し、盗難による損失を自己負担でまかなうようになっています。 自動車盗難の増加が消費者に与えている影響は、最近発表された「Deloitte 2025 Global Automotive Consumer Study(デロイト 2025年 グローバル自動車消費者調査)」にも表れています。ヨーロッパ、アジア、アメリカの消費者に対し、コネクテッドサービスのうち追加料金を支払ってもよいサービスは何かを尋ねたところ、「盗難防止機能」は最も多く挙げられたサービスの一つでした。回答者の49%〜88%が、自身の車両を盗難から守るためであれば「ある程度支払ってもよい」または「ぜひ支払う」と答えています。 サイバー車両盗難手口 車両盗難は、自動車の発明とともに始まったと言っても過言ではありません。変わったのは盗む手口だけです。車両技術が進化し続けるのと同様に、車両盗難に用いられる手口もますます高度化していくと考えて間違いないでしょう。 現在よく使われている代表的な手口には、以下のようなものがあります。 CANインジェクション攻撃:この手法は、車両のCANバスの脆弱性を悪用し、物理的な破壊なしにわずか30秒以内で車を盗むことを可能にします。ダークネット上で購入可能な既製のハッキングデバイスを使って、攻撃者はイモビライザーを無効化し、ドアのロックを解除、エンジンを始動させてそのまま車を持ち去ることができます。 キーフォブ・クローン:この手法は、車の所有者が紛失したキーを再プログラムする際にに自動車メーカーが使用するタブレット端末を利用します。こうした端末はブラックマーケットで簡単に入手可能で、攻撃者はそれを使ってダッシュボードのポートやヘッドライト経由で車のネットワークに接続します。一度デバイスが車載ネットワークに接続されると、攻撃者は不正なキーを正規のものとして登録するコマンドを実施し、車の制御が可能になります。
リレーアタック:通常は2人1組で行われ、それぞれが小型の携帯デバイスを持っています。1人はキーフォブの近く(例:車の所有者の家の前など)、もう1人は車の近くで準備します。最初のデバイスがキーフォブの信号をキャッチし、それを2人目のデバイスに中継します。2人目のデバイスがその信号を車に送ることで、車はキーが近くにあると誤認し、攻撃者はエンジンを始動させることができるのです。こうして、実際にキーがなくても車を持ち去ることが可能になるのです。 サイバー車両盗難がこれほどまでに蔓延している理由のひとつは、これらの手口のいずれも特別な技術的知識やサイバーセキュリティの専門知識を必要としないことです。犯人たちは、専用のデバイスをインターネット上で購入し、その接続方法さえ覚えれば、あとはそのデバイスが自動的に盗難を実行してくれるのです。 問題への対策 車両盗難が深刻な問題となっている国々では、盗まれた車両の追跡・回収に多大な労力が費やされています。多くの場合、保険会社に義務付けられていることもあり、車の所有者やフリート運用者は盗難車両追跡サービスを利用しています。しかし、本当に必要なのはそもそも車を盗まれにくくすることです。 消費者が盗難防止にお金を払う意思があることはわかっています。市場のニーズに応えるために、以下の3つの柱に基づいてソリューションが設計されるべきです。 検知 – 不正な車載ネットワークへのアクセスや、不正なキーフォブの登録といった盗難の試みを検知します。 防止 – 攻撃によって一時的に無効化されたイモビライザーの再有効化や、CANネットワーク上を流れる偽のメッセージのブロックなど、リアルタイムで盗難を防止するアクションを実行します。効果的な防止には、「正当な操作」と「不正な操作」(例:新しいキーの再登録)を正確に見分け、不正なものだけを阻止する能力が求められます。 将来への備え – 今後登場する新たな車両盗難手口にも対応できるよう、継続的なソフトウェアアップデートを可能にします。現在、主なアタックベクトルは3つですが、明日にはまったく新しい手口が登場するかもしれません。今日生産された車両は、平均して10〜15年間道路を走り続けることになります。盗難防止ソリューションは、車両のライフサイクル全体を通じてOTA(無線)によるセキュリティアップデートを可能にするインフラとツールを備えていなければなりません。 路上を走る車の保護:アフターマーケットでの防御の必要性 UNR 155 や ISO21434 などの新たなサイバーセキュリティ規制・標準への対応のため、自動車メーカーは新型車両の開発においてサイバーセキュリティを考慮するようになっています。これには、セキュアコーディング、車載ネットワークにおける侵入検知・防御機能、そしてフリート保護のための VSOC(Vehicle Security Operations Center:車両セキュリティオペレーションセンター)機能などが含まれます。 しかし、盗難防止対策に関して言えば、業界はいまだに後手に回っているのが現状です。OEMとしては、盗難防止機能(あるいはサービス)を車両に追加したいと考えているものの、それを後付けで行うことはできません。仮にOEMが今日、車両盗難の急増に対応するために新たなセキュリティ対策の設計を始めたとしてもそれらが市場に出回るまでには数年かかります。では、すでに道路を走っている何百万台もの車両をどうやって守ることができるのでしょうか? 車両に既知の脆弱性が発見された場合、OEMは該当する車両に対してソフトウェアアップデートを提供することができます。しかし実際には、すべての車両のすべての脆弱性に対応することは不可能です。もしそれが可能であれば、サイバー手口を用いた車両盗難はほとんど存在しないはずです。さらに、何百万台もの車がすでに走行している現状では、そのモデルの全ての車両がアップデートを完了するまでに時間がかかります。その間、何が起きるのでしょうか? まさにこの“隙間”こそが、先に述べた三本柱(検知・防止・将来への備え)に基づいた新しいアフターマーケット向けの盗難防止サービスの必要性を生み出しています。車両盗難という大きな社会問題と盗難防止にお金を払ってもよいという消費者の意識の高まりが、サイバー攻撃に特化した新しいタイプの保護サービスというビジネスの可能性となっているのです。 私たちがお手伝いします PlaxidityX vDome はAIを活用した盗難防止ソリューションで、悪意ある盗難の試みを200マイクロ秒以内に検知し、無力化することができます。 vDome はドアのロック解除やエンジン始動など、車両を盗もうとする電子的な操作を含む不正な車両ネットワーク上の挙動を検知し、リアルタイムで盗難防止アクションを実行します。 この vDome ソフトウェアはすでに Vodafone Automotive の盗難防止ソリューションにも統合されています。 vDomeが最新のサイバー盗難手口から車両を守る方法に関する詳細を知りたい場合はお問い合わせください。
---
### Car Theft on Steroids: How Cyber-Powered Techniques Are Transforming Vehicle Protection
> Cyber car theft surges. Discover how hackers steal cars in seconds, bypassing traditional security. Learn about new tech & aftermarket protection solutions.
- Published: 2025-03-17
- Modified: 2025-04-08
- URL: https://plaxidityx.com/blog/blog-post/car-theft-on-steroids-how-cyber-powered-techniques-are-transforming-vehicle-protection/
- Categories: Blog
- Tags: Cyber Trends
- Translation Priorities: Optional
It's Monday morning, you pull yourself out of bed, make a cup of coffee, and head out to your car. When you reach the curb, you don't believe your eyes. The front bumper and headlight housing are partially detached, the surrounding areas are scuffed and the paint is chipped. Figuring it was a weekend teenager prank, you take the car to the shop and forget about it. Two days later your car is stolen. If this sounds familiar, you're not alone. This and other types of sophisticated cyber-enabled car theft have reached pandemic proportions, with repercussions across the industry – from car owners and OEMs to fleet operators and insurance companies. From Hot Wiring to Hacking Traditionally, the tools of the trade for a car thief were a big rock to break the window and a hot wire to bypass the ignition. That's all you needed to drive away with the car. Then came the immobilizer about 20 years ago, which became the gold standard for anti-theft protection. Needless to say, immobilizers don't stand a chance against today's high-tech car thieves – and we’re seeing the results on our streets every day. From an automotive cyber security standpoint, the sophistication of today's software-defined vehicles (SDVs) is a double-edged sword. Keyless technology and other smart connected vehicle systems enhance safety and convenience for drivers, but at the same time these technologies introduce new attack vectors that car thieves are leveraging to unlock, start and steal a car in less than...
---
### 自動車業界の技術戦:米国の対中・対露禁輸措置が引き起こす大混乱
> 2025年1月に米国商務省が発表した中国製およびロシア製のコネクテッドーカー用ハードウェアおよびソフトウェアの販売・輸入禁止措置に関して、自動車業界への影響を考察しています。
- Published: 2025-03-06
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/blog-post/the-auto-tech-war-u-s-ban-on-china-and-russia-leaves-industry-scrambling/
- Categories: Blog, カテゴリーなし
- Tags: Compliance
- Translation Priorities: Optional
米国は過去10年の間、中国やロシアなどの外国の敵対勢力にデータ流出を規制するための措置を密かに講じてきました。また、これらの国々の情報通信技術(ICT)を接続デバイスに使用することを制限する取り組みも進めています。 こうした措置を取る背景には、国家安全保障があります。データへのアクセスや接続技術(例:IoT)を制御することは、敵対勢力にとってサイバースパイ活動を行ったり、重要なインフラを攻撃したりするための手段となり得ます。近年、輸入されたハードウェアやソフトウェアに隠された「バックドア」が発見されるケースが相次いでおり、ハッカーがこれを利用して米国内のさまざまな活動を密かに監視し、データを収集していることが明らかになっています。 この地政学的な技術戦における最新の動きとして、ICTの規制が自動車業界にも拡大されました。2025年1月14日、米国商務省は、中国およびロシアを原産とするコネクテッドカーのハードウェアおよびソフトウェアの販売・輸入を禁止する最終規則を発表しました。この規則は、2027年モデルの車両から適用されます。 では、この課題は米国市場で車両を販売するOEMにとってどういう意味があるのでしょうか? 現時点では不明なことが多くありますが、明確なことが1点あります。それはOEM各社が、この連邦政府の規則にどのように対応するのか、今すぐに検討を始める必要があるということです。 コネクテッドカーをリスクと考える理由 規制当局によると、車両のコネクティビティ技術や自動運転システムに統合されたソフトウェアは、外部からの信号に対して脆弱であるとされています。これらの技術が「中国またはロシアによって設計、開発、製造、または供給された場合、非常に深刻で、容認できない国家安全保障上のリスク」をもたらすと指摘しています。 例えば、現在、多くの車両には複数のカメラが搭載されています。運転中、車両は周囲の映像を記録し、言い換えればリアルタイムで都市の地図を作成しているのと同じ状態になります。この情報が中国のクラウドに転送されると、中国政府はそのデータすべてにアクセスできるようになり、事実上あなたの車が偵察ツールへと変わってしまう恐れがあります。さらにソフトウェア・デファインド・ビークルは、ドライバーや所有者の個人情報を含む機密データを収集しており、これらの情報が外国の敵対勢力によって悪用されるリスクも懸念されています。 これらのリスクに加えて、現在の自動運転システムやADAS(先進運転支援システム)は、ハッカーが遠隔操作で車両を操ることを可能にするサイバー攻撃に対して脆弱である恐れがあります。外国の敵対勢力が悪意を持って大規模な車両フリートを乗っ取った場合、どのような深刻な事態が引き起こされるか想像してみてください。 規則はどうなっているのか 詳細を見ていきましょう。今回の新たな規則は、乗用車の車両コネクティビティシステム(VCS)および自動運転システム(ADS)に重点が置かれています。この規則により、中国やロシアに関連する企業が提供するハードウェアやソフトウェアを搭載したコネクテッドカー、またはそのようなコンポーネントを組み込んだ車両の販売や輸入が禁止されます。 ソフトウェアに関しては、この規則はオペレーティングシステム、ミドルウェア、アプリケーションソフトウェア、バックエンドシステムまで幅広く対象としています。ただし、ファームウェアやオープンソースソフトウェアは適用除外となります。ソフトウェア関連の禁止措置は2027年モデルの車両から適用され、ハードウェア関連の禁止措置は2030年モデルの車両から施行されることになります。 OEMは、本規則への適合を証明する「適合宣言(Declarations of Conformity)」を毎年提出することが義務付けられます。この宣言には、VCSのハードウェアおよび対象となるソフトウェアに関する詳細情報が必要で、さらに適正評価手続き文書も求められます。 自動車サプライチェーン全体に及ぶOEMへの巨大な影響 この措置によって影響を受けるのはどこでしょうか? この規則の対象となるのは、米国市民または永住権を持たない中国またはロシアの市民や居住者です。つまり、キプロス在住のロシア人フリーランスのソフトウェアエンジニアが、サードパーティの車両サプライヤー向けにソフトウェアを開発する場合も、問題になる恐れがあるということになります。 企業レベルでは、さらに複雑な問題が生じます。 所有権、法的管轄、株主構成、または取締役会の構成を通じて、中国またはロシアから直接または間接的な影響を受ける可能性のある企業は、この規則の適用対象となります。例えば、ボルボ・カーは中国の持株会社によって所有されています。2027年にこの規則に適合するため、ボルボは所有構造や市場戦略の見直しが必要になるのではないでしょうか。 現在、多くのOEMが100社以上のベンダーからソフトウェアコンポーネントを調達・統合しているという事実を踏まえると、これらの規則がOEMおよびそのサプライヤーに及ぼす商業的影響は非常に大きなものとなります。 やってみないとわからないことだらけ ここで問題の核心に迫ります。前述のとおり、すべてのコネクテッドカーは、中国またはロシア由来のコンポーネントを含まないとする適合宣言(Declaration of Conformity)を提出する必要があります。さらにOEMはこの宣言を裏付ける証拠を提出しなければなりません。では、どのようにして適合性を証明すればよいのでしょうか? 難しいのは、車両アーキテクチャ内の該当コンポーネントを特定することです。一般的な車両には50以上のECUが搭載されており、各ECUには、多くのサプライヤーから提供された数十ものソフトウェアライブラリが組み込まれています。さらに自動車のサプライチェーンは非常に複雑であり、OEMやTier 1サプライヤーであっても、下流のサプライヤーから受け取るコンポーネントに含まれるソフトウェアの詳細な構成を完全に把握していないケースが多いのが現状です。 多くの場合、問題の原因となるコンポーネントはサプライチェーンの奥深くに埋もれている可能性があります。UNR 155で義務化されているソフトウェアの脆弱性スキャンと同様に、OEMは外国の敵対勢力によって開発されたソフトウェアを特定するための高度なツールを導入する必要があるでしょう。問題となるコンポーネントが特定され、報告されれば、OEMはサプライヤーに対して問題のあるソフトウェアを含まない更新版の提供、または別の代替品の提供を求めることが可能になります。 この問題の複雑さを説明するために次の例を考えてみましょう。あるソフトウェア企業が中国の下請け業者と協力して開発したソフトウェアが、ミドルウェアスタックに統合されているケースを想定してください。この場合、車両メーカーはどのようにしてミドルウェア層まで深堀りし、車両アーキテクチャの一部となっているハードウェアやソフトウェアを特定し、リスクを軽減できるのでしょうか? OEMが直面するコンプライアンスの課題 すでに作業部会が結成され、この規則が自動車のサプライチェーン全体に及ぼす技術的な課題について議論・分析が進められています。この初期段階では、OEMやサプライヤーは以下のようなハイレベルな課題に取り組んでいます。 非常に広範な適用範囲 – OEMは、政府の具体的な要求事項をまだ詳細には把握できていません。大枠の目標は示されたものの、常に細部にこそ課題が潜んでいます。北米の主要な自動車サプライヤー団体であるMEMA(Motor & Equipment Manufacturers Association)は、すでにこの規則の広範な適用範囲に懸念を表明しており、特に先進運転支援システム(ADAS)やバッテリーマネジメントシステム(BMS)について言及しています。 バックエンドシステムや通信サービスにおいて、具体的に何が禁止されるのかについては、さらなる明確化が求められています。おそらく最も重要な点として、対象となるハードウェアおよびソフトウェアコンポーネントを特定するための基準について明確な指針が示されていません。 コンプライアンスのタイムライン – 既述のとおり、ソフトウェアの禁止措置は2027年モデルから適用され、ハードウェアの禁止措置は2030年モデルから施行される予定です。しかし、自動車の開発・生産サイクルの特性を考えると、この時間軸は大きな懸念事項となります。OEMやそのパートナー企業は、すでに次世代車両の設計・開発に着手しており、ハードウェアやソフトウェアの調達プロセスも進行中です。この段階で契約済みのサプライチェーンを変更しなければならない場合、多大な損失が発生する恐れがあります。これらの課題を踏まえ、MEMAはすでにサプライヤーが新たな規則に適合するための期間を、2年間延長するよう要請しています。その理由として、サプライチェーンの複雑性や、徹底した適正評価手続きの必要性を挙げています。 知的財産(IP) – もう一つの課題は、独自開発のソフトウェアに関連する知的財産の保護です。企業がソフトウェア部品表(SBOM)やハードウェア部品表(HBOM)を規制当局に提出する義務を負う場合、自社の知的財産が確実に保護され、競合他社に漏洩しないことを保証する必要があります。ここでの課題は、規制に準拠しながら、車両に中国やロシア関連のコンポーネントが含まれていないことを証明しつつ、機密情報や独自技術を守る方法を見つけることです。 お手伝いできることはありますか? 最近のサイバーセキュリティ規制への対応と同様に、OEMは禁止されたコンポーネントを特定し、報告するためのツール、プロセス、専門知識が必要になります。これには、例えばソフトウェアやハードウェアの資産に、中国またはロシア由来のコンポーネントがないかスキャンし、疑わしいコンポーネントを特定・報告するツールの導入が含まれる可能性があります。 UNR 155やISO 21434などのサイバーセキュリティ規制に対応するため、多くのOEMやサプライヤーはすでに資産の脆弱性スキャンを実施しています。しかし今回の新規則に対応するためには、新たなリスク管理プロセスやツールを導入し、中国やロシア由来の禁止コンポーネントを特定・検査し、必要に応じて交換する仕組みを整える必要があります。PlaxidityXはすでに、Software Supply Chain Security製品を強化し、SBOMをスキャンして禁止コンポーネントを特定し、レポートを生成するなど、OEMが新規則に準拠するための支援の準備を整えています。 さらにOEMは、ハードウェアとソフトウェアの調達段階で潜在的な問題を特定することを目的としたプロセスを設定し、内部監査と外部の第三者機関による評価を実施する必要があります。このような適正評価手続きを実施することで、開発プロセスの後半で予期せぬ問題が発覚するリスクを回避することが可能になります。 新規則への適合戦略の構築にお困りですか?PlaxidityX(旧アルガス)のサービスチーム にお問い合わせください。サプライチェーンに関する支援プロセスやツールに関して最適なアプローチをご提案いたします。
---
### The Auto Tech War: U.S. Ban on China and Russia Leaves Industry Scrambling
> On Jan 14 2025 the Department of Commerce issued a rule banning the sale/import of connected vehicle hardware & software originating from China or Russia. Learn more.
- Published: 2025-03-06
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/blog-post/the-auto-tech-war-u-s-ban-on-china-and-russia-leaves-industry-scrambling/
- Categories: Blog, カテゴリーなし
- Tags: Compliance
- Translation Priorities: Optional
Over the past decade, the United States quietly has taken measures to regulate data flows to foreign adversaries, such as China and Russia, as well as restricting the use of information and communications technology (ICT) from these countries on connected devices. The rationale behind these measures is to safeguard national security. Access to data and control of connected technology (e. g. , IoT) provides adversaries with the tools to potentially conduct cyber espionage and even attack critical infrastructure. There have been numerous discoveries in recent years of imported hardware and software containing hidden "backdoors," which are used by hackers to surreptitiously collect data and monitor various activities within the US. The latest move in this geopolitical tech battle extends these ICT restrictions to the automotive industry. On January 14, 2025, the Department of Commerce issued a finalized rule banning the sale or import of connected vehicle hardware and software originating from China or Russia, starting with 2027 vehicle models. So what does this challenge mean for OEMs selling in the US market? At this point, there are more questions than answers, but one thing is clear – OEMs need to start thinking right away about how they are going to comply with this federal ruling. Why Worry about Connected Vehicles? According to regulators, the technologies used in vehicle connectivity and software integrated into automated driving systems are vulnerable to external signals. This presents "an undue and unacceptable risk to national security when designed, developed, manufactured, or supplied by persons” from either...
---
### 動的SBOM:ソフトウェアセキュリティをリアルタイムで可視化
> 動的SBOM分析は、ライブラリの使用状況をリアルタイムで把握し、静的SBOM分析では見逃しがちな脆弱性の検出や対処の優先順位付けを行う上で強力なツールです。効果や検討すべき点について解説しています。
- Published: 2025-02-17
- Modified: 2025-02-28
- URL: https://plaxidityx.com/blog/engineering/dynamic-sbom-monitoring-the-pulse-of-software-security/
- Categories: Engineering
- Tags: Cyber Research, Cyber Trends
- Translation Priorities: Optional
システムのSBOM(ソフトウェア部品表)を監視することは、システムのライフサイクル全体を通じて安全性を維持し、開発を進める上で重要な要素です。SBOMを追跡することで、開発者は継続的に脆弱性を検出し、適切な対策を講じるための判断を行うことができます。 動的SBOM(DSBOM)は、従来の静的SBOMに比べてソフトウェアセキュリティ評価を進化させたものです。静的SBOM分析では、ライブラリや依存関係を含むシステムコンポーネントの包括的な概要を提供しますが、動的SBOMはコードの実行中にサードパーティライブラリへの呼び出しを能動的に監視することで、リアルタイムのインサイトを追加します。 動的SBOMの際立った特徴は、アプリケーション内で実際に使用されているライブラリを正確に特定し、追跡できる能力です。このリアルタイムの監視により、ソフトウェアのエコシステムや潜在的な脆弱性をより正確に把握できるため、セキュリティ対策の優先順位を効果的に決定することが可能になります。 DSBOMの利点 動的SBOMは、セキュリティ対策の優先順位付けをより簡単かつ効果的に行います。以下の例を見てみましょう。静的SBOMでは、CVE-2023-31484がlibperl 5. 36. 0に関連していると報告されています。しかし、動的スキャンではこのアプリケーションのライブラリで使用されていないことが確認されました。一方で、動的SBOMによってアプリケーションがlibcurlをロードしていることが判明しました。これを静的SBOMと照合すると、libcurlのバージョンが7. 86. 0であり、これにはCVE-2023-27534が存在することが確認できます。 これで優先順位の判断が容易になりました。仮にこのアプリケーションのセキュリティ評価を行う必要がある場合、libperlに関連するCVE-2023-31484への対処は後回しにできます。一方で、libcurlに関するCVE-2023-27534は実際に使用されているライブラリに関連しているため、より緊急性が高く、優先的に対処する必要があります。 DSBOMの仕組み 初めに、「PlaxidityX DSBOM」は、動的ライブラリへのすべての呼び出しをトラップ割り込み、つまり「ブレークポイント」(x64およびARCH64で動作)に置き換えます。これは、メモリのアセンブリコードを置き換えることで実現されます。 そしてコードが実行されます。 動的SBOMを使用する際の検討事項 動的SBOMを活用する際には、以下の点を考慮することが重要です。 ItraceではなくDSBOMを使用する理由 ltraceは、printfのように繰り返し呼び出されるものを含め、外部ライブラリへのすべての呼び出しを記録するため、パフォーマンスが低下します。一方、DSBOMは各呼び出しを一度だけ記録することで、スピードと効率を最適化します。さらに、ltraceはアプリケーションからの直接的な呼び出ししか追跡できず、他のライブラリからの内部関数や推移的な呼び出しを把握することができません。これに対して、DSBOMはコード内の重要なパスを特定できます。例えば、特定の関数に脆弱性が存在する場合、DSBOMはその呼び出しがサードパーティライブラリ経由で行われた場合でもアラートを発することが可能です。 静的解析の補完にDSBOMを使用 動的SBOMは静的分析を補完するものですが、いくつかの理由から完全に置き換えることはできません。 不完全なカバレッジ: 動的分析では、コードカバレッジが不十分な場合にアプリケーションのすべての機能を網羅できない可能性があります。そのため、潜在的な脆弱性を特定するためには、静的分析の併用が必要となります。 依存関係の影響:特定のライブラリがメインアプリケーションで直接使用されていなくても、別のコンポーネントやサブシステムが依存している可能性があります。このような場合、脆弱性修正の優先順位に影響を与えることになります。 未使用ライブラリの識別: 動的SBOMの結果を基に未使用のライブラリを特定し、システムから削除することで、攻撃対象領域を減らし、システムのセキュリティを強化できます。 カバレッジと効果 動的SBOMの結果は、モニタリング中に達成されたカバレッジに直接影響を受けます。ユニットテストなどの包括的なテスト手法や、「PlaxidityX Security AutoTester」のような自動車向けファジングテスト製品を活用して高いカバレッジを達成すれば、システムの安全性とセキュリティを向上させるための、より信頼性が高く実用的な結果が得られます。 行カバレッジは、テスト中に実行されたコード行の割合を測定する指標であり、DSBOM分析において使用される重要なメトリクスです。以下のグラフでは、行カバレッジがライブラリの発見に与える影響を示しています。なお、この例では小規模かつ目的特化型のコードを用いており、大規模なプロジェクトでは結果が異なる可能性があります。 静的SBOMの出力結果は、次のような形式になります。 この表は、システム内に存在するアプリケーションやライブラリについて、実際に使用されているかどうかに関わらずユーザーに情報を提供します。図6に示されているように、メインアプリケーションで使用されていないアプリケーションやライブラリがシステム内に含まれている場合があります。 この例は、カバレッジを増やすことで検出精度が向上することを明確に示しています。しかし、依然として静的SBOMと重ならない未検出のライブラリが存在します。複数の実行結果を比較した詳細は、図4をご参照ください。 DSBOMがカバレッジに依存しているという事実は、たとえカバレッジ率が高くても、ライブラリが呼び出される箇所を網羅していなければ、結果の精度が低下することを意味します。したがって、重要なのはカバレッジの「量」だけでなく「質」であるという点です。 もう1つ重要なポイントは、DSBOMは呼び出されなかったライブラリ(関数が一度も呼び出されていないライブラリ)についても報告することです。これは、システム要件を理解する上で有益な情報となります。以下の表では、無作為に選んだサンプルの中で、実際に使用されたライブラリは1つだけであり、他のライブラリはすべて「必要」として報告されていることがわかります。全体として、カバレッジが高い領域で呼び出されたライブラリは読み込まれたライブラリ全体のわずか11%でした。この結果が示す可能性として、以下の3つが考えられます。 デッドコード: 必要のないサードパーティコードが使用されている可能性があります。 低カバレッジ:該当するコードがテストされていない可能性があります。 推移的依存関係:ライブラリの機能の一部のみが使用されるのは一般的であるため、特に対応する必要はありません。 この表は、プロセスメモリにロードされたライブラリの数と、実行時に実際に呼び出されたライブラリの数を比較したものです。表示されているデータは、全体の表から無作為に選んだ小規模なサンプルであり、完全なデータは非常に膨大であるため、ここでは一部のみを示しています。 図8は、システム内に存在するアプリケーションおよびライブラリの数と、メインアプリケーションで実際に使用されているライブラリの数を比較したものです。DSBOM分析の結果、1,000個のライブラリのうち、実際にアクティブに使用されているのはわずか14個であることがわかりました。この洞察は、脆弱性対策の優先順位を決定する上で非常に重要です。このようにライブラリを絞り込むことで、プログラマーやプロダクトマネージャーは言うに及ばず、CISO(Chief Information Security Officer、最高情報セキュリティ責任者)にとっても負担が軽減されます。特に、より重大な脆弱性が存在する領域を強調することで、意思決定が容易になり、アナリストのアラート疲れを回避する助けにもなります。 結論 動的SBOMは、コード実行中にライブラリの使用状況をリアルタイムで把握することで、ソフトウェアセキュリティ評価を強化する重要なツールとして登場しました。静的分析を完全に置き換えることはできないものの、それを効果的に補完する能力により、静的分析だけでは見逃したり、優先順位を誤って判断する恐れのある脆弱性を明らかにします。ライブラリの使用状況を正確に特定し追跡することで、動的SBOMはセキュリティ対策の優先順位付けを効率的に支援し、より堅牢なソフトウェアセキュリティの実現に貢献します。 しかし、動的SBOMのカバレッジと有効性は、モニタリングのカバレッジに直接影響を受けるため、包括的なテスト手法の導入が重要であることも忘れてはなりません。また、ライブラリが使用されたかどうかにかかわらず、必要なライブラリをすべて報告する機能は、デッドコードやテストカバレッジの不足など、システム要件や潜在的な問題を示す有用な指標となります。静的分析と慎重に組み合わせて活用することで、動的SBOMは潜在的な脅威に対するソフトウェアエコシステムの強化に大きく貢献することができます。
---
### Dynamic SBOM: Monitoring the Pulse of Software Security
> Discover how Dynamic SBOM offers real-time insights into library usage to prioritize vulnerabilities and complement static analysis for robust software security.
- Published: 2025-02-17
- Modified: 2025-03-24
- URL: https://plaxidityx.com/blog/engineering/dynamic-sbom-monitoring-the-pulse-of-software-security/
- Categories: Engineering
- Tags: Cyber Research, Cyber Trends
- Translation Priorities: Optional
Monitoring a system’s SBOM (Software Bill of Materials) is a crucial part of developing and maintaining a secure system throughout its lifetime. Tracking the SBOM enables developers to continuously detect vulnerabilities and decide on proper mitigations. Dynamic SBOM (DSBOM) represents an advancement in software security assessment compared to its predecessor, known as static SBOM. While the static SBOM analysis provides a comprehensive overview of the system components, including libraries and dependencies, the dynamic SBOM adds a layer of real-time insight by actively monitoring the calls made to third-party libraries during code execution. The distinguishing feature of dynamic SBOM is its ability to accurately identify and track the actual usage of libraries within an application. This real-time monitoring ensures a more precise understanding of the software's ecosystem and potential vulnerabilities, leading to more effective prioritization of security mitigations. What Are the Benefits of DSBOM? Dynamic SBOM makes prioritizing mitigations easier, and far more effective. In the example below, the static SBOM reported as CVE-2023-31484 is related to libperl 5. 36. 0. The dynamic scan doesn't show any use of this library for this specific application. However, the dynamic SBOM does indicate that the application loads libcurl. By cross-referencing this with the static SBOM, one can see that the version of libcurl is 7. 86. 0, which has CVE-2023-27534. It's now easy to determine prioritization. If this application needs to be assessed, CVE-2023-31484 for libperl can wait, while CVE-2023-27534 for libcurl is more urgent. How DSBOM Works At the outset, the "PlaxidityX...
---
### 市販の自動車ハッキングキットを解剖する
> 市販のハッキングキットを調査し、自動車盗難のリスクや影響を分析した結果からOEMが採用すべきセキュリティ対策について解説します。
- Published: 2025-01-06
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/blog-post/a-tale-of-an-off-the-shelf-car-hacking-kit/
- Categories: Blog, Cyber Attacks
- Tags: Cyber Trends
- Translation Priorities: Optional
興味深いデバイス 最近、PlaxidityX(旧アルガス)の研究チームは、興味深いデバイスをみつけました。それは、PSPのようにスタイリッシュで持ち運べる程度のサイズの端末で、7つのボタンが便利に配置され、洗練されたデザインと謎めいた名前がついています。このデバイスのパンフレットには、OEMの承認なしに、多くの車両に対してリモートエントリーやパッシブキーエントリー用の新しいキーを登録できる機能を備えていると記載されていました。 このデバイスの本来の目的は、無認可の自動車修理店が正規のサービスステーションよりも安価にサービスを提供できるようにすることです。しかし、言うまでもなく、この説明通りのことが可能であれば、このデバイスは悪意のある者によって車両を盗むために悪用される可能性があります(コンピュータゲームのグランドセフトオート、GTAのように)。その方法は非常に単純です。 車両に対して物理的に侵入する デバイスをOBDポートに接続する
自分のキーを登録する
イグニッションをオンにし、誰にも気づかれないうちに走り去る 盗難車を入手 当然のことですが、このデバイスを起動すると、法的責任は使用者に転嫁するという免責事項が表示されます。自動車セキュリティリサーチャーとして、このデバイスは興味深く、プロフェッショナルな理由から調査する必要がありました。 お気づきの通り、意図的にこのデバイスの名前は伏せています。というのも、このデバイスには少々後ろめたいところがあるものの、いわゆる“闇ルートを経由した”ものではなく、完全に合法的な手段で入手できたからです。実際、これはeBayで購入しました。ただし、このブログ記事の主旨が『この魔法のデバイスを使えば車の盗難が簡単にできる』という印象を与えたくないので、この情報は今後も公開しない方針です(しかも、筆者は車の盗難は簡単ではないと考えています)。オンライン上で自動車サイバーセキュリティに関するブログ記事を誰が読んでいるか分からない以上、慎重なアプローチが必要だからです。 とはいうものの、簡単な検索で同様の機能を持つ多くのデバイスが見つかります。その中には、手頃な価格で月次アップデートやカスタマーサポートを提供しているものもあります。しかし、ご心配なく。このデバイスが引き起こしそうな問題は、以下に説明する方法で容易に無効化できます。 このツールを試す デバイスがラボに届いた際、チームは大いに盛り上がり、すぐに作業に取り掛かりました。まず初めに、そのユーザーインターフェース(UI)を詳しく調べました。予想通り、多くのOEMから提供されている多種多様な車両モデルが対応可能であることが確認できました。中にはパンフレットに記載されていなかった最新モデルも含まれており、同年に市場に投入された車両もありました(さらに多くのモデルを追加するアップデートも入手可能です)。さらに、このデバイスはキーの登録や登録解除以上の機能を備えています。一部のモデルでは、「イグニッションをオンにする」という機能まで備わっています。これらは必ずしも安価なモデルだけではありません。明らかに、イグニッションをオンにできれば、キー登録の手順を省略でき、車両の盗難がさらに容易になります。 PlaxidityXの業務が忙しいため、このデバイスを分解してファームウェアを抽出し、リバースエンジニアリングを行う(ECUに対して行うような)手間を省き、完全なブラックボックスアプローチを採用することにしました。このデバイスは車両のOBDポートに接続することを前提としているため、それをシミュレートし、デバイスと通信を試みました。リストにあるいくつかの車両モデルを適当に選び、キーの登録や登録解除、イグニッションのオン、その他の機能も含め、試してみました。 この作業を行うためには、デバイスが送信するさまざまなCANメッセージに対して、車両の応答を真似する必要がありました。多くの場合、この作業は比較的簡単でした。というのも、大半のケースで使用されていたプロトコルがUDSであり、メッセージのやり取りが各アクションにつき2~3回程度と短かったからです。ほとんどの場合、正しい応答が予測できるか、ブルートフォースの方法が通用し、目的を達成しました。(つまり、「キーが正常に登録されました」というメッセージがデバイスの画面に表示されました)。ただし、実際の車両でこのデバイスをテストしたわけではないため、これがすべて見せかけだけの動作である可能性もあります(とはいえ、このデバイスが実際に機能することを示すYouTube動画もいくつか確認しましたが)。 課題と発見 このデバイスには多くの機密情報、しかも、デバイス開発者自身のものではない機密情報が含まれています。この種のデバイスは、疑わしい動作を検出するとロックされる保護メカニズムを備えている場合が多いです。しかし、私たちはリスクを承知の上で作業を進めることにしました。そして、デバイスのメッセージに対する正しい応答を見つけるためにスキャンを実行していた際に問題が発生しました。そのスキャンでは、デバイスの「キーを登録する」ボタンを何度も押す必要がありましたが、結果としてデバイスがロックされてしまいました。新しい画面が表示され、パスワードの入力を要求されました。エスケープもできず、リセット操作を試みても解除できませんでした。 さて、次はどうするべきでしょうか? デバイスをリバースエンジニアリングして解決策を見つけることもできますが、もっと簡単な方法を試してみるのはどうでしょうか? つまり、販売者にサポートを求めてみることです。正直なところ、この方法には懐疑的でした。というのも、これは合法スレスレのデバイスであり、我々が聞いたことのないよく知らない会社によって製造されているものだからです。しかし、数時間後に販売者から返信がありました。「なぜロックされたのですか? ソフトウェアを開発していますか?」と尋ねられました。「いいえ」と私たちは答えました(ただのリサーチです)。すると、「それならOKです。こちらが解除用のパスワードです。ご不便をおかけして申し訳ありません」と販売者は答え、パスワードを教えてくれました。カスタマーサポートの対応には感心しました。星5つです。 リサーチに戻りましょう。多くの場合、キー登録プロセスは以下の2段階で構成されていました。 「PINコードの読み取り」機能を使用してPINコードを抽出します。この段階では通常、UDSセキュリティアクセスをパスする必要がありますが、デバイスはこれをクリアすることができました。どうやら、このデバイスは車両のセキュリティアクセス機構が提示するランダムシードに対応する正しい応答をすべて把握しているようです。 「キーの登録」機能を使用して新しいキーを登録します。通常、この段階では、手動でPINコードを入力するよう求められました(何らかの理由で、ユーザーの利便性を考慮して2つの段階を統合していませんでした)。さらに、車両によっては、「ドアを開ける」「キーをイグニッションボタンに置く」などの指示がデバイスから提示されました。 では、この謎のデバイスの開発者は、どのようにしてセキュリティアクセスやキー登録プロセスを突破する方法を知ったのでしょうか? 正確な方法は分かりませんが、以下のように推測されます(繰り返しますが、これは車両盗難デバイスの開発方法を指南するものではありません)。私たちの仮説では、開発者は認可されたサービスステーションから正規のOEMテスターを入手し、合法的なキー登録プロセスを記録してそれをコピーした可能性があります。これにより、一般的なプロセスについての知識を得たと考えられます。しかし、それだけではセキュリティアクセスを突破する方法についての説明がつきません。 確かに、一部のケースではセキュリティアクセスが非常に単純で、わずかなケースからそのアルゴリズム全体を推測することができました。しかし、他のケースではより複雑なものも見られました。一つの可能性として、開発者がすべての可能なシードをテスターに送り、その応答を記録したという方法が考えられます(シードの長さが十分に短ければこれは可能であり、実際多くの場合あてはまりました)。しかし、この方法では大量のストレージスペースが必要となり、実現可能性は低くなります。より現実的な説明としては、一部の車両モデルにおいて、開発者がOEMテスターまたはキー登録に関係するECUを調査した可能性があります。この方法は手間がかかるものの、セキュリティアクセスキーの計算アルゴリズムを抽出するだけで十分である点を考えると、十分に実行可能です。例えば、毎月異なる車両をレンタルし、関連するECUを取り外し、そのファームウェアを抽出、コードを少し調査してキー登録のPoCを開発した後、すべてを元通りに戻し、車両を返却する(もちろん燃料満タンで)というシナリオが容易に想像できます。多くの車両モデルが同じシステムを使用していることを考慮すると、1つのモデルを調査するだけで、多くの車両を開錠するための知識を得ることができます。 結論と安全対策 では、このデバイスを使って実際に車を盗むことは可能なのでしょうか? 一部のケースでは不可能でした。新しいキーを登録するには、事前にPINコードまたはその他の情報を知っている必要があったからです。しかし、多くのケースでは、実行可能であるように思われます。ただし、実際の車両でこのデバイスを使用していないため、100%確実とは言い切れません。しかし、顧客のレビューや多数のYouTube動画を見る限り、このデバイスが確かに宣伝どおりに機能するようです。OEMがこの事実を認識し、FOTAアップデートを通じて脆弱な車両モデルを修正していることを願っています。しかし、一部の車両はアップデートされないまま残り、依然としてこの方法による盗難のリスクがあります。 では、OEMはどのようにしてこのような盗難の可能性を回避できるのでしょうか? 以下は、OEMがこのデバイスを無効化するために採用できる比較的簡単な方法です。 UDSセキュリティアクセスプロセスでより長いシードを使用し、正規のOEMテスターの通信記録からシードキーのディクショナリを作成することを不可能にします。もちろん、シードはランダムである必要があり、シードの重複が発生しないようにする必要があります。 セキュリティアクセスアルゴリズムにHSM(ハードウェアセキュリティモジュール)に保存された秘密要素を含めることで、デバイスがセキュリティアクセスを突破することを防ぎます。一方で、正規のOEMテスターは、OEMのサーバーにアクセスしてこの情報を取得することが可能となります。当然ながら、アルゴリズムは十分に複雑である必要があり、少数のサンプルから推測されることがないようにする必要があります。 現在では、このような目的でセキュリティアクセスサービスを使用する必要はありません。より安全な暗号化方式(対称鍵および非対称鍵の両方)に基づいた、UDSサービス0x29やSecOCのようなより優れた方法が存在します。 キーを登録するために必要な唯一の秘密情報として4桁のPINコードを使用するのは避けるべきです(それ自体が脆弱な仕組みです)。もしPINコードを使用する必要がある場合は、そのコードが車両から抽出されないようにしてください。正規のサービスステーションのみが、OEMのバックエンドからPINコードに安全な方法でアクセスできるようにするべきです。 JTAGのような物理インターフェースを保護し、ファームウェアを外部フラッシュに保存しないことで、ファームウェアの抽出やリバースエンジニアリングを困難にすることができます。同じ理由から、アップデートパッケージは常に暗号化する必要があります。 これらのシンプルな対策により、無許可のデバイスによる車両盗難のリスクを軽減することが可能です。 PlaxidityXリサーチグループについて PlaxidityXリサーチグループは、数十年にわたるサイバーセキュリティと自動車分野の専門知識を活用し、OEMやTier 1サプライヤーの数多くのペネトレーションテストや研究プロジェクトを行ってきました。その結果、OEMやTier 1サプライヤーらのサイバーセキュリティ体制を検証・強化し、UNR 155、UNR 156、ISO 21434標準への準拠をサポートしています。自動車のアーキテクチャ、プロトコル、規格に関して深い理解があり、PlaxidityXリサーチグループは、包括的な自動車サイバーセキュリティサービスを提供しています。これには、自動車向けペネトレーションテスト、TARA(脅威分析とリスク評価)、サイバーセキュリティアーキテクチャデザイン、そしてUNR 155およびISO 21434標準へのサイバーセキュリティ準拠支援が含まれます。
---
### Unpacking an Off-the-Shelf Car Hacking Kit
- Published: 2025-01-06
- Modified: 2025-03-24
- URL: https://plaxidityx.com/blog/blog-post/a-tale-of-an-off-the-shelf-car-hacking-kit/
- Categories: Blog, Cyber Attacks
- Tags: Cyber Trends
- Translation Priorities: Optional
A Curious Device Recently, the PlaxidityX (formerly Argus) research team encountered a curious item - a stylish handheld PSP-like device, with seven conveniently-placed buttons, a cool design and a mysterious name. The brochure boasted about the device’s ability to register new key fobs (either for remote entry or for passive keyless entry) to a large number of vehicles, without the need for OEM authorization. The device’s intended purpose is to allow unlicensed auto shops to offer such services, at a cheaper price than the licensed service stations. Needless to say, if this self-description is true, the device can also be used by sneaky up-to-no-good crooks to steal cars (grand theft auto - GTA). The method is simple: Physically break into the vehicle Plug the device into the OBD port Register a key fob of your own Turn the ignition on and drive away before anyone notices Congratulations on your new car Not coincidentally, upon activation, the device displays a disclaimer shifting any legal liabilities to the user. As automotive security researchers, this device piqued our interest, and we simply had to check it out (for professional reasons, of course). As you probably noticed, I intentionally didn’t disclose the name of the device in question. This is because despite its somewhat shady nature, it didn’t “fall off a truck”, so to speak, but rather was obtained in a completely legitimate manner - it was purchased on eBay. Since I don’t want the takeaway of this blogpost to be “stealing cars is...
---
### 自動車業界を脅かすサイバーリスク:なぜ断片的サイバーセキュリティ対策は危険なのか?
> 自動車業界に対応したプラットフォームアプローチを採用する重要性と、自動車サイバーセキュリティ対策の管理における利点について解説しています。
- Published: 2025-01-06
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/blog-post/why-a-fragmented-approach-to-cyber-security-is-a-risk-the-automotive-industry-cant-afford/
- Categories: Blog
- Tags: Compliance, Cyber Trends, Security Development Tools, Security Lifecycle Management, UNCEC wp29, UNR 155, Vehicle Vulnerabilities, Vehicle Vulnerability Management
- Translation Priorities: Optional
自動車産業は急速に変化しています。車両はもはや単なる機械的な装置ではなく、コネクテッドで、ソフトウェアによって機能し、複雑なデジタルエコシステムの一部となっています。この進化はイノベーションのまたとない機会となる一方で、前例のないサイバーセキュリティリスクも引き起こします。この複雑な状況においては断片的な対策では不十分であり、プラットフォームアプローチが必要です。 以前から、特定のサイバーセキュリティの課題に対処するために、ベストオブブリードのツールが利用されてきました。これらのツールはそれぞれの得意分野で優れた性能を発揮しますが、ますます複雑になる自動車サイバーセキュリティを管理するために必要な統合性、可視性、および柔軟性が不足しています。この記事では、プラットフォームを中心においた戦略がこの業界独自のニーズに対応するために最適である理由について説明しています。 1.セキュリティ管理をシンプルにするための包括的な視野 自動車業界のメーカーは、サプライチェーン、開発環境、生産ライン、車載ソフトウェア、および顧客向けサービスなどの広範囲にまたがり相互接続しているシステムのネットワーク内で稼働しています。この広範なエコシステムを、複数のベストオブブリードツールのパッチワークで管理することは、多くの場合、非効率性、重複作業、そして盲点を生じさせることにつながります。 プラットフォームアプローチは、多様なセキュリティ機能を単一の統合システムにまとめることで管理を簡素化します。この集中化により、運用上の負担が軽減され、サイバーセキュリティチームからコンプライアンス担当者に至るまで、すべての関係者がシームレスに連携できるようになります。さらに、プラットフォームはエコシステム全体からデータを集約し、全体的なセキュリティ状況をわかりやすく一元的な現象にまとめ、包括的なビューを示します。 エンドツーエンドの可視性があるため、メーカーは脆弱性を特定し、脅威を検出し、より効果的にインシデントに対応することができます。例えば、重要なサプライヤのソフトウェアに脆弱性が発見された場合、プラットフォームは求められるレベルの可視性を提供できます。そして、その脆弱性のもたらす潜在的な影響をサプライチェーン全体および車両システム全体にわたってマッピングすることができます。この包括的な監視は、事業および顧客の両方を保護するために不可欠です。 2.スマートで迅速な意思決定のためのコンテキストに基づく洞察 車両の製造プロセスでは、サプライチェーンのメトリクスから車載テレメトリまで、膨大なデータが生成されます。ベストオブブリードのセキュリティツールの場合、こうしたデータの取得は可能ですが、有意義な分析に必要なコンテキストを提供できないことが多くあります。コンテキストがなければ、脅威を効果的に優先順位付けしたり、タイムリーな意思決定を行ったりすることはほぼ不可能です。 プラットフォームアプローチは、生データを実用的なインテリジェンスに変換する点で優れています。TARA管理システム、脆弱性管理ツール、コードセキュリティ製品などの複数のソースから得られたデータを関連付けることで、プラットフォームは脅威を特定するだけでなく、それを超えた洞察を提供します。これにより、問題の深刻度、緊急性、潜在的な影響を評価するために必要なコンテキストが提供されます。 例えば、ソフトウェアパッケージに見つかったある脆弱性に対して、プラットフォームは脅威分析とリスク評価(TARA)を容易に行うことができます。クリティカルなブレーキシステムに高い優先度の脆弱性が見つかれば、重大な問題と認識されるでしょう。しかし、TARAプロセスにおいて、システムの多層フェールセーフによりその脆弱性の影響が軽減されることをプラットフォームが示すこともあります。その逆に、例えばフロントガラスのワイパーなど重要度の低いシステムに同じ脆弱性が見つかった場合、優先度が下がる可能性があります。この機能により、サイバーセキュリティチームは最も重要な脅威への対応に集中し、正確な意思決定とリソース配分を可能にします。 安全が最優先の業界では、このように優先順位をつけて迅速に行動する能力は、リスクを軽減し、信頼性を維持するために非常に重要です。 3.進化する業界に対応できるシームレスな統合とスケーラビリティ プラットフォームは、業界の断片化した性質に対応できるよう自動車のバリューチェーン全体にシームレスに統合できるよう設計されています。自動車の技術市場は、多くの場合、AUTOSARによる標準化された車両ソフトウェアアーキテクチャ、データ保護に焦点を当てたITセキュリティ、部品のトレーサビリティを確保するサプライチェーン技術、車載機能を支える組み込みシステムといったように分断されています。これらの異なる要素を統合することで、プラットフォームは開発プロセスを合理化し、サプライチェーンのレジリエンスを強化し、車載システムのセキュリティを向上させます。この統合アプローチにより、エコシステム全体で一貫性のある包括的なサイバーセキュリティ対策が可能になります。 さらに、これらのプラットフォームは、自動車業界の急速な進化に対応するために必要なスケーラビリティを提供します。メーカーが自動運転、電気自動車、V2X通信といった革新的な技術を採用する中で、プラットフォームベースのアプローチは、既存のセキュリティワークフローを用いながら、こうしたイノベーションをシームレスに統合することを可能にします。この適応性のおかげで、技術の進歩に伴ってサイバーセキュリティ戦略を進化させ、変化し続ける自動車業界において堅牢で将来性のある基盤を構築できます。 4.セキュリティを損なわずに市場投入までの時間を短縮 イノベーションは自動車産業の生命線ですが、新しい機能を迅速に提供しようと焦るあまり、厳格なサイバーセキュリティの要件と衝突することがあります。ベストオブブリードのアプローチでは、多くの場合、ツールの統合やプロセスのマニュアル管理に時間を費やすため、遅延が発生します。 プラットフォームは、主要なセキュリティ機能を自動化し、事前に統合されたソリューションを提供することで、こうしたボトルネックを解消します。脆弱性スキャン、コンプライアンスチェック、リアルタイムの脅威検出がプラットフォーム内でシームレスに実行され、メーカーは開発スケジュールを遅らせることなく強固なセキュリティ体制を維持できます。 この市場投入までの時間短縮は、電気自動車や自動運転などの分野でリードしようと競争する自動車メーカーにとって特に重要です。プラットフォームアプローチは、スピードとセキュリティを確実に両立しながら、妥協せずにイノベーションを行うことを可能にします。 5.セキュリティを業界基準とビジネス目標に合わせる 規制への準拠は、自動車サイバーセキュリティの基盤となるものです。UNECE WP. 29 や ISO/SAE 21434 などの標準は、設計から廃車まで、車両のライフサイクル全体を通じて強固なセキュリティ対策を義務付けています。断片化されたベストオブブリードツールを使用してコンプライアンス管理を行うと、リソースを多く消費し、エラーが発生しやすいプロセスになりかねません。 プラットフォームは、リスク評価、レポート、監査のための組み込みツールを備えた、コンプライアンスを確保するための集中管理フレームワークを提供します。これは規制遵守を簡素化するだけでなく、顧客の信頼を高め、ブランドの評判を保護するなどの、より広範なビジネス目標とサイバーセキュリティの取り組みを一致させることにつながります。 プラットフォームは包括的かつ統合的なアプローチを提供できるため、メーカーは規制要件を満たすと同時に、イノベーションを安全に行うリーダーとしての地位を確立できます。 6.より低いトータルコストとシンプルな保守による運用の最適化 複数のベストオブブリードツールを統合するコストと複雑性は、トータルコストを大幅に増加させる可能性があります。ポイントごとのソリューションでは、多くの場合、統合、テスト、トラブルシューティングのために専用のリソースを必要とするため、コストを増加させ、運用効率を妨げます。それに対して、単一のベンダーによる事前統合プラットフォームを採用すれば、これらの課題が解消され、コストの削減およびプロセスの簡素化を図ることができます。 さらに、断片化されたツール群を維持するには、それぞれのソリューションごとのアップグレードとアップデートを調整する必要があります。このアプローチは時間とリソースを消費するだけでなく、新たな更新のたびに統合が失われるリスクも伴います。 例えば、脆弱性管理ツールがアップグレードされると、脅威検出システムとのワークフローが中断され、コストのかかる修正が即座に必要な場合があります。統一されたプラットフォームの場合、ベンダーが管理するシームレスなプロセスにアップデートを統合することで、このような問題を回避でき、メーカーは関連するリスクとコストから解放されます。 結論 車両がよりスマートに、よりコネクテッドになり、ソフトウェアへの依存が高まるにつれて、それらが直面するリスクは増大する一方です。サイバーセキュリティに対するプラットフォームアプローチを採用することで、自動車業界の企業がこれらの課題に正面から取り組み、自社の製品、顧客、そして評判を保護できるようになります。 自動車サイバーセキュリティの未来は断片化されているのではなく、統一されています。プラットフォーム戦略を採用することで、メーカーは複雑性を簡素化し、市場投入までの時間を短縮し、そして最も重要なこととして、より安全でセキュアな未来に向けて自信を持って進むことが可能になります。
---
### Why a Fragmented Approach to Cyber Security is a Risk the Automotive Industry Can’t Afford
- Published: 2025-01-06
- Modified: 2025-02-24
- URL: https://plaxidityx.com/blog/blog-post/why-a-fragmented-approach-to-cyber-security-is-a-risk-the-automotive-industry-cant-afford/
- Categories: Blog
- Tags: Compliance, Cyber Trends, Security Development Tools, Security Lifecycle Management, UNCEC wp29, UNR 155, Vehicle Vulnerabilities, Vehicle Vulnerability Management
- Translation Priorities: Optional
The automotive industry is transforming rapidly. Vehicles are no longer just mechanical machines—they’re connected, software-driven, and part of a complex digital ecosystem. This evolution brings immense opportunities for innovation but also introduces unprecedented cyber security risks. Protecting this intricate landscape requires more than piecemeal solutions; it demands a platform approach. Traditionally, best-of-breed tools have been the go-to for addressing specific automotive cyber security challenges. While these tools excel in their niches, they fall short in offering the integration, visibility, and agility needed to manage the growing complexity of automotive cyber security. Here’s why a platform-centric strategy is better equipped to address the industry’s unique needs. Holistic Visibility for Simplified Security Management Automotive manufacturers operate within a web of interconnected systems—spanning supply chains, development environments, production lines, in-vehicle software, and customer-facing services. Managing this sprawling ecosystem with a patchwork of best-of-breed tools often results in inefficiencies, duplicated efforts, and blind spots. A platform approach simplifies management by consolidating diverse security functions into a single, unified system. This centralization reduces operational overhead and ensures that all stakeholders—from cyber security teams to compliance officers—can work together seamlessly. Moreover, platforms provide a holistic view of the entire security landscape, aggregating data from across the ecosystem into a single pane of glass. With end-to-end visibility, manufacturers can identify vulnerabilities, detect threats, and respond to incidents more effectively. For instance, if a vehicle vulnerability is identified in a critical supplier's software, a platform can provide the necessary visibility and map its potential impact across the supply...
---
### 自動車用メモリ保護ユニットに隠れた脆弱性を解明
> 自動車用MPUは不正アクセスを防ぎ、セキュリティに対し重要な役割を担っています。ECUや組み込みシステムの安全性を脅かすリスクを解明し、効果的な対策を考察します。
- Published: 2024-12-03
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/blog-post/is-your-memory-protecteduncovering-hidden-vulnerabilities-in-automotive-mpu-mechanisms/
- Categories: Blog, Cyber
- Tags: Cyber Research, Embedded Systems
- Translation Priorities: Optional
はじめに コンピュータの画面でこの文章を読んでいる今、このやりとりを可能にしているデバイスには間違いなくメモリ管理ユニット(MMU)が搭載されています。普段はあまり意識されないものの、MMUは現代のコンピューティングにおいて欠かせない存在であり、日々私たちが使用しているソフトウェアをスムーズに動作させるために、背後でメモリリソースを管理しています。スマートフォンからインターネットを支える強力なサーバーに至るまで、MMUはメモリの割り当てを調整し、パフォーマンスを最適化し、セキュリティ脅威から保護する中心的な役割を担っています。ここまで説明しましたが、今回のブログ記事ではMMUについて取り上げるわけではありません。なぜなら、自動車の電子制御ユニット(ECU)の大部分を支えるマイクロコントローラユニット(MCU)には、通常MMUが実装されていないためです。 代わりに今回のブログでは、MMUの「弟分」とも言えるメモリ保護ユニット(MPU)についてご紹介します。MMUは、中央処理装置(CPU)のメモリ管理において中心的な役割を果たすため注目を集めがちですが、MPUはメモリ保護を強化し、不正アクセスを防ぎ、セキュリティ脅威から保護するという重要な役割を果たしています。それにもかかわらず、MPUは目立たない存在になりがちです。 今回のブログでは以下の内容について説明します。 現代のMPUの機能:最新のメモリ保護ユニット(MPU)の機能と、自動車分野におけるセキュリティ確保における特別な役割について解説します。 現代のMCUで使用されるMPUの種類:最新のマイクロコントローラユニット(MCU)で使用されるさまざまなMPUの種類について議論します。 発見された脆弱性:発見された脆弱性(CVE-2023-48010およびCVE-2024-33882)の詳細について説明します。 責任ある開示プロセス:チップベンダーとの責任ある脆弱性開示プロセスの概要を紹介します。 推奨される緩和策:発見された脆弱性に対処するための緩和策を提案します。 背景 MMUからMPUへ 現代の中央処理装置(CPU)では、MMUは通常、仮想アドレス空間を管理するハードウェアデバイスとして使用され、仮想アドレスを物理アドレスにマッピングします。さらに、MMUはメモリに関連するタスクも実行します。MMUのメモリ保護機能は、プログラムが事前に要求していないメモリにアクセスしようとする試みをブロックするよう設計されており、これにより、誤動作するプログラムがメモリを使い果たしたり、悪意のあるコードが他のプログラムのデータを読み書きすることを防ぎます。 初期のマイクロプロセッサ設計では、1965年のIBM System 360や1986年のApple Macintoshなど、仮想メモリマッピングやメモリアクセス権限を処理するためにMMUが含まれていました。 一方、小型のマイクロコントローラは、MMUによる仮想メモリマッピングの負担を必要としませんでした。しかし、マイクロコントローラのアーキテクチャにおける弱点には、オペレーティングシステム、ユーザーソフトウェア、変数が共通のメモリを使用していたことがあげられます。この問題は、市場に複数コアのマイクロコントローラが登場し始め、異なるセキュリティおよび安全レベルの複数のアプリケーションが同じ共通メモリを使用するようになるとさらに複雑になりました。 より高いレベルのセキュリティを必要とするアプリケーション、例えば自動車産業では、メモリアクセス権限のみを管理するMMUの縮小版を実装しました。これがメモリ保護ユニット(MPU)の始まりです。 MPU:現代のサイバーセンティネル(見張り番) メモリ保護ユニット(MPU)は、メモリの「門番」として機能するプログラム可能なハードウェアユニットです。これにより、メモリを異なる領域に分割し、それぞれの領域に対してメモリアクセス権限(特権アクセスのみや完全アクセスなど)やメモリ属性(読み取り/書き込み/実行など)を設定することが可能になります。 非常に基本的な説明をすると、MPUはメモリリソースへのアクセス制御を監視します。「アクセス制御」とは、「コンピューティング環境において、誰が、または何が、リソースを閲覧または使用できるかを規制するセキュリティ技術」1 と定義されます。これはセキュリティの基本的な概念であり、組織にとってのリスクを最小限に抑えるものです。 より広い意味では、『Computer Security: Principles and Practice』において次のように述べられています。 「... すべてのコンピュータセキュリティはアクセス制御に関するものである。アクセス制御は、特定のシステムリソースに誰がまたは何がアクセスできるか、また各事例で許可されるアクセスの種類を指定するセキュリティポリシーを実施するものである。」2 この意味では、MPUは一般的なセキュリティ、特に組み込みシステム(自動車を含む)のセキュリティにおける主要な防御策の1つです。ある研究『From MMU to MPU: adaptation of the Pip kernel to constrained devices(MMUからMPUへ:拘束デバイスへのPipカーネルの適応)』3 では、マイクロコントローラでMPUを有効化すると、性能とエネルギー消費の両面で16%のオーバーヘッドが発生するものの、アクセス可能なアプリケーションメモリのアタックサーフェスが100%からわずか2%!に削減できることが示されています4。 許可されていないメモリへのアクセスを試みると、ハードウェアフォルトが発生し、潜在的な攻撃を実質的に停止し、不正なアクセスを、例えば、システムをリセットして攻撃者を「振り払う」ような形で対応します。 MPUを有効化すると、ランダムアクセスメモリ(RAM)上での実行アクセスを制限することが可能です。そのため、たとえ攻撃の第一段階として、ターゲットのECUスタックメモリにスタックバッファオーバーフローの脆弱性を利用して悪意あるコードを書き込むことに成功しても、MPUの保護によりそのコードをスタックメモリ領域で実行することはできなくなります。 自動車の保護ユニット メモリ保護ユニット(MPU)は、自動車業界において、車両内の組み込みシステムのセキュリティ、信頼性、安全性を向上させる重要な役割を果たしています。以下にその役割の概要を示します。 セキュリティ強化MPUはメモリ保護メカニズムを実装・適用することで、自動車システムのセキュリティを向上させます。これにより、不正アクセスやデータの破損、意図しないコードの実行を防ぎ、外部からの脅威から重要な情報や機能を保護します。 アクセス制御の厳格な適用MPUは異なる特権レベルを区別し、事前に設定されたアクセス制御ポリシーを厳格に適用ができます。自動車アプリケーションでは、ハードウェアセキュリティモジュール(HSM)、ブートローダーアプリケーション、セキュアブートプロセス、サードパーティアプリケーションなど、異なる特権レベルを持つコンポーネントが頻繁に使用されます。例えば、HSMメモリへの不正なアプリケーションからのアクセスをブロックする機能は、自動車システム設計者にとって重要なセキュリティツールです。 安全性の向上MPUはメモリ保護ポリシーを適用し、重要なソフトウェアコンポーネントを分離することで、安全性が求められるシステムの構築を支援します。これにより、エラーや悪意のある干渉が車両の安全を損なうリスクを低減します。 アプリケーションの分離MPUは、車両内の組み込みシステムにおける異なるアプリケーションの分離を可能にします。それぞれのアプリケーションやソフトウェアモジュールに専用の保護されたメモリ領域を割り当てることで、アプリケーション間での干渉やデータ破損を防ぎます。この分離は、重要な機能の完全性を維持し、1つのアプリケーションへの攻撃が同一システム内の他のアプリケーションに影響を与えないようにするために不可欠です。 MPUは、コア、DMA(Direct Memory Access)コントローラ、CAN、USB、GPUなどのコア-外部のペリフェラルコントローラなど、システム内のバス・マスタの相互作用を管理し、安全を確保する上で極めて重要な役割を果たします。バス・マスタにおいてMPUは、データ転送の完全性とセキュリティを保証する重要なコンポーネントとして機能します。メモリ保護メカニズムを提供することで、MPUは異なるバス・マスタの分離を可能にし、共有メモリへのアクセスにおける意図しない干渉や潜在的な競合を防ぎます。この機能は、さまざまなコアがメモリ資源に同時にアクセスする可能性のあるマルチコアシステムにおいて特に重要です。MPUは、安全かつ明確に定義された境界の確立に貢献し、各バス・マスタが割り当てられたメモリ空間内で動作することを可能にします。MPUは、不正または悪意のある行為から保護するためにアクセス制御を実施し、高速なコア外転送中のデータの機密性と完全性を保証します。 MPUの種類 すべてのメモリ保護ユニット(MPU)が同じ設計で作られているわけではなく、アーキテクチャによってさまざまな種類が存在します。しかし、以下の例のブロック図に示されるように、一般的に次の3つの主要なタイプに分類することができます。 Source: PlaxidityX コアMPU(CMPU) CMPU(Core MPUまたはCPU MPUとも呼ばれる)は、マイクロコントローラの各コアに直接統合されたメモリ保護ユニットです。コアレベルで動作し、細かいメモリ保護およびアクセス制御メカニズムを提供します。CMPUは、コア自身が実行するコードおよびデータアクセスに対して、メモリ保護ポリシーを適用することを可能にします。通常、複数のメモリ領域ごとにアクセス権限(読み取り、書き込み、実行)や特権レベルを設定することができます。CMPUは、マイクロコントローラの各コアで実行される個々のソフトウェアプロセスのメモリアクセスを保護するために不可欠な役割を果たします。 システムMPU(SMPU) SMPU(System MPUとも呼ばれる)は、システム全体のメモリ空間を保護するために設計されたメモリ保護ユニットです。コアの視点で保護を提供するCMPUとは異なり、SMPUはシステムレベルで動作し、システム内のバストランザクション5を対象としたメモリ保護を提供します。CMPUがコアで実行されるソフトウェアコードから発生するバストランザクションを監視・制御するのに対し、SMPUはダイレクトメモリアクセス(DMA)やHSMなどのハードウェア関連のメカニズムを含むシステム全体のバストランザクションを制御します。SMPUのアドレス領域は通常、バストランザクションの発信元によって定義されます。例えば、SMPUはHSMに共有メモリ内の特定のアドレス範囲へのアクセスを許可するように設定される一方、他の発信元からのすべてのバストランザクションをブロックするように構成することができます。 周辺機能保護ユニット(PPU) PPU(Peripheral MPUとも呼ばれる)は、組み込みシステム内のメモリマップドレジスタを保護するために特化されたメモリ保護ユニットです。PPUは、通信インターフェース、タイマー、I/Oポートなどの周辺機器に特化したアクセス制御およびセキュリティ機能を提供します。これにより、プロセッサコアや外部バスマスターによって開始される周辺機器へのアクセスに対し、アクセス権限や制限を適用することが可能です。PPUは重要なシステム周辺機器への不正または悪意のあるアクセスを防ぎ、周辺機器とのやり取りのセキュリティと信頼性を向上させます。 CVE-2023-48010とCVE-2024-33882 注意深く設定されたメモリー保護ユニットは、攻撃者にとって強力な対抗手段となります。しかし、「鎖はその最も弱い部分と同じ強さしかない」という決まり文句があります。もし攻撃者が完璧に設定されたMPUを無効化することができれば、当然ながらMPUの保護機能が失われてしまいます。 これら2つの脆弱性、CVE-2023-48010とCVE-2024-33882は、いずれもPowerPCマイクロコントローラの特定の設計に関連する、我々が発見したハードウェア脆弱性です。これらの脆弱性は、特権を持つ攻撃者がSMPU(システム・メモリ保護ユニット)全体を停止させることを可能にし、その結果、保護されたメモリ領域への読み書きを可能にします。PowerPCマイクロコントローラのデータシートによれば、あるハードウェア機能により、攻撃者がSMPUを無効化しようとしても、初期設定後もSMPUが有効な状態に保たれるはずですが、実際にはこの機能はシリコンに実装されておらず、SMPUはこのような攻撃に対して脆弱なままであることが明らかになっています。 その結果、ソフトウェアの設計者は、データシートに詳述されている対策を講じることで、保護されているかのような印象を抱いたまま、実際には保護されておらず、システムにリスクがあることにまったく気づかない可能性があります。 背景:PowerPCアーキテクチャ 最初のPowerPCマイクロコントローラは、1990年代半ばにモトローラ(後のFreescale Semiconductor)によって製造されました。これらのマイクロコントローラはMPC5xxシリーズとして知られ、PowerPCアーキテクチャが、自動車アプリケーションを含む組み込みシステム市場に進出した最初の例となりました。MPC5xxファミリーの起源は、1990年代初頭にIBM、Apple、モトローラが共同で進めた取り組みにまでさかのぼります。 RISCベースの設計により、高い性能と効率を兼ね備えたPowerPCプロセッサは、1990年代後半には自動車システムに採用されるようになりました。当初はエンジン制御やトランスミッション制御といったタスクに使用されていましたが、リアルタイム処理能力と過酷な環境下での耐久性により、インフォテインメントシステムや先進運転支援システム(ADAS)など、幅広い用途にとって欠かせない存在となりました。 2000年代半ばには、STMicroelectronicsとFreescale Semiconductor(現在のNXP Semiconductors)が共同開発したPowerPCアーキテクチャに基づくMPC56xx/SPC56xファミリーが登場しました。これらは特に自動車アプリケーション6向けに設計されており、両メーカー間でピン互換性があり、マイクロコントローラはほぼ同一の仕様を持っています。 脆弱性 (1) CVE-2023-48010 PlaxidityX(旧アルガス)では、ペネトレーションテストやセキュリティ研究に加えて、自動車システム向けのセキュリティ製品およびソリューションの設計と開発も行っています。今回のケースでは、将来の製品に向けた概念実証(PoC)を開発しました。どのシステムを採用するかを決定する前に行う評価の一環として、このPoCはSTMicroelectronicsのPowerPC SPC58Nファミリーのマイクロプロセッサを基に構築しました。上述の通り、これらのマイクロコントローラは特に自動車用途向けに設計され、広く使用されているためです。 SPC58Nは、自動車のASIL-D7, 規格やセキュリティアプリケーション向けに設計された、トリプルコアの32ビット「Powerアーキテクチャ」8 マイクロコントローラです。 以下は、このチップのデータシートから引用したブロック図です。 Source: SPC58xx Datasheet, DS12304 Rev 5, p. 10 図の下部には、チップのメモリがあります。フラッシュメモリとEEPROMはグレーで、スタティックRAMは青で示されています。これらのメモリは定義上、すべてのコアおよび周辺機器から共通してアクセス可能です。図の上部には各コアが配置されており、それぞれに独自のコアメモリ保護ユニット(CMPU – 赤い長方形で示されています)と、コア間に配置された64のDMAチャネル(緑で示されています)があります。 コア、DMAチャネル、およびメモリの間には、黄色の長方形で示されたシステムメモリ保護ユニット(SMPU)が配置されています。 各コアで多様なアプリケーションが動作し、それぞれが異なる安全性およびセキュリティレベルを持つことが事前に分かっていたため、私たちはCMPUとSMPUの設定を慎重に定義することに取り組みました。 CMPUと制限 各コアメモリ保護ユニット(CMPU)は、各コアから発生するすべての命令フェッチとデータメモリアクセスを監視します。CMPUは、システムソフトウェアがメモリ領域とその関連するアクセス権限を定義するために使用するハードウェア機能です。CMPUは、ソフトウェアが権限を違反してメモリ領域にアクセスしようとすると例外を発生させ、システム設計者が介入して適切に例外を処理できるようにします。 セキュリティの観点から、CMPUは以下の2つの主な理由により、全体的なセキュリティ体制の非常に重要な部分となっています。 CMPUは、スタックバッファオーバーフローを検出できるマイクロプロセッサアーキテクチャ内で唯一のエンティティです。スタックバッファオーバーフローは、プログラムがスタック上のバッファに収まる以上のデータを書き込むことで発生し、隣接するメモリアドレスをオーバーフローさせます。この問題は、入力データが適切に検証または制限されていない場合に発生し、攻撃者が関数の戻りアドレスやスタック上の他の重要なデータを上書きできるようになります。その結果、攻撃者がスタック上で悪意のあるコードを実行し、プログラムの正常な動作を妨害することで、任意のコードを実行する可能性が生じます。マイクロコントローラ上で動作するすべてのアプリケーションのスタック領域を慎重に定義することで、設計者はCMPUを構成し、そのスタック領域での実行をブロックするように設定できます。これにより、攻撃対象領域を大幅に制限できます。 CMPUは、アプリケーションの読み取り/書き込み操作を効果的に制限します。これにより、攻撃者が任意のコア上でコードの実行を得た場合(例えば、悪意のあるサードパーティコードを実行することで)、適切に構成されたCMPUが悪意のあるメモリアクセスを検出し、攻撃者の行動を妨害することを保証します。しかし、本当にそうでしょうか? 上記のブロック図を振り返ると、各コアに適切に構成されたCMPUがあることで、コア自身からのメモリアクセスを防ぐのには役立つものの、Direct Memory Access(DMA)、Ethernet、HSMなどの特別な周辺機器を悪用して攻撃者がメモリにアクセスすることを防ぐことはできません。 このような攻撃を効果的に防御するために、SMPU(システムメモリ保護ユニット)が必要となります。 システムMPU(SMPU) 一見すると、SMPUはCMPUと非常に似ています。SMPUもシステムソフトウェアがメモリ領域とその関連するアクセス権限を定義するために使用するハードウェア機能であり、権限違反が発生した場合には、システム設計者が介入して例外を処理できるようにします。 しかし、SMPUにはCMPUにはない特別な機能があります。それは、SMPUが各バスマスターごとのメモリアクセスを同時に監視および評価することです。 以下は、SPC58Nで利用可能なバスマスターの一覧です。 Source: RM0452-spc58-line Rev. 4 p. 136 各バスマスターには、それぞれ指定されたメモリ領域へのアクセスを管理するための読み取り/書き込み/アクセス禁止のフラグが設定されています。たとえば、SMPUを特定のメモリ領域をHSMのみがアクセス可能とし、他のすべてのマスターを拒否するように設定することができます。この場合、CMPUがHSMの特定アドレスへのアクセスをブロックしないとしても、HSMメモリを読み書きしようとする試みはすべてSMPUによって効果的にブロックされます。 もう一つの例はDMAによるアクセスです。Core1上で動作するアプリケーションがCore1のCMPUによって特定のメモリ領域へのアクセスをブロックされている場合でも、攻撃者がDMAハードウェアを利用してその禁止されたメモリ領域に読み取り/書き込みアクセスを取得し、CMPUの制限を回避する可能性があります。 このことから、SMPUの重要な機能の1つは、アクセスを試みた発信元のバスマスターによるメモリアクセスをブロックできることに加え、他のマスターがそのメモリにアクセスすることもブロックできる点にあります。 まとめると:マイクロコントローラアーキテクチャにおいて、コアMPU(CMPU)は各コアからのメモリアクセスを監視し規制する上で重要な役割を果たします。CMPUはメモリ領域とその権限を適用し、違反が発生した場合に例外を発生させます。この機能は、スタックバッファオーバーフローのような一般的な攻撃ベクトルが任意のコード実行につながるのを防ぐなど、セキュリティ上極めて重要です。 一方、CMPUはコアに基づくメモリアクセスには対処できますが、DMAのような特殊な周辺機器を悪用した攻撃には対応できません。このギャップを埋めるのがシステムメモリ保護ユニット(SMPU)です。SMPUは各バスマスターごとにメモリアクセスを同時に監視・評価し、メモリ権限に対するきめ細かな制御を可能にします。本質的に、SMPUの発信元のマスターによるアクセスを規制する独自の能力は、周辺ハードウェアを利用した潜在的な攻撃を阻止し、全体的なシステムセキュリティを強化します。 SMPUの設定 前の段落では、CMPUとSMPUを適切に設定する重要性について説明しました。CMPUはコアで動作するアプリケーションコードがセキュリティや安全性の理由で禁止されたメモリ領域に直接アクセスするのを防ぎ、SMPUは間接的なメモリアクセスを防ぐ役割を果たします。 私たちが使用していたSPC58Nチップには、16のバスマスターごとに読み取り/書き込みアクセス制御権限を設定できる24のリージョンレジスタが搭載されていました。 各SMPUリージョンは、32ビットの開始アドレスと終了アドレス、および保護されたアドレス領域とリージョンフォーマットレジスタで構成されています。これにより、16のバスマスターごとに許可されるアクセス権限(読み取り、読み取り/書き込み、またはアクセス禁止)が定義されます。 各リージョンには、それぞれ有効ビット(Valid Bit)と読み取り専用ビット(Read Only Bit)が設定されています。しかし、次のセクションで読み取り専用ビットについて詳しく説明する前に、もう1つ重要なSMPUレジスタであるCESR0レジスタについて触れておきましょう。 すべてが適切に設定されたら、制御/エラーステータスレジスタ0(CESR0)のGlobal Valid(GVLD)ビットを設定する必要があります。これにより、SMPUが有効化され、潜在的な攻撃に対抗する準備が整います。以下のように設定されます Source: RM0452 SPC58H line リージョン読み取り専用ビット では読み取り専用ビットに話を戻しましょう。データシートを確認します。 Source: RM0452 SPC58H, p. 563 読み取り専用(RO)ビットは、リージョンディスクリプタの意図しない変更を防ぐ役割を果たします。ROビットが設定されると、リージョンレジスタ内の任意の場所への書き込みが無視されます。これは非常に理にかなっており重要です。一度設定されたリージョンが、偶発的または悪意のある書き込みから保護されることが望ましいからです。しかし、ROビットの説明には以下のような注意書きもあります。 Source: RM0452 SPC58H, p. 536 上記の注意書きには、ROビットが設定されると、リージョン全体がロックされ、システムリセットまで変更できなくなると記載されています。この間、リージョンの有効ビット(Valid Bit)およびグローバル有効ビット(GVLD)には影響がなく、これらもシステムリセットまで変更することができません。 これは非常にスマートな防御策です。一度SMPUのリージョン情報が設定され、ROビットが有効化されると、グローバル有効ビット(GVLD)を操作することができなくなり、攻撃者がSMPUを無効化することができなくなります。SMPUを無効化する唯一の方法は次回のシステムリセット後となるため、攻撃者はデバイスへの支配を失うことになります。 SMPUの脆弱性 SMPUの設定を終えた後、システム全体のテストを開始しました。この製品では、1つのコアが安全性(ASIL-D)のアプリケーションを実行し、もう1つのコアがサードパーティのアプリケーションを実行するように構成されていました。当然ながら、2つのコアはメモリを共有していました。 SMPUは、安全性アプリケーションのメモリ領域(フラッシュ、EEPROM、SRAM)をアプリケーションコアからの読み取りおよび書き込みから保護するように設定されました。さらに、すべてのROビットが設定されていたため、システムリセットが行われるまでSMPUの保護を変更することはできないようになっていました。 ペネトレーションテスト中に、アプリケーションコア上で攻撃者をシミュレーションしました。 SPC58のデータシートには、ROビットを設定した後はGVLDビットがSMPUに影響を与えないと明記されていたにもかかわらず、このハードウェアメカニズムがシリコンには実装されていないことが判明しました。そのため、アプリケーションコア上の攻撃者がGVLDビットに0を書き込むことでSMPUを無効化し、セーフティコアのメモリに対して読み取りおよび書き込み操作を行うことが可能になりました。 たとえCMPUが正しく構成されていたとしても、SMPUが無効化されると、DMAやEthernetといったシステム周辺機器を通じて主要なメモリが攻撃にさらされる結果となっていました。 STMicroelectronicsへの開示 SPC58チップでこの挙動を確認した直後、私たちはSTMicroelectronicsのPSIRT(製品セキュリティインシデント対応チーム)に、この脆弱性に関するすべての関連情報を提供しました。 数回のやり取りの後、STMicroelectronicsからこの問題に関するエラッタ(訂正情報)を公開するとの回答があり、以下がその問題に対する回答の全文です。 「検出されたSMPUの挙動の逸脱は、非セキュアデバイスドメインに影響を及ぼす可能性があります。ただし、このドメインはセキュリティ情報を保存するために使用されるべきではありません。 秘密情報やセキュリティクリティカルなデータは、HSMサブシステムのメモリ内に保存する必要があります。それが外部に保存される場合は、暗号化が必要です。 SMPUはセキュリティ保護メカニズムではありません。例えば、SMPUは干渉を防ぐための補助機能として設計されています。」 STMicroelectronicsへの責任ある開示の時系列 2023年7月13日潜在的なセキュリティ脆弱性に関する報告をSTに提出2023年8月7日STMicroelectronicsから「エラッタは公開されるが、セキュリティ脆弱性ではない」との返信2023年8月15日さらなる説明を記載した2通目のメールをSTに送信2023年9月21日STからの返答「SMPUはセキュリティ保護メカニズムではありません」2023年11月6日CVEリクエスト2023年11月20日CVE-2023-48010が割り当てられる 影響のあるSTMicroelectronicsのパーツ9 SPC58デバイス全て SR5E1 SPC574K (K2) SPC572L (Lavaredo) SPC574Sx (Sphaero) (2) CVE-2024-33882 そこで、NXPのMPC5748を選択しました。このチップは「自動車および産業用で制御およびゲートウェイ向けの非常に高い信頼性を持つMCU」10と説明されています。このNXP PowerPCがSTMicroelectronicsのPowerPCチップよりも優れたセキュリティ体制を持っているかどうかを確認する目的です。 以下は、NXP MPC5748 PowerPCマイクロコントローラのブロック図11です。 Source: MPC5748G Microcontroller Data Sheet, Rev. 6, 11/2018, p. 4 上記のブロック図を見ただけで、疑問を抱かずにはいられませんでした。コアメモリ保護ユニット(CMPU)はどこにあるのでしょうか? 黄色で示した部分は3つのMCUコアを表していますが、どれもCMPUによって保護されていないようです。このシステムオンチップ(SoC)には、赤で示したシステムメモリ保護ユニット(SMPU)しか存在しないようです。緑で示した部分はチップのメモリです。 さらに調査を進めたところ、MPC5748のSMPUはCMPUの機能も兼ね備えていることが判明しました。これはつまり、STのSPC58で見つかったのと同じ脆弱性がMPC5748にも存在する場合、攻撃者はコア保護とシステム保護を含むメモリ保護システム全体を完全に無効化できることを意味します! NXPのレジスタ名は、STMicroelectronicsのチップと非常に似ています。「Global Valid」GVLDビットは、SMPUx_CES0レジスタのビット31に位置しています。 出典:MPC5748Gリファレンスマニュアル, Rev. 7. 1, p. 493-494 メモリ領域は、レジスタSMPUx_RGDn_WRD5で定義されています Source: MPC5748G Reference Manual, Rev. 7. 1, p. 505 STMicroelectronicsのSPC58と非常によく似ており、リージョン・ディスクリプタ・ロック(LCK)またはSPC58での読み取り専用ビット(RO)は、メモリ保護領域を設定後にロックするために使用されます(上記の黄色で示されています)。赤い部分の注意書きもSPC58のものと似ているようです。 ここでもSPC58マイクロコントローラの場合と同様に、記述はほぼ同一です。リージョンをロックすると、SMPUのグローバル有効ビット(Global Valid)が無効になり、SMPUを無効化できなくなるとされています。 しかし、簡単なテストで判明したのは、SMPUが有効化され、すべてのLCKビットがロックされている状態でも、特権を持つ攻撃者がGlobal Validを0に設定することで、SMPUを完全に無効化できるということです。別にCMPUが存在しないため、SMPUを無効化することで攻撃者はメモリ空間全体に対して制限なしの読み取り/書き込み/実行アクセスを得ることができます。 NXPへの開示 MPC5748チップでこの挙動を確認した直後、私たちはNXPのPSIRT(製品セキュリティインシデント対応チーム)に、この脆弱性に関するすべての関連情報を提供しました。 何度かのやり取りの後、NXPはドキュメントの記述が不明確であることを認め、この夏(具体的な日付は未定)に誤解を防ぐためのドキュメントのエラッタを公開すると述べました。しかし、NXPはSMPUがセキュリティ機能ではないと明言しました。 以下にNXPの回答全文を示します12。 「本製品のリファレンスマニュアルは、SMPUがセキュリティ機能ではないことを明確に記載しています。SMPUは『セキュリティ概要』の章や『セキュリティモジュール』のセクションではなく、『システムモジュール』のセクションに記載されています。また、SMPUは『機能一覧』表の『セキュリティ』の項目には含まれておらず、SMPUを説明する章でも『セキュリティ』という用語は使用されていません。」 しかし、MPC5748チップのリファレンスマニュアルを読み進めても、SMPUがセキュリティ機能ではないという明確な記述は見つかりませんでした。それどころか、リファレンスマニュアルの第21章第2節のSMPUに関するパラグラフには、次のように記載されています。 「システムメモリ保護ユニット(SMPU)は、システムバスメモリ参照のためのハードウェアアクセス制御を提供します。SMPUは、システムバストランザクションを同時に監視し、メモリ空間とそのアクセス権を定義する事前プログラム済みのリージョン・ディスクリプタを使用して、それらの適切性を評価します。十分なアクセス制御権限を持つメモリ参照は処理が許可されますが、どのリージョン・ディスクリプタにもマッピングされていない、または権限が不十分な参照は、アクセスエラー応答となります」13 リファレンスマニュアルでは、SMPUについて直接的または間接的にも言及していません。ただし、SMPUについて書かれた章では、SMPUがMCUのメモリ空間へのアクセス権限を制御する役割を担っていると記載されています。これはコンピュータセキュリティの基本とも言える概念です。 NXPへの責任ある開示の時系列 2024年2月28日NXPに最初のメール通知2024年2月28日NXPが内部IDを割り当て2024年3月21日NXPへリマインダーメールを送信2024年3月21日NXPの回答 - 調査を進行中2024年3月28日NXPから返信 ‐ 注意書きの表現が曖昧であると認め、エラッタが公開される予定。挙動は仕様通りとのこと。2024年3月31日NXPへさらなる説明を含むメール送信、 SMPUはセキュリティメカニズムであり、これが実装上の脆弱性であると説明。2024年4月4日NXPからの最終回答 - NXPはこれをセキュリティ問題としては認識しないとの見解。2024年4月16日CVEリクエスト2024年4月28日CVE-2024-33882が割り当てられる 軽減策 重要なセキュリティメカニズム、例えばMPUなどに関するデータシートの記載を信頼する前に、自身でテストを行うか、外部のペネトレーションテストベンダーを利用するなどして、必ずその主張を検証してください。 また、MCUのエラッタ(訂正情報)を必ず確認してください。これには、チップのセキュリティ状況に関する重要な情報が含まれている場合があります。 CVE-2023-48010に関連して: ハードウェアのメカニズムをセキュリティ目的で信頼できない場合(上述のSMPUの例のように)、そのメカニズムに依存しないでください!同等のセキュリティレベルを達成するための他の方法を探すか、安全で確実な方法で利用できるようにしてください。たとえば、STMicroelectronics MCUにあるCMPUのような他のメモリ保護ユニットを利用することを検討してください。 結論 本論文を通じて示してきたように、メモリ保護ユニット(MPU)はすべてのマイクロコントローラの防御戦略において重要な役割を果たしています。MPUは、自動車アプリケーションのコンテクストにおいて不可欠であり、車両内のECUや組み込みシステムのセキュリティ、信頼性、安全性を向上させます。そのため、共有リソースに対するアクセス制御を実行するために設計されたハードウェアメカニズムがセキュリティ機能ではない、というNXPやSTMicroelectronicsの主張を受け入れるのは極めて困難なように思います。 両社とも、特定の操作手順に従えばSMPUを無効化できなくなると明確に述べていますが、私たちが示したように、グローバル有効ビット(Global Valid Bit)をロックするはずだったハードウェア部分が実装されておらず、その結果、特権を持つ攻撃者がSMPUを無効化し、通常アクセス不可能な機密メモリ領域にアクセスできることが判明しました。
---
### Automotive Memory Protection Units: Uncovering Hidden Vulnerabilities
> Memory Protection Units (MPUs) play a crucial role in preventing unauthorized access, and in safeguarding against automotive security threats.
- Published: 2024-12-03
- Modified: 2025-03-24
- URL: https://plaxidityx.com/blog/blog-post/is-your-memory-protecteduncovering-hidden-vulnerabilities-in-automotive-mpu-mechanisms/
- Categories: Blog, Cyber
- Tags: Cyber Research, Embedded Systems
- Translation Priorities: Optional
Introduction As you're reading these very lines on your computer screen, it is certain that the very device facilitating this interaction is equipped with a Memory Management Unit (MMU). Often overlooked but indispensably important, MMUs are the unsung heroes of modern computing, silently managing memory resources and ensuring the smooth operation of the software we rely on daily, including the one you are using to read these lines now. From your smartphone to the powerful servers that drive the Internet, MMUs are at the heart of it all, orchestrating memory allocation, optimizing performance, and safeguarding against security vulnerabilities. Unfortunately, this blog post will not be about MMUs, simply because MMUs are usually not implemented in the micro-controller units (MCUs) which are at the heart of the majority of Automotive Electronic Control Units (ECUs). Instead, this blog post is about the MPU, or Memory Protection Unit, which may be likened to the younger, underrated, sibling of the MMU. While MMUs often receive more attention due to their central role in memory management of Central Processing Units (CPUs), MPUs play a crucial but sometimes overlooked role in enforcing memory protection, preventing unauthorized access, and safeguarding against security threats. This blog post is structured as follows: Functionality of the Modern MPU: Explanation of the modern Memory Protection Unit (MPU) and its special role in securing the automotive domain. Types of MPUs Used in Modern MCUs: Discussion on the different types of MPUs used in modern Microcontroller Units (MCUs). Discovered Vulnerabilities: Detailed description...
---
### ギアを加速:自動車サイバーセキュリティの変革とAIの果たす役割
> 巧妙化するサイバー攻撃に対し、AIを活用した自動車サイバーセキュリティ対策の進化と実用例、今後の期待される役割について見てみましょう
- Published: 2024-10-15
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/blog-post/shifting-gears-ais-role-in-transforming-automotive-cyber-security-post/
- Categories: Blog
- Tags: Cyber Trends, Security Development Tools, Vehicle Vulnerabilities
- Translation Priorities: Optional
コネクテッド技術、ソフトウェア主導の機能、高度な自律走行機能が広く使われるようになり、現代の自動車はますます複雑化しています。その結果、新たな、より高度化したサイバーセキュリティの課題に直面しています。自動車のシステムは膨大な量のデータを生成しており、このため、従来のセキュリティソリューションでは対応が難しい脅威を特定、分析、緩和するための画期的なツールとして、AIが活用されるようになっています。 この記事では、自動車サイバーセキュリティにおけるAIの重要な役割を検証し、異常検知によって車両データから脅威を発見する方法、生成AIと大規模言語モデル(LLM)が脅威調査にどのような革命をもたらしているか、AIを活用したサイバー攻撃のリスクの高まり、拡張検知・応答(XDR)プラットフォームが包括的な保護を提供するためにAIをどのように活用しているかを探ります。これらのイノベーションの技術的側面を掘り下げるとともに、その効果を示す例を紹介します。 自動車サイバーセキュリティにおけるAIの価値 車両システムのコネクティビティおよび複雑化が急速に進行する中、潜在的な攻撃ベクターの数が指数関数的に増加しています。コネクテッドカーが生成するデータ量が膨大になるに従い、リアルタイムでスケーラブルな脅威検知・対応ソリューションが求められるようになります。AIはこのようなニーズに対して極めて重要な役割を果たし、従来のシステムにはない精度とスピードで対応します。 AIのリアルタイムのデータ処理と分析能力があれば、車両から送られる膨大な量のテレマティクス、IDPSセンサー、ネットワークデータを扱うことができ、人間のアナリストが長い時間をかけて検出するよりも早く脅威を発見することができます。例えば、コネクテッドカーは、ブレーキやアクセルの入力、周囲の環境に関する情報など、センサーに関連するデータを生成します。AIモデルはこのデータをリアルタイムで分析し、故障やサイバー攻撃を示すパターンを特定します。 さらに、パターンや傾向を認識するAIの能力は、予測型セキュリティにとって極めて重要です。AIは、膨大なデータセットの中から差し迫った脅威の微妙な兆候を特定する能力に優れており、セキュリティチームが一歩先んじて対応できるようにします。例えば、車両制御通信のわずかな逸脱を検出して、車両のシステムに悪意のあるコマンドを注入しようとする中間者攻撃の可能性を示すことができます。 また、AIは脅威検知の精度を高め、データのノイズと実際のセキュリティイベントを区別します。その結果、誤検知が減り、セキュリティチームの負担が軽減されます。さらに、AIはアラート分析やネットワークトラフィックの監視などのルーチンタスクを自動化して行えるため、チームは時間を節約し、より優先順位の高い問題に集中することができます。最後に、AIのスケーラビリティは、コネクテッドカーの大規模なフリートを管理する上で非常に重要であり、あまり人手に頼らずに包括的なセキュリティカバレッジを確保することができます。 AIを活用して車両データの異常を検知 異常検知は、自動車のサイバーセキュリティにおける重要なAI活用アプリケーションです。AIは、車両にとって「正常な」動作は何かということを継続的に学習することで、潜在的なサイバー脅威を示す逸脱を検出することができます。この機能は、最新の車両が生成するデータの複雑さと可変性を考慮すると、特に価値が高いといえます。 AIモデルはまず、ECU、センサー、CAN(Controller Area Network)バスのような車載ネットワークなどの車両データソースから、通常の動作パターンを学習します。時間の経過とともに、AIはブレーキ、加速、車両通信プロトコルの予想パターンなど、通常動作のベースラインを確立します。例えば、典型的なシナリオでは、CANバスは速度、スロットル開度、ブレーキ状態に関するメッセージを頻繁にやり取りします。AIシステムは、このような情報の流れを予測することを学習します。 AIは、CANバスの予期せぬコマンドやセンサーの異常な値など、これらのベースラインから著しく逸脱したアクティビティを検出すると、それを異常としてフラグ付けします。これらの異常は、システムの誤動作からサイバー侵入の試みまで、さまざまな問題を知らせるシグナルになる可能性があります。例えば、攻撃者が車両のブレーキシステムを制御するためにCANバスに不正なメッセージを注入した場合、AIを使用した異常検知はこのパターン外の通信を認識し、アラートを生成します。 異常検知の応用範囲は広く、不正なECUコマンドやネットワークトラフィックの急増など、AIはマルウェアを示す異常な挙動を特定することができます。別のシナリオでは、GPS信号を偽装して車両を誘導しようとする場合など、正規の車両信号になりすますハッカーの試みをAIが検出できるかもしれません。さらに、AI搭載システムはネットワークトラフィックを監視して、ECUと外部ネットワーク間の不正アクセスの試みまたは疑わしいデータフローを検出することができます。 生成AIとLLM: 脅威調査における革命 生成AIとは、文章、画像、コードの生成など、大規模なデータセットから得たパターンに基づいて新しいコンテンツを作成できる高度な人工知能システムのことです。大規模言語モデル(LLM)は、人間の言語を理解し、出力するように設計された生成AIです。LLMは、膨大な量のテキストデータを学習してパターンを認識し、文脈を理解し、非常に正確で関連性の高い情報を回答します。生成AIとLLMは共に、複雑なタスクを自動化し、自然言語を用いて深い洞察を提供することで、業界を変革しています。 自動車のサイバーセキュリティでは、生成AIとLLMは、セキュリティアナリストが自動車に関するサイバーインシデントを調査し、対応する方法に変化を起こしています。これらのテクノロジーは、複雑な車両システムをより深く文脈的に理解し、脅威をより迅速かつ正確に検知することを可能にします。生成AIとLLMは、膨大な量の車両データを分析し、ECU間の通信やセンサーの値の異常を特定し、可能性のある攻撃シナリオをシミュレートすることができます。このため、アナリストは、CANバスやテレマティクスシステムにおける異常な挙動などの脆弱性を迅速に特定し、攻撃がどのように進行するかを予測することができ、最終的には高度化するサイバー脅威に対して車両の保護を強化することができます。 生成AIは、潜在的な解決策や攻撃シミュレーションを自動化して、セキュリティチームを支援します。異常が検出されると、生成AIはその異常に関する詳細な文脈情報を出力し、それが既知の脆弱性や攻撃パターンとどのように関連する可能性があるかを示すことができます。例えば、車両通信の異常を検出すると、生成AIはそれがECUのファームウェアの既知の脆弱性と一致することを示し、アナリストに調査の出発点を明示するかもしれません。 さらに、生成AIは検出された異常に基づいてさまざまな攻撃経路をシミュレートできるため、アナリストは攻撃の結果を予測することができます。このため、脅威による被害が広まる前に、その脅威がもたらす影響について調べることができます。例えば、異常なCANバスのトラフィックを検出した後、生成AIは、関連する攻撃がブレーキやステアリングのような重要な車両システムの不正制御につながる可能性をシミュレートするかもしれません。 LLMは、膨大なデータセットとの自然言語による対話を促進することで、調査プロセスを強化します。LLMは、膨大な量の車両データ、脅威インテリジェンスレポート、過去の攻撃パターンを効率的に分析し、実用的な洞察を導きます。例えば、LLMは新たに検出された異常を、他の車両モデルにおける同様の攻撃ベクターと関連付けることができ、この脅威が大規模なキャンペーンの一部であるのかをアナリストが判断する助けになります。さらにLLMは、アナリストが自然言語を使用してデータの問い合わせを行うことを可能にし、複雑なログをナビゲートすることなく、重要な情報を簡単に抽出できるようにします。これにより、アナリストは過去の攻撃の兆候について照会し、即座に文脈に即した回答を得ることができます。 AIの暗黒面:巧妙化するサイバー攻撃 AIは防御側に大きなメリットをもたらす一方で、高度な攻撃を仕掛けるための洗練されたツールをサイバー犯罪者に提供することにもなります。攻撃者は、自動化された脆弱性スキャン、適応型マルウェア、標的型フィッシングキャンペーンにAIを利用するようになっており、サイバーセキュリティチームに新たな課題をもたらしています。例えば、AIを利用した攻撃者は、自動スキャンによって、パッチが適用されていないファームウェアや時代遅れのセキュリティプロトコルなど、車両システムの脆弱性を迅速に発見することができます。弱点を迅速に特定することで、より効率的に攻撃できるようになり、従来の手法よりも素早く、既知のセキュリティ欠陥をターゲットにした、車両のECUファームウェアへの迅速な攻撃が可能になります。 適応型マルウェアもまた、広がりつつある脅威のひとつです。AIは、マルウェアが動作する環境に応じて、その挙動を動的に調整することを可能にします。例えば、自動車のインフォテインメントシステムを標的とするAIを搭載したマルウェアは、当初は異常な挙動を見せず、車両全体のネットワークとの統合を検出すると、悪意のあるペイロードを実行することがあります。 さらに、AIは高度に的を絞ったフィッシング攻撃を仕掛けるために使用されることもあります。生成AIモデルは、自動車メーカーの従業員を欺くためにフィッシングメールをパーソナライズすることができ、受信者が正当なメッセージと攻撃を区別することを難しくします。例えば、AIは信頼できるパートナーや同僚から送られたように見せかけたフィッシングメールを生成し、認証情報の詐取の成功率を高めます。 AIを搭載したXDR: フリートを狙うサイバー脅威への対策 XDR(Extended Detection and Response)は、特に自動車業界において複雑化するサイバー脅威に対応するために設計されています。XDRプラットフォームは、AIを使用して、車両エコシステム全体からのデータを統合し、知能的な脅威の検出、対応、緩和を実現する統合されたエンドツーエンドのセキュリティソリューションです。 XDRプラットフォームの主な強みの1つは、AIを活用した検知機能です。XDRプラットフォームには、自動車の環境に合わせたAI検知ルールがあらかじめ組み込まれており、既知の脅威や新たな脅威を迅速に特定することができます。例えば、XDRプラットフォームには、CANバス上の不審なアクティビティを検出したり、車両センサーへの不正アクセスにフラグを立てたりするためのルールがすぐに使える状態で含まれている場合があります。 統合データプラットフォームは、XDRシステムのもう一つの重要な特徴です。ECU通信、CANバストラフィック、外部ネットワークアクティビティなど、さまざまなソースからのデータを統合することで、XDRは車両のセキュリティ状況を包括的に把握することができます。例えば、XDRプラットフォームは、CANバスメッセージで検出された異常と外部ネットワークの異常なトラフィックパターンを関連付け、連携した攻撃を検出することができます。 AIはまた、XDRシステム内でよりスマートな緩和策を実行します。脅威が検出されると、AIはそのコンテキストを分析し、特定の攻撃に合わせた緩和策を推奨します。場合によっては、パッチの適用、侵害されたシステムの隔離、被害の拡大を防ぐためのファイアウォールルールの調整といった対応をAIが自動化することもできます。例えば、車両通信でスプーフィングを検出した後、XDRプラットフォームのAIは、影響を受けたECUを自動的に隔離して、さらなる改ざんを防ぐことができます。 リアルタイムの脅威検知、インテリジェントな対応メカニズム、包括的なデータ分析を統合することで、XDRプラットフォームは、コネクテッドカーを標的とする高度化するサイバー脅威に対して強固な防御になります。 時間との戦い:自動車のサイバーセキュリティは進化しなければ取り残される サイバー犯罪者がAIを活用して車両やフリートに対して巧妙化する攻撃を行うケースが増えており、自動車業界はAIを活用した強固なサイバーセキュリティ対策を導入する必要ががますます高まっています。このような新たな脅威に効果的に対処するためには、OEMは積極的なアプローチを採用し、インシデントが発生する前に対策を実施する必要があります。攻撃者が絶えず戦術を洗練させている環境では、一歩先を行くことが不可欠です。AIを搭載したXDRプラットフォームは、このような課題に対処するために必要な知能的で統合された対応を提供します。高度な検出機能、リアルタイムの洞察、よりスマートな緩和戦略により、XDRは貴重なツールとしてだけでなく、進化するサイバー環境におけるコネクテッドモビリティの未来を確保するための重要なコンポーネントとしても機能します。
---
### Driving Ahead of the Curve: How AI is Shaping Automotive Cybersecurity
> Discover how AI is revolutionizing automotive cyber security, from anomaly detection in vehicle data to AI-powered XDR platforms. Learn how advanced AI tools mitigate modern cyber threats and safeguard connected vehicles.
- Published: 2024-10-15
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/blog-post/shifting-gears-ais-role-in-transforming-automotive-cyber-security-post/
- Categories: Blog
- Tags: Cyber Trends, Security Development Tools, Vehicle Vulnerabilities
- Translation Priorities: Optional
The automotive industry sits at the intersection of some of today’s most transformative innovations. As vehicles become increasingly software-defined, connected, and automated, we are witnessing unprecedented advancements in comfort, safety, and user experience. Yet alongside these leaps forward come significant new challenges—particularly in the realm of cybersecurity. Over the past decade, the digital infrastructure in modern vehicles has evolved from basic infotainment systems into complex networks comprising millions of lines of code and diverse computing platforms. Intelligent driver-assistance features, over-the-air software updates, and vehicle-to-everything (V2X) communications are reshaping what it means to drive a car. At the same time, these technological strides have created new opportunities for cybercriminals. The increasing frequency and sophistication of attacks on vehicles and their supply chains send a clear signal: the automotive sector must make cybersecurity a core pillar of its future. A Changing Threat Landscape In the last few years, we’ve seen a surge of automotive cyber incidents—from large-scale data breaches affecting corporate networks to high-profile demonstrations of remote vehicle takeovers. Whereas early concerns focused mainly on infotainment hacks or ransomware attacks on OEMs, today’s threat landscape extends much deeper. Attackers now have their sights set on critical driving functions, personal data, and, increasingly, on the evolving ecosystem of monetized vehicle capabilities. As the industry moves into creating additional revenue streams—such as on-demand services and user-enabled capabilities—cybercriminals see new financial motives for their efforts. The prospect of hacking premium features, manipulating subscription-based services, or “jailbreaking” paid add-ons incentivizes attackers who seek to profit directly...
---
### DevSecOpsを加速する: 2024年調査レポート 車載ソフトウェア開発者のための洞察
> PlaxidityX は2024年「自動車業界から見たDevSecOps」のレポートを公開し、自動車業界全体のDevSecOps導入の現状を把握できるようにしました。
- Published: 2024-10-08
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/devsecops-in-high-gear-key-insights-for-automotive-developers-in-2024/
- Categories: Cyber Security Blog
- Tags: Automotive Risk Management, Automotive Supply Chain Cyber Security, Automotive TARA Cyber Security, Automotive Threat Analysis & Risk Assessment
- Translation Priorities: Optional
自動車業界が急速な変化を遂げている中で、ソフトウェア・デファインド・ビークル(SDV)の登場は、サイバーセキュリティという新たな課題をもたらしています。自動車メーカーやサプライヤーがこの課題を克服することを支援するため、PlaxidityX は2024年「自動車業界から見たDevSecOps」と題したレポートを公開し、自動車業界全体のDevSecOps導入の現状を包括的に把握できるようにしました。 DevSecOpsとは? DevSecOpsは、ソフトウェア開発ライフサイクルを通じてセキュリティをシームレスに統合し、工程の早い段階で潜在的な脆弱性を特定し、必要に応じて対処するアプローチのことです。このアプローチは、ハードウェア生産の重視からソフトウェア開発の優先に移行しようとする自動車メーカーやサプライヤーにとって極めて重要であるといえます。 本レポートのために、PlaxidityXは北米、ヨーロッパ、アジアの主要な自動車メーカーやサプライヤーの開発、エンジニアリング、セキュリティ、DevOps、QAの各分野の専門家数百人を対象に調査を実施しました。そのデータに基づき、企業がどのようにDevSecOpsを導入しているか、直面している主な課題、そしてどのようなメリットがあるかについて明らかにしています。 レポートの要点 複雑なセキュリティ対策の負担: 回答者の63%が少なくとも勤務時間の20%をセキュリティタスクに費やしており、製品セキュリティの管理が開発チームにとって複雑で、大きな負担になっていることが明らかになりました。この課題は、複数のセキュリティツールを使用する必要性によってより深刻化しており、55%の人が7~10種類のツールを使用していると答えています。 ツールの有効性に関する課題: セキュリティチームが自社で使用しているツールに満足している一方で、研究開発チームとエンジニアリングチームのうち、ツールが有効であると評価しているのはわずか20%でした。この回答の差は、セキュリティと、イノベーションそしてスピードのバランスをとることの難しさを浮き彫りにしています。 自動車メーカーとサプライヤーの比較: 自動車メーカーはDevSecOpsを製品品質を向上させる方法として主に捉えているのに対し、サプライヤーは顧客の信頼を高めることを主眼に置いています。数あるメリットの中でもコスト削減は下位にランクされており、DevSecOpsが単なる効率向上策ではなく、製品の成功と信頼に不可欠なものであるという業界の理解の変化を示しています。 SDV開発におけるDevSecOpsの重要性 「当社の調査レポートは、自動車業界で起きている変革を浮き彫りにしています。企業は、DevSecOpsが単なるコスト削減ではなく、顧客からの信頼につながるような高品質でセキュアな製品を提供することだと認識しています。」 DevSecOpsの導入を加速 このレポートは、多くの自動車メーカーがDevSecOps導入を進めている一方で、まだ道のりが長いことを示しています。自動車メーカーとサプライヤーはそのメリットを実感することが増えているようですが、リソースの不足、ツールの複雑さ、効果的な統合の欠如が依然として大きな課題となっています。 DevSecOpsのプラクティスを採用することで、自動車業界の各社は、ソフトウェア優先の業界で競争力を保ちながら、製品の安全性を高め、開発サイクルを短縮し、全体的なリスクを低減することができます。
---
### DevSecOps in High Gear: Key Insights for Automotive Developers in 2024
> PlaxidityX has released its annual 2024 DevSecOps Automotive Report, providing a comprehensive view of DevSecOps adoption across the industry.
- Published: 2024-10-08
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/devsecops-in-high-gear-key-insights-for-automotive-developers-in-2024/
- Categories: Cyber Security Blog
- Tags: Automotive Risk Management, Automotive Supply Chain Cyber Security, Automotive TARA Cyber Security, Automotive Threat Analysis & Risk Assessment
- Translation Priorities: Optional
As the automotive industry rapidly evolves, the rise of software-defined vehicles (SDVs) brings new challenges, particularly in cyber security (See also: SDV Cyber Security). To help automotive manufacturers and suppliers navigate this landscape, PlaxidityX (formerly Argus Cyber Security) has released its annual 2024 DevSecOps Automotive Report, providing a comprehensive view of the current state of DevSecOps adoption across the industry. What is DevSecOps? DevSecOps integrates security seamlessly throughout the software development lifecycle, addressing potential vulnerabilities earlier in the process. This approach is critical for OEMs and suppliers as they shift from hardware-centric production to software-first development. In the report, PlaxidityX (formerly Argus) surveyed hundreds of professionals across development, engineering, security, DevOps, and QA roles from major automotive manufacturers and suppliers across North America, Europe, and Asia. The data reveals how companies are adopting DevSecOps, the key challenges they face, and the benefits they experience. Key Findings from the Report Complex Security Burden: With 63% of respondents spending at least 20% of their time on security tasks, it’s clear that managing product security has become an increasingly complex burden for development teams. This challenge is worsened by the need for multiple security tools, with 55% of respondents using between 7-10 different tools. Tool Effectiveness Concerns: While security teams are satisfied with their tools, only 20% of R&D and engineering teams rate their tools as effective. This disconnect highlights the difficulties of balancing security with innovation and speed. OEMs vs. Suppliers: OEMs primarily see DevSecOps as a way to improve product quality,...
---
### CI/CDパイプライン:品質を維持し、追加コストをかけずに、自動化ソフトウェアのテスト時間を85%短縮する方法
> CI/CDパイプラインに組み込んだ自動化テストの効果を最大化させるための時間短縮について自分たちが実施した改善策についてご紹介します
- Published: 2024-09-09
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/rd/ci-cd-pipeline-how-to-reduce-85-of-automated-software-testing-duration-without-compromising-quality-or-incurring-additional-costs/
- Categories: R&D
- Tags: CI/CD
- Translation Priorities: Optional
はじめに 自動化テストをCI/CDパイプラインに組み込むと非常に大きな利点が得られます。ただし、真に効果的であるためには、テスト時間が標準的な開発サイクルと合致して、可能な限り迅速にフィードバックが提供されなければなりません。実装を完了させた後に、パイプラインに定義されたリグレッションテストやDevSecOpsテストにコードが合格したかどうかを確認するまで長い時間待たされることほど、開発者がフラストレーションを感じることはありません。 プラクシディティ エックス(旧アルガス)は、社内の製品開発部門とお客様の双方のために開発サイクルの最適化に取り組んでいます。 これから、当社の主要な製品開発チームが、夜間のテスト実行時間を2時間44分からわずか21分に短縮した方法についてご紹介します。 ステップ1 – 現状分析 テスト実行の改善に向けた最初のステップは、現状を理解し、テストにかかる時間の裏に潜む根本原因を明らかにすることでした。 チームはウィザードとして構築されたWebベースのアプリケーションのテストを担当しています。ウィザードでは、一連のステップを通じてシステムに様々なパラメータや機能を設定でき、最終的にはユーザーが使用できるダウンロード可能な出力が提供されます。 安全性が保証された範囲を確保するために、テストは主に次の2つのカテゴリーに分かれていました。 機能テスト – アプリケーションの様々な機能、ロジック、要素をテストする エンドツーエンド(E2E)テスト – システムの様々なフローを実行し、出力をダウンロードし、出力に期待通りの結果が含まれているか検証する Allureレポートとコードを詳しく調べたところ、実行時間に関する興味深い知見を得ることができました。 テストは順番に実行されている。つまり、総実行時間は個々のテストにかかった時間の合計である 何かが原因で単純な機能の検証に時間がかかっている 他より大幅に時間のかかる機能がある テストケースとそれらのステップ、再実行方法に冗長性が見つかった ステップに長い時間がかかっている原因を分析したところ、次のようないくつかの要因が重なっていることがわかりました。 アプリケーションを実行するマシンリソースが不足していたために、アプリケーションの動作が遅くなっていた テスト効率が最適ではなかった。UIで操作し、より効率のよいRESTful APIを使用していなかった(UI要素がテスト対象でない場合) 次に、一部のステップに他のステップより大幅に時間がかかっていた原因の解明に取り組みました。例えば「ページに移動」のステップは効率よくコード化されていなかった、ということがわかりました。該当ページに移動するのに、自動化インフラストラクチャとして目的画面にただ「ジャンプ」すれば済むところを、ユーザーとして目的のページまで各画面への移動を繰り返していました。 テストケースにおけるログインメカニズムの問題解決にも取り組みました。通常、各テストケースでは設定フェーズ時にブラウザを開き、URLに移動してログインを実行します。一部のテストケースでログインメカニズムを検証すれば、他のすべてのテストケースでこのプロセスを踏む必要はありません。代わりに、一度ログインしてセッションを維持し、残りのテストケースを実行することで、ログインフェーズをスキップすることができます。 注:不安定なテスト(一貫性のない結果を出すテスト)は、テストケースを再実行して貴重な時間を浪費することになりがちな重大な課題です。次のブログでは、不安定なテストを管理・軽減するための戦略を掘り下げます。どうぞお楽しみに。 ステップ2 – 必要な改善の導入 最初のステップで集めた知見と情報に基づき、私たちは次のアクションアイテムを定めました。 テストケースの並列実行を実装する テスト対象システム(SUT)を実行するマシンリソースを拡充する テストインフラストラクチャにRESTful APIハンドラーを実装する 「ページに移動」などの機能の実装を最適化する ログインフェーズを最適化する テストケースを確認し、冗長なケースを取り除く テストケースを確認し、冗長なステップを取り除く 上記のアクションアイテムは1人以上の分量だったため、複数のチームメンバーが関与しました。これらのアクションアイテムを割り当てた後、「クイックウィン(即効性のある小さな成功)」を達成することを優先して、早い段階で目に見える改善を実現し、フィードバック時間を10~15分に短縮するという目標に向けてチームの士気を上げました。 並行テストの実行 並行テストの実行は有益であると広く認められていますが、次のような課題が存在します。 テストランナーが並行実行をサポートしなければならない テスト用システムで複数の同時操作をサポートするか、複数のテスト環境を設定する必要がある 各テストは独立して実行できる必要がある。テストの設定で必要な状態を作り、テスト後にクリーンアップしなければならない テストケースは他のテストケースで使用している共有リソースを上書きしたり、共有リソースへのアクセスに関して競合したりしてはならない 私たちは次のような方法でこれらの課題に対処しました。 テストランナーにpytestを使用する。これには「pytest-xdist」という並行実行向けのすぐれたプラグインが用意されている テスト用システム自体が複数の操作をサポートしている。そのため、システムの動作が大幅に遅くなっていた。システムリソースを最適化するためにDevOpsチームと協力した テストの独立性はすでに実装されていた(テスト自動化のための一般的なベストプラクティス) 出力ファイルの管理は重要な課題だった。テストを並行実行すると、相互のファイルが上書きされていた。各テスト出力に一意のパスを割り当て、テスト名と正確な実行時間をそれに組み入れることで、この課題を解決した。UUIDもこの目的に役立ったと考えられる 注意すべき重要なことの一つは、起動できるワーカー(独立したプロセス)の数を、実行するマシンに含まれるCPUの数と等しくすることです。CPUの数が増えれば増えるほど、並行で実行できるテストの数が増え、実行時間が短くなります。 2営業日後、私たちは8つのCPUを備えたマシンを使用して並行実行を組み込むことに成功ました。これにより、夜間の実行が2時間45分から48分にまで短縮できました。 今後、各マシンのCPUの数を増やして、さらに改善を進めようと計画しています。 テストインフラストラクチャにRESTful APIハンドラーを実装する テストは通常、前処理、実行、後処理の3つのフェーズで構成されます。 前処理と後処理のフェーズで実行する操作は主要機能をテストしないため、必要な機能を使用できる限り、柔軟に実装することができます。したがって、より軽くて速いRESTful API呼び出しで同じ結果を効率良く達成することができるのであれば、重くて遅いUI操作に頼る必要はなくなります。 テストケースでRESTful API呼び出しを使用するために、次のことを実行しました。 統合レイヤーの開発 – RESTful APIとのすべてのインタラクションを処理するテストフレームワーク内のレイヤー。このレイヤーにはリクエストの送信、応答の処理、認証トークンの管理を行う機能が含まれます。 RESTful APIベースの機能の実装 –テストの一環として使用する機能(「create_new_project」など)について、RESTful APIハンドラーを使用した実装を追加できました。そのため、設定に応じてRESTful APIまたはUI操作のいずれかを使用して操作できるようになりました。 テストケースの前処理と後処理を変換してRESTful API機能のみを使用するようにしました。 この移行には開発チームとの幅広い連携が欠かせませんでした。結果的にテストケースの実行時間が大幅に短縮(各テスト約2分からわずか30秒に短縮)され、夜間の実行時間が全体で23分にまで短くなりました。 その他の改善点 上記に加え、アクションアイテムリストの他のアクティビティも実装して、テストインフラストラクチャの効率を向上させ、自信を持ってCI/CDプロセスを行えるようになりました。最も重要なことは、これらのすべての改善を、テスト品質を損なうことなく達成できたことです。つまり、同じ機能やセキュリティをより短い時間で網羅できるようになったのです(グラフを参照)。 現在、テスト実行時間は21分にまで短縮され、目標の10~15分も視野に入ってきました。目標達成まであと少しです! 覚えておきたい重要点 ここまでお読みいただいた方はおそらく、自社のテスト自動化を改善する方法にご興味をお持ちなのではないでしょうか。 次に、私たちが経験から得た学びをご紹介しますので、ぜひご検討ください。 技術的なヒントとリソース テストインフラストラクチャ用の並列テスト実行プラグインをご検討ください。 Python – pytest – pytest-xdist Python – unittest – nose2 Java – JUnit 5 – junit-platform-parallel Java – TestNG – ビルトインサポート JavaScript – Jest – ビルトインサポート JavaScript – Mocha – ParallelBufferedRunner JavaScript – Cypress – ビルトインサポート 自動化にRESTful APIをまだ利用していない場合は、RESTful APIテスト戦略の計画を開始し、関連する開発マネージャーに必要なプラットフォームの提供を依頼してください。 Playwrightを使用していて、ワンタイムログインのメカニズムを導入したいとお考えの場合は、このブログをご確認ください。他のフレームワークでも、同じ結果を達成するための独自の方法があるはずです。 まとめ この投稿はCI実行時間の短縮に焦点を当てていますが、このアプローチは一連のパフォーマンステストの実施、新たなDevSecOPSツールのパイプラインへの組み込み、自動テストケース生成へのAIの統合など、プロジェクトの内容に関わりなくあらゆる自動化改善プロジェクトに適用できます。 QA自動化改善プロジェクトを成功させるための当社の基本計画は次の通りです。 現在の稼働状況とその要因を分析する アクションアイテムを管理可能な小さなステップに分割する タイムラインに沿ってアクションアイテムの実施を計画し、関係リソースを割り当てる 各アクティビティを継続的にモニタリングする 最後に、クイックウィンの重要性を過小評価しないでください。簡単に完了できて目に見える効果を発揮するステップがどれかを見つけ出してください。クイックウィンによってチームの自信が高まるだけでなく、取り組みの正当性を組織内の他のステークホルダーに説明しやすくなります。 さらに詳しい内容にご興味をお持ちでしょうか?
---
### CI/CD pipeline: How to reduce 85% of Automated Software Testing Duration without Compromising Quality or Incurring Additional Costs
- Published: 2024-09-09
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/rd/ci-cd-pipeline-how-to-reduce-85-of-automated-software-testing-duration-without-compromising-quality-or-incurring-additional-costs/
- Categories: R&D
- Tags: CI/CD
- Translation Priorities: Optional
Introduction Automatic tests integrated into a CI/CD pipeline offer immeasurable benefits, but to be truly effective, they must align with development cycle standards and deliver feedback as quickly as possible. Few things are more frustrating for developers than completing their implementation, only to be left waiting for hours to find out if their code passes the regression tests and the DevSecOps tests defined for the pipeline. At PlaxidityX (formerly Argus Cyber Security), we are committed to optimizing development cycles both for our internal product development and for our customers. Let me share a story about how we reduced nightly testing execution times from 2 hours and 44 minutes to just 21 minutes at one of our leading product development teams. Step 1 - Analyzing our Current Situation The first step towards improving testing execution was to understand the existing conditions and identify the root causes behind our testing duration times. The team is responsible for testing a web-based application built as a wizard. It leads the user through a series of steps to configure different parameters and features in the system, and eventually provides a downloadable output that the user can use. Our tests were divided into two main categories in order to form a secured coverage: Functional tests - testing different functions, logic, and elements of the application End-to-end (E2E) tests - executing different flows of the system, downloading the output, and verifying that the output includes what we expected. Diving deeper into our Allure reports and code, we...
---
### EVのサイバーセキュリティ:PlaxidityXがEVerestオープンソースEV充電ファームウェアに重大な脆弱性を発見(CVE-2024-37310)
> EV充電ステーションの攻撃に使用される恐れのある脆弱性に関するブログ記事です。この重大な脆弱性に対してEVメーカーはどのような対策を取れるでしょうか。
- Published: 2024-08-22
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/automotive-cyber-security/ev-cyber-security-plaxidityx-discovers-critical-vulnerability-in-everest-open-source-ev-charging-firmware-stack-cve-2024-37310/
- Categories: Automotive Cyber Security
- Tags: Electric Vehicles (EVs)
- Translation Priorities: Optional
今日の自動車はコネクテッド化、ソフトウェア重視になり、サイバーリスクにさらされています。この点は電気自動車(EV)も変わりません。しかし、EVが特にサイバー脅威にさらされやすいのは、EVがスタンドアロンではないからです。 EVは、充電ステーション、スマートグリッド、その他の車両を含む、より大きな相互接続されたエコシステムの一部です。これらのコンポーネントのひとつにセキュリティ上の欠陥があれば、他のコンポーネントも危険にさらされる可能性があります。例えば、EVと充電ステーション間の通信は、充電ステーションを改ざんする悪意ある行為者によって侵害され、車両を危険にさらす可能性があります。 このような脅威を踏まえ、プラクシディティ エックス(旧アルガス)のリサーチグループは、EVの充電プロトコルとEVと充電ステーション間の通信について徹底的な研究を行ってきました。私たちの目標は、EVや充電ステーションが充電インターフェースを介して攻撃される可能性がある既知の方法と、これまで公表されていなかった方法を探り、理解することでした。 この記事は、当社のリサーチャーが発見した、攻撃者が充電ステーションを侵害して、コントロールする恐れのあるオープンソース・フレームワークの重大な脆弱性についてまとめたものです。この脆弱性については、すでにプロジェクトの保守担当者に「責任ある開示」がされており、問題は修正されています。 新たに発見された脆弱性はEVメーカーにも関係するものです。なぜなら、これらのプロトコルは双方向通信に使用されるため、EVにも実装する必要があるためです。したがって、仮説ではありますが、この脆弱性を利用して、EV充電に関する車載ECUを侵害することができると考えることができます。 脆弱性の概要 (CVE-2024-37310) この重大な脆弱性は、EV充電のためのフルスタック環境を構築するためのオープンソースのモジュールフレームワークであるEVerestプロジェクトで発見されました。モビリティ分野の電動化を支援するためにPIONIX GmbHによって開始されたEVerestプロジェクトは、Linux Foundation Energy(LFE)の公式プロジェクトです。この大規模なオープンソース·プロジェクトは、最終的には公共充電ステーションの標準通信スタックになることを目指しています。 私たちは、EVerest フレームワークの EvseV2G モジュールの V2G トランスポートプロトコル (V2GTP) の実装に、整数オーバーフローを発見しました。この脆弱性はヒープオーバーフローを引き起こし、攻撃者がLinuxプロセス上で任意のコードを実行することを可能にします。これにより、充電のための支払いゲートをバイパスしたり、充電ステーション(電気自動車給電装置、Electric Vehicle Supply EquipmentまたはEVSE)に保存されている秘密鍵を侵害したり、侵害されたが信頼できる充電ステーションになりすましてOCPP(Open Charge Point Protocol、充電インフラ通信プロトコル)を使用してベンダーのバックエンドと通信したりすることができます。 この脆弱性は、PlaxidityX Security AutoTesterを使ってEVerestの実装をテストしているときに発見されました。これは、V2Gを含む自動車プロトコルのセキュリティ問題や脆弱性をファジングテストで検出するために設計されたツールです。 プラクシディティ エックスはこの脆弱性をEVerest プロジェクトの保守担当者に慎重に開示し、問題はは迅速に修正され、パッチが適用されたバージョンがリリースされました。 この脆弱性の特徴について これまで、EVのサイバーセキュリティに関するセキュリティ研究のほとんどは、充電ステーションにアクセスするために使用される外部通信プロトコル (WiFi、Bluetooth、NFCなど)に注目していました。今回のケースでは、よくある通信インターフェースではなく、充電インターフェースに脆弱性があります。この脆弱性に関する私たちの研究は、EVと充電ステーション間のダイレクトな通信を分析するもので、セキュリティ·コミュニティではまだあまり注目されていない分野です。私たちが特に注目したのは、EVが充電ステーションを攻撃するためにどのように使われる可能性があるのか、またその逆もあり得るのかということです。 攻撃シナリオの例 この脆弱性を悪用するには、攻撃者は公共の充電ステーションにアクセスする必要があります。充電ステーションのソフトウェアにアクセスする最も一般的な方法は、物理的な接続です。攻撃者は、通常の充電ケーブルの一端を充電ステーションに差し込み、もう一端を(簡単な修正を加えた上で)ノートパソコンに接続されたPLCモデムに差し込み、脆弱性を悪用すれば充電ステーションを制御することが可能になります。 EVとEVSEの間のハイレベルな通信は、通常、公共の充電ステーションで行われていることに注意が必要です。このような充電ステーションは都心から離れていたり、無人であったり、十分な物理的セキュリティがないことも多いです。このようなシナリオでは、準備されたツールを持った攻撃者は、気づかれることなく充電ステーションを侵害することができるのです。 EVもこの脆弱性の危険にさらされる理由 前述の通り、今回発見された脆弱性は、充電ステーションの通信プロトコルの実装におけるエラーに関連しています。ISO 15118-2とDINSPEC-7012規格は、EVと充電ステーション間の通信を定義していますが、この規格の実装は複雑でエラーが発生しやすいのです。結局のところ、これらのエラーはバグにつながり、ひいてはセキュリティの脆弱性につながる可能性があります。 ここで重要なのは、この同じ規格が車両の電気自動車通信コントローラ(EVCC)ECUにも実装されていることです。EVでは、EVCCが充電ステーションとの通信を担当します。したがって、充電ステーションのソフトウェアで私たちが発見したのと同じ脆弱性が、実装の欠陥によりEVCC自体でも見つかる可能性があると考えるのが妥当です。 このようなシナリオでは、攻撃者がEVCC ECUのこの脆弱性を悪用してECUを侵害し、車両ネットワーク内部の足掛かりを得る可能性があります。極端な場合、攻撃者がCANバスに内部アクセスできるようになり、セーフティクリティカルな車両コンポーネントのセキュリティが脅かされる可能性があります。 EVメーカーにとって重要なこと 私たちの調査によると、他の多くの通信プロトコルと同様に、ISO 15118-2規格の実装にはプログラミングエラーやバグが発生しやすいのです。様々な特殊ケースを検討することは、各EVメーカーの責任です。一律に対応できる解決策はなく、実装を正しく行うには多くの労力が必要です。 我々が発見した脆弱性は、正しく実装することの難しさを物語っています。EVerestは、多くの開発者が関わっている巨大なオープンソース·プロジェクトですが、私たちは実装の欠陥による重大な脆弱性を特定しました。このエラーが多数の開発者の目を逃れることができたとすれば、EVメーカーが自社開発した独自の実装でも同じことが起きると考えるのが妥当でしょう。 要するに、EVメーカーは(オープンソースであろうとなかろうと)充電通信プロトコルを車両に実装する際には、その複雑さと潜在的なセキュリティリスクに留意しなければならないということです。ここでは、実装の誤りがどのような事態を招くかをみてきました。 EVセキュリティのための事前対策 プラクシディティ エックスは、大手グローバルOEMおよびTier1サプライヤーと何十もの量産プロジェクトで協力し、製品のセキュリティ体制を強化し、新しい自動車サイバーセキュリティ規制への準拠を支援した豊富な経験があります。当社のコンサルティング リサーチグループは、自動車およびECUメーカーに、自動車ペネトレーションテスト、TARAとサイバーセキュリティ·アーキテクチャデザイン、UNR 155およびISO 21434サイバーセキュリティ·コンプライアンスなどの包括的な自動車サイバーセキュリティサービスを提供しています。 EVのサイバーセキュリティについて疑問は、自動車サイバーセキュリティの専門家にご相談ください。 https://www. cybersecurity-help. cz/vdb/SB2024062534 https://github. com/klsecservices/Publications/blob/master/chargepoint_home_security_research. pdf
---
### EV Charging Cyber Security: PlaxidityX Discovers Critical Vulnerability in EVerest Open-Source EV Charging Firmware Stack (CVE-2024-37310)
> PlaxidityX research group researched EV charging protocols and discovered a critical vulnerability in EVerest Open-Source EV Charging Firmware Stack (CVE-2024-37310).
- Published: 2024-08-22
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/automotive-cyber-security/ev-cyber-security-plaxidityx-discovers-critical-vulnerability-in-everest-open-source-ev-charging-firmware-stack-cve-2024-37310/
- Categories: Automotive Cyber Security
- Tags: Electric Vehicles (EVs)
- Translation Priorities: Optional
Today's vehicles have become more connected and software-driven, exposing them to cyber risks. Electric vehicles (EVs) are no different in this respect. However, what makes EVs particularly susceptible to cyber threats is that they are not standalone entities. EVs are part of a larger interconnected ecosystem that includes charging stations, smart grids, and other vehicles. A security flaw in one of these components could conceivably put the other components at risk. For example, the Communications between EVs and charging stations could be compromised by bad actors who tamper with charging stations, putting the vehicle at risk. In light of these threats, the PlaxidityX (formerly Argus Cyber Security) research group has been conducting in-depth research on EV charging protocols and the communication between the EV and the charging station. Our goal was to explore and understand known and previously undisclosed ways that an EV, or a charging station could be attacked via the charging interface. See also: OEM cyber security This article describes a critical vulnerability in an open-source framework discovered by our researchers, which could potentially allow an attacker to compromise and take control of a charging station. The vulnerability had already been responsibly disclosed to the project’s maintainers and the issue was fixed. We believe the discovery of this vulnerability is also relevant for EV manufacturers, as these protocols are used for bi-directional communication, they also must be implemented in the EV. Therefore, while hypothetical, it is reasonable to assume that this same vulnerability could be used to...
---
### ユーザー・デファインド・ビークルの登場:テクノロジー、パーソナライゼーション、サイバーセキュリティの融合
> ユーザー・デファインド・ビークル(UDV)の登場は、まったく新しいデジタル体験になると同時に、考慮すべき自動車サイバーセキュリティの問題も提起しています。
- Published: 2024-07-16
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/automotive-cyber-security/the-rise-of-the-user-defined-vehicle-bridging-technology-personalization-and-cyber-security/
- Categories: Automotive Cyber Security
- Tags: Cyber Trends
- Translation Priorities: Optional
はじめに : ソフトウェア・デファインド・ビークル(SDV)からユーザー・デファインド・ビークル(UDV)へ 現在では、ソフトウェア・デファインド・ビークル(SDV)という言葉を聞いたことがないという人はいないでしょう。 具体的にそれが何を意味するかはそれぞれの観点によって変わってきます。しかし、その意味するところとして、現代の自動車のコンポーネントに使用される組込みソフトウェアのコードの量が増えており、かつては機械的または電気的な手段で制御されていた多くの機能が、現在ではソフトウェア・コードによって制御されているということは広く認識されています。このこと以上に、SDVはハードウェアとソフトウェアを分離することを可能にしました。言い換えれば、自動車メーカーはすでに道路を走っている車両に対しても、車両機能を更新したり、新しい機能を導入したりすることができるのです。 SDVのコンセプトを採用する車両が増え、この進化(なかには「革命」と表現する人もいます)の意味合いが具体化し始めると、ユーザー・デファインド・ビークル(UDV)の話題が出てきます。これは一体どういうことを意味するのでしょうか?携帯電話を例にとって比較してみましょう。 スマートフォンが登場する前の時代に使っていた携帯電話は、どのようなものであったか、思い出すのは難しいでしょう。当時の携帯電話の機能や性能は、購入から何年経ってもその端末の寿命までまったく変化しませんでした。携帯電話に新しい事をさせたかったら、店舗で新規モデルを買う必要がありました。 ノキア3310、スマートフォン以前の時代に最も人気のあった携帯電話の機種のひとつ。 現代のスマートフォンは、2つの重要な点ですべてを変えました。第一に、携帯電話のオペレーティング・システム(OS)をハードウェアから切り離したことで、携帯電話メーカーはOTA(オーバー・ジ・エア:無線通信によるアップデート)によって定期的にシステムを更新できるようになりました。多くの携帯電話メーカーは、少なくとも年に1回はOSをアップデートし、新しい機能や性能を追加しています。第二に、携帯電話の所有者は自分の興味のあるアプリをインストールすることができるようになりました。2008年にApple社がiPhoneにApp Storeを導入したことで普及したスマートフォンのエコシステムは、今日、オンラインアプリストアで数百万ものアプリを提供しています。ユーザーは皆、自分の好みに合わせてアプリを選ぶので、同じ電話は二つとありません。文字通り、ユーザー自身が自分の経験を定義しているといえます。 ユーザーによってカスタマイズされたiPhoneモバイルアプリ。 アプリは王者、今度は自動車にも スマートフォンと同様に、UDVは車の所有者がユーザー体験をカスタマイズできるようにするものです。AppleやAndroidのユーザーは、以前からApple CarPlayやAndroid Autoを使用して、これらのプラットフォームと互換性があれば、スマートフォン上のアプリを車のインフォテインメント・システムにミラーリングしています。しかし、Android Automotiveなどの新しい車両ネイティブ・プラットフォームは、さらに直感的なユーザー体験を提供し、ユーザーはスマートフォンなどのデバイスからミラーリングする必要なく、車両インフォテインメント・システムに好みのアプリを直接インストールすることができるようになっています。 Apple CarPlay経由でカスタマイズ可能な車載インフォテインメントシステム 車載コネクテッドサービス SDVのコンセプトは、コネクティビティというもうひとつの自動車トレンドに乗っかっています。この2つの組み合わせは、自動車メーカーにとってコネクテッド・サービスの販売という新たなビジネスモデルを可能にしています。調査によると、自動車会社はコネクテッド・カー・サービスを販売することで、1台あたり1,600ドルを生み出すことができると予測しています。車の所有者は、ありとあらゆる機能を購入する必要はありません。その代わり、欲しいものを選んで購入することができます。マッキンゼーの調査によると、コネクティビティの好みは地域や顧客セグメントによって大きく異なります。例えば、中国の消費者は高度な運転支援機能などの先進技術を好み、米国やドイツの消費者はシートヒーターや空調制御などの快適性や利便性を好む傾向にあります。また、消費者は柔軟な支払いオプションを望んでおり、機能に対して1回払いを好む人もいれば、サービスベースのサブスクリプション・モデルを望む人もいます。 マッキンゼー・アンド・カンパニーによる、ドイツで最も購入されうるコネクティビティ機能トップ10 ソフトウェア・アップデートによりクルマが新しい技を学習する 多くの自動車メーカーは、顧客が購入したりサービスに加入する前から、将来のサービス購入を可能にするハードウェア、センサー、テクノロジーを車の設計に追加しています。これは、アフターマーケットでの機能追加はさておき、車のハードウェアは通常、車の寿命が尽きるまで変わらないため、変化を続け、新規のサービスを提供することを可能にするために必要だからです。自動車の平均的な寿命は12年以上であり、多くの自動車はこれよりもはるかに長持ちです。しかし、コネクテッドSDVが、OTAでソフトウェアアップデートをできるようになれば、新たな次元で機能強化を行う機会となります。2012年にモデルSを発表してSDVのパイオニアとなったテスラは、およそ数カ月ごとに車載ソフトウェアを更新しており、これよりも早いタイミングで更新を行うこともあります。テスラだけではありません。一部から「中国のテスラ」とも言われているNioは、独自のUDVを提供しています。Nioは自らを自動車メーカーではなく「ユーザー・エクスペリエンス」と捉え、顧客を「ユーザー」と考えています。彼らは少なくとも年に4〜5回、完全なソフトウェア・アップデートを行っており、これはユーザーからのフィードバックをもとに機能とソフトウェア開発プロセスを行うものです。フィードバックは通常、車内の音声アシスタントシステムを通じて収集される以外にも、ユーザー向けワークショップやユーザーのスマートフォンからも収集されます。そして、それは直接Nioのユーザー・アドバイザリー・ボードに届けられます。Nioのエクスペリエンス・マネージャーがフィードバックを分析し、複数のユーザーから出たコメントは数ヶ月以内にOTAアップデートによって車両の改善に反映されます。2023年、Nioは768件のエクスペリエンス向上を含む10回のOTAソフトウェア・アップデートを行いました。 車のユーザーエクスペリエンスの一部であるNio Link PanoDisplay ユーザー・デファインド・ビークルにおけるサイバーセキュリティの観点 SDVからUDVへの進化は、スマートフォンの歴史を参考に、これまでにないまったく新しいカー・デジタル体験を切り開くものです。同時に、業界が考慮しなければならない自動車サイバーセキュリティの問題も提起しています。車の所有者がデジタルアプリをダウンロードおよびインストールできるようにすることは、悪質な行為者にとって新たな潜在的攻撃ベクトルを生み出すことになります。アプリの中には、正規のものであっても、サイバー態勢が十分でないものもあり、ソフトウェアの脆弱性や車両へのハッキングに悪用可能な弱点を含んでいる可能性があります。また、不正アプリがApp Storeに潜んでいて、車の所有者が意図せず悪意のあるコードを車に注入してしまう可能性も考慮する必要があります。 デジタルアプリ以外に、道路を走る車のソフトウェアアップデートは、ソフトウェア脆弱性のもう一つのチャンネルになります。SDV 車のメーカーは、年に何度も主要なソフトウェアアップデートをプッシュしています。このようなソフトウェアスタックにはそれぞれ新しいコードが含まれ、オープンソースまたは商用ソフトウェアの新規または更新されたソフトウェアライブラリが導入される可能性があります。車両ソフトウェアのサイバー態勢を維持することは、変化し続ける目標というだけではなく、終わりのないタスクになりつつあります。ある意味、UDVのソフトウェア開発プロセスに終わりはありません。伝統的に、車両とそのコンポーネントの設計と開発は生産開始前に行われますが、UDVのソフトウェアはその後何年にもわたって進化し、強化され続けるようになるでしょう。 ユーザー・デファインド・ビークルのサイバーセキュリティリスクを軽減する方法 車載ソフトウェア開発にDevSecOpsアプローチを適用すること。この方法論は、セキュリティをシフトレフトすることを可能にし、設計と開発プロセスの各段階でセキュリティテストと対策の適用が可能になります。 各車両コンポーネントのソフトウェアコードに脆弱性がないかスキャンすること。ソフトウェア更新のたびに脆弱性が含まれている可能性があるため、ソフトウェアをデプロイする前に発見し、対処する必要があります。 ソフトウェアバイナリしか入手できない場合(例えば、コードがサプライヤによって開発されている場合)、サプライチェーンのサイバーセキュリティ態勢を高く維持するために、すべてのバイナリのソフトウェア部品表(SBOM)をスキャンして脆弱性を検出すること。 ゼロデイ脆弱性を発見し、ソフトウェアが安全であることを確認するために、ファジングテストとペネトレーションテストを実施すること。 スイッチ、ゲートウェイ、重要なECUなどの車両アーキテクチャの戦略的領域に侵入検知・防御システムを組み込むこと。CAN IDPS、Ethernet IDPS、Host IDPSは、悪質な行為者が侵入に使用できるような脆弱性を見つけた場合に、車両を保護することができます。 車両フリートを定期的に監視すること。車両セキュリティ・オペレーション・センター(VSOC)で拡張検知·対応プラットフォームを採用すれば、リスクやサイバー攻撃をリアルタイムで特定できるため、迅速な対処が可能になります。
---
### The Rise of the User Defined Vehicle: Bridging Technology, Personalization, and Cyber Security
> Beyond the shift of mechanical controls to software, the Software Defined Vehicle allows for decoupling of hardware and software.
- Published: 2024-07-16
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/automotive-cyber-security/the-rise-of-the-user-defined-vehicle-bridging-technology-personalization-and-cyber-security/
- Categories: Automotive Cyber Security
- Tags: Cyber Trends
- Translation Priorities: Optional
Introduction: from Software Defined Vehicle (SDV) to User Defined Vehicle (UDV) By now, it is unlikely you have not heard the term Software Defined Vehicle. What it means exactly is a matter of perspective. It is widely accepted though that the modern vehicle has an ever increasing amount of software code embedded in its components, and a lot of functions that used to be controlled by mechanical or electrical means are now controlled by software code. But beyond that, the Software Defined Vehicle allows for decoupling of hardware and software. In other words, an OEM can update the vehicle functions and even introduce new ones in vehicles that are already on the road. As more and more vehicles are adopting the SDV concept, and the implications of this evolution (some would argue ‘revolution’) are starting to materialize, the conversation starts gravitating into a User Defined Vehicle. What’s that all about? Let's take the mobile phone as a comparison. (See also: SDV cyber security) Many of us would find it difficult to remember what phones were like in those prehistoric times before the smartphone. Back then, a phone’s functions and capabilities stayed exactly the same for the life of the device, years after the purchase date. If you wanted your phone to learn new tricks, you had to go to the store and buy a newer model. Nokia 3310, one of the most popular phone models in the pre-smartphone era. The modern smartphone changed all that, in two important ways....
---
### 車載ECUのサイバーセキュリティ: SELinuxとHost Protectionのパワフルな組合せ
> LinuxベースのECUを保護し、規制要件を満たすために、自動車グレードのセキュリティのレイヤーを追加して補完する必要があります
- Published: 2024-06-06
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/ecu-cyber-security-selinux-and-host-protection-power-duo/
- Categories: Cyber Security Blog
- Tags: Automotive Intrusion Detection & Prevention System, ECU Cyber Security
- Translation Priorities: Optional
ECUは車両のインテリジェンス・ハブであり、メディアやエンターテインメント、外部通信などの制御を担っています。ソフトウェア・デファインド・ビークル(SDV)の出現により、ECUは相互接続され、双方向通信や外部ネットワークとの通信を行うようになっています。このようなコネクティビティの向上は、機能性と利便性の向上を可能にする一方で、ソフトウェアの脆弱性やその他のサイバー脅威に対する攻撃対象も拡大させてしまいます。 Linux上で動作するECU(Android上で動作するものもあります)には、SELinux(Security-Enhanced Linux)として知られるオープンソースの保護レイヤーが付属しています。SELinuxはソフトウェア開発者にとっては効果的な汎用ツールですが、自動車のサイバーセキュリティの観点からは、すべての要件を満たしているとは言えません。そのため、多くのOEMは、車載ネットワークやコンポーネントを保護し、新たな自動車サイバーセキュリティ規制や標準(ISO 21434、UNR 155、中国のGB/Tなど)に準拠するために、侵入検知・防御システム(IDPS)を導入しています。 この記事では、複雑なサイバー脅威からコネクテッドECUを保護するために、OEMやティア1サプライヤーがSELinuxに加えてセキュリティを必要とする理由について説明します。 車載用途におけるSELinux: 強みと課題 SELinuxはLinuxカーネル・セキュリティ・モジュールであり、システム管理者がユーザー、プログラム、サービスに対して設定したアクセス制御セキュリティ・ポリシーを管理・実行するためのメカニズムを提供します。そのため、SELinuxが有効な環境内のアプリケーションは、指定された境界を超えてシステムリソースにアクセスしようとする試みから保護されます。このセーフガードは、アプリケーションの一貫した安全な動作を保証します。 SELinuxは、Linux上で動作する自動車用ECUの管理とセキュリティにおいて極めて重要な役割を果たしています。システムプロセスをきめ細かく制御し、ミッションクリティカルな車両システムのセキュリティを強化します。この機能は、高度化するサイバー脅威から車載ECUを保護しようとするOEMとTier 1サプライヤーの双方にとって極めて重要です。 こうした強みがあるにもかかわらず、自動車業界におけるSELinuxの実装に関して、いくつかの業界特有の課題があります: 機能を損なうことなくセキュリティを最大化すること - サイバーセキュリティを実装する際には、攻撃対象領域を最小化すること(つまり、システムを制限すること)と、通常のシステム機能に必要な機能を許可することの間で、常にバランスを取る必要があります。言い換えれば、異常な動作に対してシステムを強化したいにもかかわらず、日常的な運用を可能にするためにシステムを十分にオープンにしておく必要があるということです。そのためには、あるプロセスに対しては機能を制限し、別のプロセスに対しては同じ機能を許可するという柔軟性が必要ということになります。これをSELInuxで実現するのは難しいことです。 リアルタイムレスポンス機能の必要性 - SELinuxのようなハードニング保護レイヤーは優れていますが、静的なものであり、急速に進化する攻撃手法に対応するようには構築されていません。対照的に、不可知論的で柔軟なソリューション(例えば、SELinuxをEDR(Endpoint Detection and Response)や自動車向けIDPSと組み合わせる)は、定期的なメンテナンスを必要とすることなく、動的な方法で包括的で詳細な保護を提供することができます。 セキュリティ・イベントのログ - これはSELinuxの標準機能です。ここで難しいのは、ログが作成された後のハンドリングです。イベントの収集と保存、フィルタリング、分析のためのバックエンド管理システムへの送信などがこれに当たります。この作業はITの観点からは簡単なように聞こえるかもしれませんが、実際のところ、ほとんどのOEMはこの機能をサポートすることができていません。さらに、ログを取ることは、UNR155とGB/Tに準拠するために必要な要件です。 オープンソース - オープンソースソフトウェアは開発者にとっては素晴らしいものですが、セキュリティの観点からは諸刃の剣となりえます。コードは容易に入手可能であり、それがどのように実装されているか見えるので、熱心なハッカーは最終的にバイパスする方法を見つけます。SELinuxは様々な目的に使用でき、すべてのアプリケーションに必要なわけではないため、設計上取り外し可能であり、巧妙なマルウェアによって無効化される恐れがあります。 保守性 - オープンソースのもう一つの欠点は、長期にわたって保守する必要があることです。アプリケーションをアップグレードするたびに、SELinuxとの互換性をチェックする必要があります。例えば、SELinuxのバグフィックスとアップグレードを認識し、そして、それらのアップデートをサポートするために自分のコードを適応させ、アップデートする必要があります。プロプライエタリなソフトウェアとは対照的に、オープンソースはサポートやアップグレードを提供しません。もし、規制に新しい要件が追加された場合、自動車業界にサービスを提供するソフトウェアベンダーはすぐにそれに対応します。オープンソースを使用する場合、インターネット上のフォーラムに支援を求めるか、独自のリソースを使用して要件を満たす必要があります。 1層のセキュリティでは不十分 例えて言うなら、有名な美術館を警備する場合、正門に鍵をかけるだけで十分とは思わないのではないでしょうか。カメラやモーションセンサーなど、不正侵入を防ぐための装置も設置することでしょう。セキュリティのレイヤーを1つに絞るのは危険すぎるということです。美術館にとっても、自動車にとっても、セキュリティを一か所に頼ることは受け入れられません。 サイバーセキュリティの基本的な考え方のひとつは、単一の保護レイヤーでは、関連する攻撃ベクトル、エクスプロイト、シナリオのすべてに対処するには不十分だということです。特にSELinuxは、当社のリサーチチームが何度も実証しているように、簡単にバイパスまたは無効にすることができます。これが、SELinuxだけを保護レイヤーとして頼るべきでないもう一つの重要な理由です。 自動車のサイバーセキュリティ要件への対応 多層防御は、複数のベンダーのソフトウェアや様々なコンポーネントで構成されている今日のECUにおいて特に必要です。このように多様で階層化されたエコシステムは、統合の問題や予期せぬセキュリティ脆弱性を引き起こす可能性があります。したがってOEMは、試行錯誤的に特定のハードニングを行うのではなく、包括的なセキュリティイメージを提供する全体的なセキュリティソリューションを必要としています。 SELinuxのポリシーは、主に標準的なLinuxの使用パラダイムを中心に設計されており、自動車固有のニーズとは必ずしも一致していません。試行錯誤のアプローチに基づくことが多く、自動車アプリケーションに特化した機能やショートカットが欠けているため、自動車のセキュリティ確保に必要なシナリオやユースケース(カーネルパラメータの保護など)を定義することが困難です。 HostProtection(IDPS): ECUサイバーセキュリティのギャップを埋める この多層防御アプローチを反映して、多くのOEMがSELinuxの上にECUセキュリティの追加レイヤーとしてHost IDPS Protectionソリューションを導入することを選択しています。Host Protectionは、既存のSELinux機能を補完し、自動車セキュリティ特有のニーズに対応するように設計されています。シンプルで簡単に設定が可能なルールに基づき、Host Protectionは、厳格な実行制御など、SELinuxが対処できない、あるいは制御が困難な特定のセキュリティギャップを埋めます。 Host Protectionは、SELinuxと併せて、以下のセキュリティレイヤーを追加で提供することで、OEMに安全な自動車グレードのシステム・ソリューションを提供します: 保護 - Host IDPS Protectionは、すべての実行ファイルと特殊ファイルの完全性と真正性を確保することで、ECUの保護を強化します。システムで実行される各実行ファイルは、OEMによって署名された証明書と同一である必要があります。ファイルへの変更や修正が検出されると、そのファイルはブロックされます。さらに、Host Protectionでは、様々な自動車特有のシナリオをカバーするルールを作成し、その悪用を防止することができます。 検知 - 先ほどの例に戻ると、保護レイヤーはゲートのロック、検出レイヤーは美術館の周囲や内部のカメラやセンサーとなります。Host Protectionシステムは通常、システムの異常動作を感知することができるECU上のセンサーのバンドルを含みます。これは、SELinux自体が削除されたり改ざんされていないことを確認するために監視する専用センサーや、さらなる調査を行うためにシステムの測定値やCPU使用率などを監視する専用センサーも含まれます。 ロギング - このレイヤーは、システム内のすべてのSELinuxログと他のすべてのセキュリティイベントを収集・管理し、SEvs(セキュリティイベント)としてIdsM(侵入検知システムマネージャー)または収集とフィルタリングのために設定されたシンクに送信します。 UNR 155とGB/Tによって義務付けられているこれらの運用機能は、SELinuxの基本的なログ機能を補完します。 前述したように、これらの各レイヤーは、車両やECUをサイバー攻撃から保護するとともに、型式認証のためのサイバーセキュリティ要件への準拠を促進しようとするOEMにとって不可欠なものになります。 結論 SELinuxは開発者にとって優れた価値を提供しますが、LinuxベースのECUを保護し、規制要件を満たすためには、自動車グレードのセキュリティのレイヤーを追加して補完する必要があります。 SELinuxとHost IDPS Protectionの組み合わせは、自動車サイバーセキュリティにおける強力な相乗効果が得られます。SELinuxは堅牢な基盤を提供し、Host Protectionは自動車業界特有の課題に対処するために必要なアジリティと特異性を提供します。この二重のアプローチにより、自動車は現在のサイバーセキュリティの脅威に対応できるだけでなく、将来の進化する課題にも備えることができます。
---
### ECU Cyber Security: SELinux and Host Protection Power Duo
> ECU Cyber Security: While SELinux is an effective general-purpose tool for software developers, it doesn't check all the boxes from an automotive cyber security standpoint.
- Published: 2024-06-06
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/ecu-cyber-security-selinux-and-host-protection-power-duo/
- Categories: Cyber Security Blog
- Tags: Automotive IDPS, Automotive Intrusion Detection & Prevention System, ECU Cyber Security
- Translation Priorities: Optional
ECUs are the intelligence hub of a vehicle, responsible for controlling media and entertainment, external communication, and other functions. With the emergence of software-defined vehicles (SDVs), ECUs are now interconnected, communicating with each other and external networks. While this increased connectivity enables enhanced functionality and convenience, it also expands the attack surface with respect to software vulnerabilities and other cyber threats. ECUs that run on Linux (and some that run on Android) come with a free open source layer of protection known as SELinux (Security-Enhanced Linux). While SELinux is an effective general-purpose tool for software developers, it doesn't check all the boxes from an automotive cyber security standpoint. Accordingly, many OEMs are deploying intrusion detection and prevention systems (IDPS) to protect their in-vehicle networks and components and to comply with emerging automotive cyber security regulations and standards (e. g. , ISO 21434, UNR 155 and Chinese GB/T). In this post, we’ll review why OEMs and Tier 1 suppliers need more than SELinux to protect connected ECUs from sophisticated cyber threats. SELinux in Automotive: Strengths and Challenges SELinux is a Linux kernel security module that provides a mechanism for managing and enforcing access control security policies set by the system administrator for users, programs, and services. As such, applications within any SELinux-enabled environment are protected from attempts to access system resources beyond their designated boundaries. This safeguard ensures the consistent and secure behavior of applications. SELinux plays a pivotal role in managing and securing automotive ECUs that run on Linux. It...
---
### 自動車サイバーセキュリティリスク管理とそれを自動化する理由
> 自動車サイバーセキュリティのための包括的な脅威分析とリスク評価(TARA)を確実に実施する体系的な方法の紹介とそれを自動化する方法をまとめています。
- Published: 2024-06-05
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/automotive-cyber-security-risk-management-why-to-automate-it/
- Categories: Cyber Security Blog
- Tags: Automotive Risk Management, Automotive Supply Chain Cyber Security, Automotive TARA Cyber Security, Automotive Threat Analysis & Risk Assessment
- Translation Priorities: Optional
地球上の生き物はすべて、様々な場面で当然のこととしてリスクマネジメントを実践し、自分への影響を考慮して意思決定を行っています。私たち人間の世界でも、リスク管理はさまざまな産業に組み込まれています。例えば、食品業界では食中毒をはじめとする食品由来のリスクマネジメントを実施しています。金融業界では、投資家は不確実性があるなかで意思決定を行っています。医療業界では患者の安全を最優先し、建設業界では環境を守ることが重要です。 それぞれの業界は、独自の規制やプロセスに従ってリスク管理を行っているのです。 自動車業界においては、路上で自動車を運転することで発生するリスクを考慮しなければならないことは明らかです。この業界では、安全リスクマネジメント、サプライチェーンリスクマネジメント、品質リスクマネジメント、オペレーショナルリスクマネジメントなど、さまざまなリスクマネジメントプロセスが存在します。近年では、サイバーセキュリティリスクマネジメントという新しいリスクマネジメントが必要になってきています。 自動車のサイバーセキュリティに対する懸念の高まりを受けて、規制団体や業界団体は規格やガイドラインの策定に着手しました。ISO/SAE 21434国際規格「Road vehicles - Cybersecurity engineering (路上走行車両-サイバーセキュリティエンジニアリング)」は2021年に発行されており、自動車のライフサイクルを通じてサイバーセキュリティを確保するための枠組みを示しています。さらに、2021年1月22日に発効した「サイバーセキュリティおよびサイバーセキュリティ管理システムに関する国連規則第155号(UNR155)」があります。この国連規則は、国連欧州経済委員会(UNECE)が自動車規制調和世界フォーラム(WP. 29)の一環として策定したものです。UNR 155は、自動車メーカーが自動車のライフサイクルを通じて効果的なサイバーセキュリティ対策を実施することを目的としています。同規制は、サイバーセキュリティ管理システム(自動車向け CSMS)を構築し、サイバーセキュリティリスクを評価・軽減してサイバー脅威から自動車を保護することをメーカーに求めています。EUと、日本や韓国などのアジア諸国がこの規制を採用しています。これらの地域では、すべての新型車両がUNR155に準拠する必要があります。2024年7月からは、新たに生産されるすべての車両がUNR155に準拠しなければならないとされています。 2つの重要な概念を理解することが重要です: 「脅威」と「リスク」です。脅威とは価値あるものを侵害する可能性のあるものであり、リスクとは可能性と確率を伴う脅威です。脅威分析とリスク評価(TARAとも呼ばれます)とは、実際のリスクとして顕在化する可能性のある脅威を特定し、それらのリスクについて意思決定を行うプロセスです。リスクは、受容することも、緩和策を実施して低減することも、根本原因に対処して回避することも、リスクが属する別の当事者に移転することもできます。米国国立標準技術研究所が発表した世界的なNISTサイバーセキュリティフレームワークは、組織内のサイバーセキュリティリスクを管理するための共通言語とベストプラクティスを5つのゾーンに分けて提供しています。それは、 特定(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、回復(Recover)です。 自動車のサイバーセキュリティリスクマネジメントに話を戻すと、脅威分析とリスク評価(TARA)の実施は、サイバーセキュリティ規制UNECE W. 29 UNR 155のさまざまな要件で言及されています。TARAの実施フレームワークは、ISO/SAE 21434:2021規格に概説されています。しかし、これらの文書では、脅威分析の特定の手法を規定していないため、TARA を実施する組織が、そのスキルと能力に基づいて手法を選択できる柔軟性がでてきます。ISO/SAE 21434:2021規格は、使用可能な手法の例として、EVITA、PASTA、STRIDEを含むさまざまな脅威モデリングアプローチについて言及しています。 自動車のサイバーセキュリティの懸念と交差する組織は、ISO/SAE 21434規格とNISTサイバーセキュリティフレームワークの両方に従うことを選択することができます。 プラクシディティ エックス(旧アルガス)の脅威分析のベストプラクティスは、マイクロソフトのエンジニアが最初に開発したSTRIDEと呼ばれる脅威分析モデルに基づいており、これはサイバーセキュリティの脅威モデリングに活用されています。これは、脅威を6つのカテゴリーに分類します: Spoofing(なりすまし)、Tampering(改ざん)、Repudiation(否認)、Information Disclosure(情報漏洩)、Denial of service (サービス拒否)、Elevation of privilege(権限昇格)です。 STRIDEを使う理由 複数のサイバーセキュリティアーキテクトを一つの部屋に集め、ターゲットシステムに対する脅威を分析するよう依頼した場合、それぞれが異なる脅威を分析する可能性が高く、中には特定の脅威を見逃す可能性さえあります。組織として、脅威分析プロセスの共通基盤を確立し、包括的で正確なカバレッジを確保することを目指しています。STRIDEを使用することで、完全性と予測可能性を提供することでこれらのニーズに対応し、それが現場で広く採用されている理由です。同様に、STRIDE は、予算やリソースが限られている小規模な組織であろうとも、あらゆる規模の組織に適しています。STRIDEはシンプルなフレームワークであり、専門家を訓練してこれを導入することも可能です。 TARAを自動化する理由 一方では、TARAはサイバーセキュリティのプロセスであり、特にリスク処理の決定やセキュリティ管理策の導入の提案に関しては、機械ではマネできない人間の判断や創造性が必要な場合があります。その上、自動化されたシステムの定期的なメンテナンス作業も忘れてはいけません。 一方、自動車業界では、TARAは製品開発のライフサイクルの中で、変更要求や新たなサイバーセキュリティの脆弱性やインシデントの発見などをきっかけに、ある程度の期間がたてば変更されることがあります。そのため、プロセス全体を自動化することで、専門知識を活用し、TARAを実行する体系的な方法を知りたいと考えています。特に、このプロセスについて多くの知識を持つ経験豊富な企業であれば、自動化によって質の高い結果を得ることができます。 自動化TARAがSTRIDEを採用する理由 上述したように、STRIDEのようなシンプルな脅威モデリングアプローチと組み合わせた自動化プロセスを使用することは、限られた時間で質の高い結果を得るための確実な方法です。また、人為的なミスや質の低い脅威の特定を減らすことで、一貫性と正確性が得られます。さらに、このようなツールの結果は非常に明確であるため、リスクを処理し、開発や対策のためのセキュリティ要件を検討するプロセスが容易になります。 PlaxidityX TARA自動化ツール PlaxidityX TARA自動化ツールであるSecurity AutoDesigner(PlaxidityX DevSecOps Platformの一部)は、STRIDE脅威モデリングに基づき、車両アーキテクチャ、システム、コンポーネントのセキュリティソリューションをゼロから提供します。このソリューションはISO/SAE 21434:2021に準拠しています。このツールは、さまざまなトリガーに基づいて簡単に修正できるように設計されており、特定の組織スキルに合わせて調整できます。さらに、Security AutoDesignerは、脅威分析プロセスにおいてUNECE W. 29 R155の付属書5(脅威カタログ)を考慮するように設計されています。 このツールは、AI機能を使ってすべての分析データを自動的に生成し、1つのレポートに統合します。このデータは、プラクシディティ エックスの専門家によって構築されたプラクシディティ エックスの脅威カタログデータベースから来ています。これは、OEMやTier-1 / Tier-2サプライヤーにTARAプロジェクトを提供してきた長年の豊富な経験に基づいています。 Vモデルに基づいた包括的なプラクシディティ エックス製品 結論として、自動車のような産業において、リスク管理、特にサイバーセキュリティは極めて重要です。ISO/SAE 21434やUNR 155のような新しく作られた標準に則ったアプローチがある一方で、STRIDEのような方法論は、PlaxidityXのTARA自動化ツールに代表されるように、自動車サイバーセキュリティのための包括的な脅威分析とリスク評価を確実にする体系的な方法を提供しています。 Security AutoDesignerについてはこちらから詳細をご覧ください。
---
### Automotive Cyber Security Risk Management & Why to Automate It
> PlaxidityX’ TARA tool automates automotive supply chain risk management, to comply with evolving, stringent cybersecurity regulations.
- Published: 2024-06-05
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/automotive-cyber-security-risk-management-why-to-automate-it/
- Categories: Cyber Security Blog
- Tags: Automotive Risk Management, Automotive Supply Chain Cyber Security, Automotive TARA Cyber Security, Automotive Threat Analysis & Risk Assessment
- Translation Priorities: Optional
Every living creature on earth naturally practices risk management in various life situations to intelligently make decisions affecting it. In our human world, risk management is embedded in different industries. For instance, in the food industry, we aim to prevent foodborne diseases. In finance, investors aim to make decisions in the face of uncertainty. In the health industry, we prioritize patient safety, and in construction, it's important to protect the environment. Each industry follows its own regulations and processes for managing risk. Its crystal clear the automotive industry must consider the risks of operating a vehicle on the road. In this industry, there are a variety of risk management processes, including safety risk management, supply chain risk management, quality risk management, and operational risk management. In recent years, a new type of risk management is emerging - cyber security risk management. In response to growing concerns about automotive cyber security, regulatory bodies and industry groups began developing standards and guidelines. The ISO/SAE 21434 international standard, titled "Road vehicles - Cybersecurity engineering," was released in 2021 and provides a framework for ensuring cybersecurity throughout the lifecycle of a vehicle. Additionally, there is UN Regulation No. 155 (UNR 155) on Cybersecurity and Cyber Security Management Systems, which entered into force on January 22, 2021. This regulation was developed by the United Nations Economic Commission for Europe (UNECE) as part of its World Forum for Harmonization of Vehicle Regulations (WP. 29). UNR 155 aims to ensure that automotive manufacturers implement effective...
---
### 自動車のためのDevSecOps: ソフトウェア・デファインド・ビークルの開発を加速し、サイバーセキュリティを強化
> V字モデルの初期工程からセキュリティテストを統合し、車載ソフトウェア開発を迅速かつ効率良く、かつ市場投入までの時間を短縮します。
- Published: 2024-05-08
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/devsecops-for-automotive-accelerating-development-and-bolstering-cyber-security-of-software-defined-vehicles/
- Categories: Cyber Security Blog
- Tags: Cyber Trends, ISO 21434, ISO 21434, UNECE WP29, UNECE WP29, VSOC
- Translation Priorities: Optional, 任意
自動車業界は大きな変革の真っ只中にあり、この変革はソフトウェアによって推進されています。戦闘機の10倍のコード行数を持つ今日のソフトウェア・デファインド・ビークル(SDV)は、「コードが走っている」と言えるでしょう。 自動車OEMが自動車の生産に革命を起こす一方で、このソフトウェアによる変革は新たなリスクと課題ももたらしています。自動車がテクノロジーを重視するにつれ、ソフトウェアの脆弱性やサイバーセキュリティの脅威にさらされる機会も増えています。機能面では、OEMは複数のソフトウェアベンダーのコンポーネントを統合し、安全で高品質なコードを確実に開発し、継続的なソフトウェア更新(OTA)をサポートする必要があります。同時に自動車OEMは、自社の車両が複雑で厳しい標準や規制(UNR 155/156、ISO 21434、ASPICEなど)に準拠していることを確認しなければいけません。 こうした課題を克服するため、自動車OEMは車載ソフトウェアの迅速な開発、開発サイクル内でのサイバーセキュリティの統合、市場投入までの時間短縮を可能にするツールを求めています。 自動車のためのDevSecOpsを用いてセキュリティ・バイ・デザインを実現 サイバーセキュリティが自動車の機能性と安全性に不可欠な時代では、開発プロセスの早い段階でセキュリティ対策を統合することが不可欠です。開発中に発見された問題や脆弱性は、自動車が量産開始された後に発見されたものよりもはるかに修正が容易であり、リコールにかかるコストや評判へのダメージは言うまでもありません。 DevSecOpsは、DevOpsの原則を拡張し、ソフトウェア開発ライフサイクル全体にサイバーセキュリティをシームレスに組み込みます。DevSecOpsは、初期設計から統合、テスト、デリバリー、デプロイメントに至るまで、ソフトウェア開発ライフサイクルのあらゆる段階でサイバーセキュリティ対策を自動化して統合します。このアプローチにより、サイバーセキュリティは後付けではなく、製品設計の不可欠な一部となります。 PlaxidityX DevSecOpsプラットフォームのご紹介 自動車業界向けに特別に設計された最先端のツールと手法を使用して、プラクシディティ エックス(旧アルガス)は包括的なDevSecOpsプラットフォームを構築しました。プラクシディティ エックスの実績あるサイバーセキュリティとテスト能力を活用したこの世界初のプラットフォームは、設計から運用までのDevSecOpsプロセス全体を自動化します。 シフト・レフトとセキュリティー・バイ・デザインのコンセプトを採用することで、開発とテストのスピードを加速することができます。これにより、開発チームは更新までの時間を短縮し、コストを削減し、機能的な柔軟性を求める市場の要求に応えることができます。 PlaxidityX DevSecOpsプラットフォームのモジュール: Security AutoDesigner:自動化された脅威分析とリスク評価(TARA)を実行し、アーキテクチャ設計段階(実際の開発前)において潜在的な脅威と脆弱性を前倒しで特定します。 Security AutoTester:自動車ソフトウェア開発者に、包括的なカバレッジのための約200のパッケージ化されたテストケースを含む、ファジングテストや侵入テストなどのエンタープライズグレードの自動セキュリティテストを提供します。自動化により時間に対する価値が上がり、検出された脆弱性の迅速な修正とテストの再実行が可能になります。 Code Security Manager:脆弱性を特定するための高度な静的(ホワイトボックス)テスト機能と動的テスト機能を提供します。高度なソフトウェア構成分析(SCA)モジュールは、ソフトウェア部品表(SBOM)を抽出し、セキュリティとアプリケーションのインテリジェンスを使用してコードに脆弱性がないかどうかを調べます。自動化されたコンプライアンス検証により、自動車OEM は既存の CI/CD パイプラインを拡張して継続的コンプライアンス(CC)を含めることができ、セキュアなソフトウェア開発ライフサイクル(SSLDC)の基盤を構築できます。 SW Supply Chain Security:AUTOSAR、Linux、AndroidなどのバイナリからSBOMを自動的に抽出し、プロジェクトまたは車両モデルごとにECU、ハードウェアコンポーネント、ソフトウェアライブラリのアセットを管理します。 自動車サイバーセキュリティの専門知識を活用した包括的な一貫性のあるプラットフォーム DevSecOpsプラットフォームは、プラクシディティ エックスの自動車アーキテクチャー、プロトコル、ネットワークに対する深い理解と、サイバー技術や研究における豊富な経験を活用しています。 プラクシディティ エックスは10年以上にわたり、OEMやティア1に対し、製品ライフサイクルの全段階における自動車サイバーセキュリティのコンプライアンス、エンジニアリング、テスト、運用サービスを提供してきました。コードレビュー、ペネトレーションテスト、TARAなどといったサービスは、メーカーのサイバーセキュリティレベルを強化し、コンプライアンスを促進するために、車両が業界標準や規制に従って設計通りに保護されていることを保証します。 この数ヶ月の間に、プラクシディティ エックスはこれらのライフサイクル・サイバーセキュリティ機能とツールを、設計・構築からテスト・運用まで、DevSecOpsプロセス全体を自動化する一貫性のある1つのプラットフォームに製品化しました。これまで、ポイントソリューションはさまざまなベンダーから提供されてきましたが、それらを1つの自動化プロセスに統合することは、ほとんどのOEMにとって大仕事です。プラクシディティ エックスのプラットフォームは、そのような問題を解決します。 結論: すばやい開発、セキュアなコード、迅速な市場投入 未来のソフトウェア・デファインド・ビークルと自動運転車の安全性とセキュリティは、自動車OEMとそのサプライヤがソフトウェア開発プロセスを安全に行えるかどうかにかかっています。SDV 開発にサイバーセキュリティ・バイ・デザイン・アプローチを採用することで、自動車OEM は生産スケジュールを短縮し、ビジネスの機敏性を高め、将来的な競争力を獲得することができます。 PlaxidityX DevSecOps プラットフォームは、現在利用可能な最も先進的な機能の包括的なセットを使用して、自動車OEM とそのサプライヤのツールチェーンの近代化を支援します。シフトレフトのアプローチに基づくこの画期的なプラットフォームは、SDV 開発を合理化し、サイバーセキュリティ、コード品質、コンプライアンスの面で製品品質を向上させます。
---
### DevSecOps for Automotive: Accelerating Development and Bolstering Cyber Security of Software-Defined Vehicles
> PlaxidityX DevSecOps offers automotive OEM and Tier1s tools to facilitate vehicle software devlopment with integrated cyber security.
- Published: 2024-05-08
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/devsecops-for-automotive-accelerating-development-and-bolstering-cyber-security-of-software-defined-vehicles/
- Categories: Cyber Security Blog
- Tags: Cyber Trends, ISO 21434, UNECE WP29, VSOC
- Translation Priorities: 任意
The automotive industry is in the midst of a major transformation – and this shift is being powered by software. With ten times more lines of code than a fighter jet, today's software-defined vehicles (SDVs) are aptly referred to as "code on wheels. " While revolutionizing the way OEMs build cars, this software-powered shift has also introduced new risks and challenges. As cars become more technology-centric, they are increasingly exposed to software vulnerabilities and cyber security threats. In terms of functionality, OEMs need to integrate components from multiple software vendors, ensure development of secure high-quality code, and support ongoing software updates (OTA). At the same time, OEMs must make sure their vehicles comply with complex and stringent standards and regulations (e. g. , UNR 155/156, ISO 21434, ASPICE, etc. ). To overcome these challenges, OEMs are seeking tools that will allow them to rapidly develop vehicle software, integrate cyber security within the development cycle, and shorten time-to-market. Implementing Security By Design with DevSecOps for Automotive In a world where cyber security is essential for vehicle functionality and safety, it's imperative to integrate security measures early in the development process. An issue or vulnerability detected during development is much easier to fix than one detected after the car has been rolled out – not to mention the cost and reputation damage of a recall. DevSecOps extends the principles of DevOps to incorporate cyber security seamlessly throughout the software development lifecycle. It automates the integration of cyber security practices at every phase...
---
### 二輪車向けサイバーセキュリティ規制の導入
> UN R155の対象が二輪車へも拡大されます。規制対応に必要なリスク評価・セキュリティマネジメントの進め方を事例とともに紹介します。
- Published: 2024-03-12
- Modified: 2025-05-01
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/cyber-security-regulation-is-coming-to-two-wheelers/
- Categories: Vehicle Vulnerability Management
- Tags: Compliance, UNR155
- Translation Priorities: Optional
2024年1月、UNECEの自動運転車・自律走行車・コネクテッドカーに関する作業部会は、サイバーセキュリティ管理規則(通称UNR155)を、時速25kmを超えて走るオートバイ、スクーター、電動自転車に拡大することを決定しました。 この決定は、二輪車業界に対するウェークアップコールです。これまで、二輪車メーカーがサイバーセキュリティに対応する必要はありませんでした。 しかし、状況が変わりました。二輪車メーカーはこれに対応する必要があります。 この決定の背景にあるものはなんでしょうか。二輪車にとってサイバーセキュリティが不可欠になる理由、また、どのようなリスクがあるのでしょうか。そして、二輪車メーカーがUNR155に準拠することは、ビジネス上どのような影響があるのでしょうか。 この記事では、基本的な自動車サイバーセキュリティおよびUNR155コンプライアンスに関する我々の洞察と、四輪車メーカーのコンプライアンス準拠における道のりをナビゲートするなかで学んだ貴重な教訓を共有します。 自動車にサイバーセキュリティが必要な理由 自動車業界におけるサイバーセキュリティの導入はここ2、3年のことですが、現在ではほぼすべての自動車メーカーやティア1サプライヤーにとって、サイバーセキュリティは一般的な用語となっています。 その理由は、現在路上を走行している何千万台もの自動車が、クラウド接続を備えたソフトウェア・デファインド・ビークル(SDV)であるためです。他の接続デバイスと同様に、SDVにはソフトウェアが持つ脆弱性があり、ハッキングの対象であり、サイバーセキュリティリスクにさらされています。最近開催されたハッキングコンテストでもこれは明確に示されており、大手自動車サプライヤーの車両充電システム、車載エンターテインメント技術、モデムサブシステムで数十ものソフトウェア脆弱性が発見されました。 ITネットワークへのサイバー攻撃とは異なり、自動車へのサイバー攻撃は生命を脅かす結果をもたらす可能性があります。特定の脆弱性を悪用することで、悪質な行為者はセーフティ・クリティカルなシステム(ブレーキなど)を侵害したり、遠隔地から自動車を始動させて制御したりすることさえ可能です。 安全性への懸念に加え、車両のサイバー攻撃は個人情報を危険にさらす可能性もあります。SDVが生成・収集するデータは、自動車メーカーが車両運用を改善し、ドライバーの運転体験をパーソナライズするのに役立つ一方で、データプライバシーに関する深刻な懸念ももたらします。 Mozillaの調査によると、現代の自動車は、OEMによるデータ保護が不十分であるため、「私たちがこれまでレビューした中で、プライバシーに関して最悪の製品カテゴリー」であると述べています。 テレマティクス、アダプティブ・クルーズ・コントロール、高度なコネクティビティが二輪車に導入されたことで、二輪車の潜在的なサイバーリスクに対する懸念も高まっています。 規制の現状を理解する コネクテッドカーに対するサイバー攻撃リスクの高まりに対応するため、近年、新たな自動車サイバーセキュリティ規制や標準が登場しました。UNR 155やISO/SAE 21434のようなグローバルな指令は、すでにOEMとそのサプライヤーの製品開発・管理方法に大きな影響を与えています。 ISO 21434は、路上を走行する車両のエンジニアリングにおけるサイバーセキュリティ観点からの国際規格です。この規格は、コンセプト、設計、生産、運用、保守、廃棄に至るまで、車両のライフサイクル全体にわたってサイバーセキュリティのリスクを管理するためのガイドラインを提供しています。 UNR155は、車両のライフサイクル全体を通じてサイバー脅威を検知・防御するためのリスクベースの管理フレームワーク(別名サイバーセキュリティマネジメントシステム、CSMS)の導入をすべてのOEMに義務付けています。EU諸国、日本、韓国などを含むUNECE加盟国の乗用車、トラック、バスに義務付けられているUNR155は、サイバーセキュリティに関して路上を走行する車両の型式認証のための国際的枠組みとなっています。 UNR155を構成する主な2つの柱: CSMS - CSMSは、サイバー脅威を緩和し、サイバー攻撃から車両を保護するために必要な組織的プロセス、責任、ガバナンスを定義する体系的なリスクベースのアプローチです。CSMSの仕様はUNR155の文書に詳述されています。UNR 155は、開発、製造、製造後の各段階で実施すべきプロセスを規定していますが、そのようなプロセスを実行するために使用される特定のツールや製品については規定していません。 型式認証 - UNR155は、自動車メーカーが型式認証を取得するために満たすべき組織的・技術的要件について、新たな状況をもたらしたといえます。同規則は、型式認証に2つのマイルストーンを設定しました。2022年7月、すべての新車は型式認証を取得するためにCSMS適合証明書(CoC)の取得が義務付けられました。2024年7月に設定された2つ目のマイルストーンでは、この要件がUNECE加盟国のすべての新型車(承認済みの型式と新型の両方)に拡大されます。CoCは、型式承認機関による厳格な審査プロセスを経て付与されます。 UNR155により、自動車のバリューチェーン全体が対象となり、早急な対応を求められています。OEM は現在、型式認証取得に向けてコンプライアンスを実証する必要があるため、サプライヤーに対しても、製品の設計、開発、運用、保守のプロセスにサイバー耐性を組み込むことを要求しています。 二輪車メーカーにとっての規制遵守の意味合い コンプライアンス・プロジェクトを実施した四輪車メーカーから学んだことを生かして、二輪車メーカーは、新規制が自社のビジネスと製品開発に及ぼす潜在的な影響を理解することが求められています。 CSMSを確立し、二輪車の型式認証のためのコンプライアンスを達成するためには複雑な取り組みを進める必要があり、自動車サイバーセキュリティの知識、熟練したリソース、専用ツールが必要になります。それだけでなく、既存のモデルにサイバーセキュリティを後付けするために必要な工程を検討することも重要です。 サイバーセキュリティ規制の影響を示す最近の例として、ポルシェは、ベストセラーのICEエンジン搭載SUV車「マカン」について、2024年春に欧州販売を終了すると発表していますが、これはサイバーセキュリティ規制に関連するものです。ポルシェは、新規制に準拠するために必要なアップデートが非常に複雑でコストがかかると判断したと説明しています。VWやアウディを含む他の車種に関しても同様の発表がありましたが、その最新版と言えるでしょう。 まとめ UNR155の二輪車(車両カテゴリーL)への拡大は、2024年6月に正式採用される予定です。 UNECE加盟国で販売されるモーターサイクルやスクーターを製造する二輪車メーカーは、サイバーセキュリティについて考え始め、来るべき規制要件準拠のための周到な計画を準備すべき時がやってきました。 二輪車向けのサイバーセキュリティが必要になった今、業界の対応が早いに越したことはありません。 サイバーセキュリティ・コンプライアンス準拠に向けたナビゲートが必要ですか?ギャップ分析、CSMS、二輪車の型式認証については、プラクシディティ エックス(旧アルガス)のサービスチームまでお問い合わせください。
---
### Cyber Security Regulation is Coming to Two-Wheelers
> In Jan 2024 the UNECE extended its cybersecurity regulation to include motorcycles, scooters & electric bikes with speed exceeding 25 kmph.
- Published: 2024-03-12
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/cyber-security-regulation-is-coming-to-two-wheelers/
- Categories: Vehicle Vulnerability Management
- Tags: Compliance, UNR155
- Translation Priorities: Optional
In January 2024, the UNECE’s Working Party on Automated/Autonomous and Connected Vehicles decided to extend its cyber security management regulation (aka UNR 155) to include motorcycles, scooters and electric bicycles with speed exceeding 25 km/h. This decision is a shrill wake-up call for the motorcycle industry. Until now, cyber security was not something motorcycle OEMs have had to worry about. But that's about to change – and two-wheeler manufacturers need to saddle up. So what's behind this decision and why is cyber security becoming essential for two-wheelers? What are the risks involved? And what are the business implications of UNR 155 compliance for motorcycle OEMs? This post shares our insights into the basics of automotive cyber security and UNR 155 compliance, as well as valuable lessons learned from vehicle manufacturers for navigating the compliance journey. Why Do Vehicles Need Cyber Security? Cyber security in the automotive industry has only been implemented in the last couple of years, but today it's become a household term for just about every vehicle manufacturer and tier-1 supplier. The reason for this is that tens of millions of cars on the road today are software-defined vehicles (SDVs) with cloud connectivity. Similar to any other connected device, SDVs are exposed to cyber security risk from software vulnerabilities and hacking attempts. This was clearly demonstrated in a recent hacker competition, where dozens of software vulnerabilities were discovered in vehicle charging systems, in-car entertainment technology and modem subsystems from major automotive suppliers. Unlike a cyber-attack...
---
### レーンを守る: EvidenとPlaxidityXが自動車のサイバーセキュリティ強化のために提携
- Published: 2024-02-19
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/fleet-protection/guarding-the-lanes-eviden-and-argus-join-forces-to-fortify-automotive-cybersecurity/
- Categories: Fleet Protection
- Tags: VSOC
- Translation Priorities: Optional
コネクテッドカーとソフトウェア・デファインド・ビークルは、運転に革命をもたらしています。新しいテクノロジーは運転体験を向上させ、安全性を高める一方で、コネクティビティの向上は、自動車をより大きなサイバーセキュリティリスクにさらすことにもなります。 ソフトウェアの脆弱性を悪用すれば、セーフティ・クリティカルなシステム(ブレーキなど)を侵害したり、個人情報にアクセスしたり、あるいは遠隔から車を始動させることもできます。これは、19歳のIT専門家がサードパーティ製アプリの脆弱性を悪用し、複数の車両機能を遠隔操作したテスラ・ハックの例で実証されています。最近よく聞かれる自動車盗難の手法である「CANインジェクション」と呼ばれるハッキング技術では、窃盗犯はキーを使用せずに、2分以内に車のロックを解除し、始動させ、盗むことができます。 データプライバシー規制がOEMに与える影響 データプライバシーは、自動車のコネクティビティの重要な要素の1つです。自動車から収集されるデータはOEMが顧客理解を深めるのに役立ちますが、同時に倫理的・法的な課題ももたらします。OEMはGDPRやCCPAといったデータ保護法を遵守する必要があり、自動車から収集される個人データを扱う際には、同意、セキュリティ、透明性が求められます。 データプライバシー規制を遵守することで、OEMはリスクを回避し、顧客との信頼を築くことができます。また、自社の製品やサービスを革新し、差別化するためにデータプライバシーを活用することもできます。プライバシー・バイ・デザインの原則と信頼性の高いセキュリティ・ソリューションを適用することで、OEMは顧客の期待に応えることができて、よりユーザー中心の安全なソリューションを構築することができます。 OEMに車両セキュリティ・オペレーション・センター(VSOC)が必要な理由 自動車に対するサイバー攻撃は、費用のかかるリコールや規制上の問題から賠償責任や評判の低下まで、OEMに大きな財務的インパクトを与えます。サイバーによって発生した自動車盗難は、保険会社への請求が増えることを意味し、ひいては所有者や車両運行会社の保険料が上がる可能性があります。 こうした現実の脅威を反映し、UNR155のような新しい自動車サイバーセキュリティ規制は、サイバー攻撃を検知、監視、調査、対応するシステムの導入をOEMに義務付けています。2024年7月には、すべての新型車または継続生産車が、サイバーセキュリティに関するUNR 155型式認証の対象になります。 その結果、OEM各社はサイバーセキュリティ能力を強化し、新たな自動車サイバーセキュリティ規制や基準に準拠できるようシステムを導入しています。 ここ数年の間に、従来のIT SOCで自動車サイバーセキュリティの規模、複雑さ、課題に対応するためには最適化が必要なことにOEMが気づき始めています。つまり、何百万ものエンドポイントを保護する必要性、12~15年の車両寿命、非常に複雑なサプライチェーン、厳格なコンプライアンス要件、コストのかかる緩和プロセスなどが含まれるためです。 最も重要なことは、ネットワークやデータを標的とするITサイバー攻撃とは異なり、自動車サイバー攻撃の影響は人命にかかわる可能性があるということです。悪意のあるハッカーが自動車のブレーキシステムを侵害するシナリオを想像してみてください。 人命が危険にさらされる可能性があり、何百万台ものコネクテッドカーがすでに運用されているため、OEMは車両をリアルタイムで監視し、車両に影響が及ぶ前に潜在的な脅威を検知するMDR(Managed Detection and Response)ソリューションを必要としています。従って、OEMはサイバー攻撃をリアルタイムで監視、調査、対応する専用の車両SOC(VSOC)を構築しているのです。 ソリューション:自動車のサイバーセキュリティに合わせた最適なMDRサービス 最高の防御を実現するための専門知識の統合: Evidenとプラクシディティ エックスは、自動車サイバーセキュリティのために特別に設計されたクラス最高のエンドツーエンドMDRサービスを提供するために提携しました。この包括的なソリューションは、自動車の脆弱性と技術に関するプラクシディティ エックスの深い理解と、Evidenの実績あるMDRの専門知識をシームレスに統合しています。 可視性と脅威検知を強化: このサービスは、自動車に特化した豊富なユースケース、プレイブック、100以上のAIモデルとともにプラクシディティ エックスのVehicle SIEMをEvidenのMDRプラットフォームAIsaac Cyber Meshと活用することで、車両フリート全体の脅威検知と可視性を最大化します。プラクシディティ エックスのvSIEMはAIsaacと統合されており、数百万ものセンサーやコンポーネントから膨大な量のデータを取り込み、高度な機械学習とビッグデータアルゴリズムを活用してサイバーインシデントの可能性を分析します。この詳細な分析は、攻撃ソース、侵害場所、潜在的な影響などをピンポイントで特定し、重要なコンテキストを提供します。 プロアクティブな脅威ハンティングと迅速なレスポンス: EvidenのMDRサービスは、ユーザー、ネットワーク、クラウド、データセンターを含む複数のベクトルを用いて常に脅威ハンティングを行っており、受動的な検知のレベルを超えています。Amazon BedrockのジェネレーティブAIエンジンと組み合わされた100を超えるAIモデルを武器として、調査とレスポンスを加速します。さらに、プラクシディティ エックスとの共同ソリューションを用いることで、脅威を迅速に封じ込め、潜在的な被害を最小限に抑えることを可能にします。 無敵の防御のための専門家のコラボレーション: MDRサービスは、脅威ハンター、フォレンジック調査官、倫理的ハッカー、インシデント対応者を含むEvidenのエリートセキュリティ専門家チームと、プラクシディティ エックスの自動車サイバーセキュリティ・リサーチャーがシームレスに連携します。これらの専門知識により、あらゆる規模のOEMに対して包括的な脅威の検知と対応を保証します。 グローバルサポートとスケーラビリティ: 世界中に戦略的に配置された16の次世代SOCを特徴とするEvidenの堅牢な運用インフラは、規模や場所に関係なく、どのようなOEMに対しても確実なサポートを保証します。 つまり、Evidenとプラクシディティ エックスは、自動車サイバーセキュリティ特有の要求に合わせた最高のMDRソリューションを提供します。この提携により、より優れた可視性、積極的な脅威ハンティング、迅速な対応、および専門家によるガイダンスを提供し、変化し続けるサイバー脅威の状況に対し、OEMが自信を持って対処できるよう支援します。 秘訣:自動車に関するノウハウ 最高クラスの技術、プロセス、スキルを持ったリソースも重要ですが、真に効果的なVSOCサービスの秘訣は、自動車に関するノウハウです。 サイバーリスクに関連する実用的な洞察を導き出すために、どのようなデータを評価すべきかを知るためには、サイバー技術や研究の経験とともに、自動車のアーキテクチャ、プロトコル、ネットワークに対する深い理解が不可欠です。 この提携により提供できるようになったオートモーティブMDRは、600人年以上の自動車サイバーセキュリティ技術と研究を通じて得た自動車に関する深いノウハウを反映しています。この専門知識とエビデンのSOCにおける深い業界知識により、誤検知を最小限に抑えつつ高い検知率を実現しています。 Evidenとプラクシディティ エックス(旧アルガス):よいパートナーシップ Evidenとプラクシディティ エックスは、脅威ハンティング、インシデント管理、SOCオペレーションを含む包括的なVSOC/MDRサービスをOEMに提供します。EvidenのサイバーセキュリティとSOCの専門知識とプラクシディティ エックスの自動車サイバーセキュリティの深い知識を組み合わせることで、このパートナーシップは自動車業界の変化を続けるサイバーセキュリティのニーズを満たす最善のソリューションを作り出します。 提携して提供するソリューションは、自動車メーカーに対して、増え続けるサイバー脅威をプロアクティブに検知・対応し、リスクを低減するとともに、新たな自動車サイバーセキュリティ規制への準拠を支援することができます。 PlaxidityX VSOCの詳細はこちら
---
### Guarding the Lanes: Eviden and PlaxidityX Join Forces to Fortify Automotive Cybersecurity
> Eviden and Argus offer OEMs a comprehensive VSOC/MDR service including threat hunting, incident management, and SOC operations. Learn more!
- Published: 2024-02-19
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/fleet-protection/guarding-the-lanes-eviden-and-argus-join-forces-to-fortify-automotive-cybersecurity/
- Categories: Fleet Protection
- Tags: VSOC
- Translation Priorities: Optional
Connected cars and software-defined vehicles are revolutionizing the way we drive. While new technologies enhance our driving experience and improve safety, increased vehicle connectivity also exposes cars to greater cyber security risks. By exploiting software vulnerabilities, bad actors can compromise safety-critical systems (e. g. , braking), access personal data, or even start a car from a remote location. This was demonstrated in the infamous Tesla hack, where a 19-year-old IT specialist exploited a vulnerability in a third-party app to gain remote control of multiple vehicle functions. The latest trend in car theft – a hacking technique known as “CAN Injection” - allows thieves to unlock, start, and steal a car in under two minutes without access to a key. How Data Privacy Regulations Affect OEMs Data privacy is a key aspect of vehicle connectivity. Car data can help OEMs understand their customers better, but also poses ethical and legal challenges. OEMs need to comply with data protection laws, such as GDPR and CCPA, that require consent, security, and transparency when handling personal data from vehicles. By following data privacy regulations, OEMs can avoid risks and build trust with their customers. They can also use data privacy as a way to innovate and differentiate their products and services. By applying privacy-by-design principles and reliable security solutions, OEMs can create more user-centric and secure solutions that meet customer expectations. Why OEMs Need a Vehicle Security Operations Center (VSOC) Cyber-attacks on vehicles bear a significant financial impact on OEMs - from costly recalls...
---
### 車と家の関係の始まり
- Published: 2024-02-08
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/your-car-is-about-to-have-a-relationship-with-your-home/
- Categories: Cyber Security Blog
- Tags: Cyber Trends
- Translation Priorities: Optional
コネクテッドカー、スマートホーム、そしてスマートフォンがバーに入っていく... ... これからオタク的な技術ジョークが始まる訳ではありません。あらゆるもの同士がつながるための一歩として、サムスン電子と現代自動車グループが、車がスマートホームと会話をする新しいライフスタイルの未来を創造するために提携したという最近の発表があります。どういうこと?と思いますか? 技術オタクではなく、新技術のアーリーアダプターでもない私たちのために、順を追って考えてみましょう。 スマートホームとは? 家庭にあるデジタル機器、家電製品、コントローラー、スイッチなどを思い浮かべてください。近年、これらの機器はますますスマートホームのエコシステムの一部となっていることに気づくでしょう。テレビ、スピーカー、玄関チャイム、エアコンのコントローラー、冷蔵庫など、数え上げればきりがありません。まず、これらのデバイスはインターネットに接続できるようになりました。しかし、単に接続性だけでなく、「スマート」なところは、センサーを活用してローカルデータをリアルタイムで収集し、インターネットからの無限のデータと組み合わせて賢く行動するということです。その結果、彼らはイケてるもの、便利なもの、単に奇妙なだけのものなど、多くの新しい技を習得します。例えば自宅の洗濯機は、投入された洗濯物の種類と量がわかるとその情報を乾燥機に伝え、この洗濯物を乾燥させるのに最適なプログラムを自動で設定します。照明のスイッチは私の照明の好みを知っていて、毎晩、日没の直前に完璧な組み合わせの照明がつきます。離れていてもスマホのアプリからドアの開錠ができます。嵐が来るのを事前に予測し、自動で窓のシャッターが下ります。これらのスマートデバイスやスイッチはすべてワイヤレスでインターネットに接続され、最終的にはスマートフォンで簡単にアクセスできるアプリに接続されています。 テクノロジー愛好家向けのニッチな市場のように聞こえるかもしれませんが、決してそうではありません。例えばグーグル、アマゾン、アップル、サムスンなど、ハイテク業界の大企業がスマートホームやスマートデバイスに多大な投資を行っています。以前は、スマートホーム技術は高価で導入するには複雑なものでしたが、現在では主流になりつつあります。 スマートカーとは? ソフトウェア・デファインド・ビークルという単語を耳にしたことがあるでしょうか。ModelSの登場で、2012年にTeslaがこのコンセプトを普及させたといっていいでしょう。簡単に言えば、車のハードウェアとソフトウェアを切り離すことで、自動車メーカーは車のライフを通じて定期的にソフトウェアを更新し続けることができるということです。問題の修正だけでなく、性能の向上、新機能の追加、新機能の導入も可能です。最近では、スマートフォンだけでなくインターネットにも接続された車が主流になってきています。ドライバーはストリーミング音楽、ポッドキャスト、オンラインラジオを聴くことができ、同乗者はビデオをストリーミング再生したり、オンラインビデオゲームで遊ぶことができます。そして、「リコール」の概念は完全に変わりました。かつては、安全上の問題を解決するためのリコールといえば、サービスセンターまで車を走らせ、ドライバーにとってはあまり楽しい経験ではないですが、整備士が部品を交換するまで数時間待つものでした。何百万ドルあるいはそれ以上ものコストがOEMに発生することは言うまでもありませんが、今日のリコールは、スマートフォンの定期的な更新のように、オーバージエア(OTA)アップデートで行われています。 さて、スマートホームとスマート/コネクテッドカーという2つの分野を理解したところで、最新の状況に話を戻しましょう。この2つの分野が出合い、少なくとも、交流が始まっているといえます。サムスンと現代自動車が先行者になっていますが、この流れは他のプレーヤーも必ず取り入れることでしょう。具体的には、サムスンと現代自動車は、新しい消費者向けサービスを提供するために、スマートホームとコネクテッドカー間の双方向通信を発表しました。 ホーム・トゥ・カーサービス 車のオーナーは、スマートホームのアプリを使って、車のエンジンをかけたり、車内温度の管理、窓の開閉、充電状況の確認など、自宅から車をコントロールできるようになります。これはコネクテッドカーのOEMアプリでも可能ですが、2つのエコシステムを組み合わせた新しいユースケースについて考えてみましょう。寒い日にスマートホームアプリでホームステータスを「留守」に設定すれば、車は自動的にドライブの準備と暖房の開始を指示されたと理解します。 カー・トゥ・ホームサービス 裏を返せば、車が家の中の機能をコントロールすることもできます。車載インフォテインメント・ディスプレイは、家の照明や温度をコントロールできるようになります。また別の、スマートなシナリオもあります。例えば、予期せぬ渋滞で帰宅が45分遅れるような場合、車が家の空調スケジュールを自動的に調整してエネルギーを節約することができます。また、EVのバッテリー残量や走行可能距離をテレビや家にあるスマート・ディスプレイに表示するなど、車両情報を共有して家にあるデバイスに表示することもできます。 では、なぜ心配するのでしょう? 一言で言えば、サイバーセキュリティです。コネクテッドカーはサイバー攻撃の標的になりつつあります。自動車がより多くのソフトウェアを搭載し、携帯電話、無線LAN、ブルートゥースなど複数の接続チャンネルを提供するようになるにつれ、意図せず新たな攻撃ベクトルが生まれています。自動車のサイバーセキュリティが業界で最初に注目されたのは、2015年に起こった有名なジープ・チェロキーのリサーチャーによるハッキングでした。 自動車へのサイバー攻撃、公表されたリスクや脆弱性は増加の一途をたどり、ついに自動車サイバーセキュリティ規制につながり、特に有名なものにUNECE R155規制、国際標準ISO/SAE 21434があります。 技術的に言えば、スマートホームのエコシステムを車に接続することは、まったく新しい攻撃ベクトルを導入することになります。大きいというよりも非常に巨大なものです。厳しい規制があり、品質と安全性の高い基準が設定されている自動車業界とは異なり、スマートホームデバイスはまだそこに至っていません。スマートデバイスのサイバーセキュリティへの対応は始まったばかりであり、無数のベンダーが製造したスマートデバイスが安価に普及するにつれ、スマートホームのエコシステムのサイバー態勢を評価することはかなり不可能になっています。脆弱性に関するニュースの報道から判断すると、素晴らしいとは言い難いのです。よく知られているRingセキュリティカメラは2019年にハッキングされ、顧客を危険にさらしました。より最近のカメラのセキュリティ報道は、Wyzeウェブカメラに関わるもので、自分のものではない知らないカメラからの映像フィードを短期間見ることができたと報告した所有者がいたため、ニューヨークタイムズのWirecutterは6年間のレビューの後、Wyzeセキュリティカメラの推奨を取り下げました。しかし、スマートホームのセキュリティに関する懸念はウェブカメラだけではありません。リサーチャーたちは、スマート電球でさえハッキングされる可能性があり、ハッカーはそこから自宅のWi-Fiネットワークに侵入し、個人情報を盗むことができることがわかりました。 最近の調査で、Z世代とミレニアル世代がスマートホームデバイスがハッキングされることを非常に心配していることが示されたのは驚くべきことではありません。正直なところ、15ドルのスマートカメラに、どれだけのセキュリティ上の対策やサイバー保護が施されていると思いますか?そして、ホームネットワーク全体をハッキングするのは、たった1つの弱いリンク、保護が不十分なスマートデバイスが1つあれば十分なのです。 無数のベンダーが製造し、サイバーセキュリティに関する規制がまだない、オンライン・スマートホームデバイス、家電製品、スイッチといった新しいエコシステムを、あなた自身とあなたの親しい人を乗せておよそ時速120㎞で移動する車に接続した場合の結果を想像してみてください。何か問題となりそうなことはあるでしょうか? 一例として、脆弱性を利用してコネクテッドホームのスマート電球をハッキングし、そこから車にアクセスしてコックピットのスマート・アシスタントに車の機能を操作するよう指示することで、コネクテッドカーを遠隔操作することです。あるいは、車で向かった詳細な行先、そこで何分過ごしたかといった個人情報にアクセスして盗むこともできます。これがホーム・トゥ・カーのベクトルです。では、カー・トゥ・ホームのベクトルも考えてみましょう。ハッカーがコネクテッドカーを侵害できれば、車両レベルでの被害だけでなく、ハッカーの潜在的な攻撃範囲は家にまで広がることになります。ハッカーは、自宅のカメラにアクセスしたり、スマートロック搭載のドアを解錠したり、エアコンを操作したり、その他のスマートデバイスを操作したりする可能性があります。 どんな対策が可能? 自動車を家やデジタルライフの続きとするジャーニーは少し前から始まっており、スマートホームのエコシステムとコネクテッドカーの連携は必須になるでしょう。なぜなら新しいライフスタイルを形成し、車のユーザー体験を革新する可能性を秘めているからです。しかし同時に、この進化を誰にとっても安全なものにするために対処しなければならない、重大なサイバーセキュリティ・リスクがあります。このことは、自動車のサイバーセキュリティの重要性をさらに強調するものです。イーサネット向け侵入検知やCANバス向け侵入検知による車載ネットワークの保護から、インフォテインメント・システムやテレマティック・ユニットなどのホストECUのハードニングと保護、脆弱性の継続的なスキャン、攻撃を検知してリスクや脅威に対応するためのフリート・サイバー・モニタリングまで必要です。 まとめ コネクテッドカー、スマートホーム、そしてスマートフォンがバーに入っていく... このジョークがサイバーによる悲惨な結末を迎えることを望まないのであれば、自分の乗る車が適切なサイバー保護対策を備えていることを確認したほうがいいでしょう。
---
### Your car is about to have a relationship with your home
- Published: 2024-02-08
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/your-car-is-about-to-have-a-relationship-with-your-home/
- Categories: Cyber Security Blog
- Tags: Cyber Trends
- Translation Priorities: Optional
A connected car, a smart home and a smartphone walk into a bar... This could be the beginning of a nerdy tech joke, but it's not. Another step towards the connection of everything to everything took place recently with an announcement by Samsung Electronics and the Hyundai Motor Group who partnered to create a new lifestyle future where your car is talking to your smart home, and vice versa. Wait. What? Let's take a step back, for the sake of those of us who are not tech savvy or early adopters of new technology. What is a smart home? Think of digital devices, appliances, controllers and switches in your home. In recent years more and more of these devices have become part of a smart home ecosystem. The TV, the speakers, the doorbell, the air condition controller, the fridge, the list is endless. For starters, these devices can now talk to the internet. But it's not just about connectivity, the ”smart” part means they leverage sensors to collect local data in real-time, and combine it with the infinite data from the internet in order to act intelligently. Consequently they learn many new tricks - some cool, some useful, some plain bizarre. My washing machine for example knows what kind and how much laundry was put in it, and it communicates this information to the dryer so it will automatically set the optimal program to dry this load. My light switches know my evening lighting preference, and turn on the...
---
### 業界リーダーが協力し、次世代の自動車およびモビリティ・セキュリティ・ソリューションのパイオニアに
- Published: 2024-01-10
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/industry-leaders-unite-to-pioneer-next-generation-automotive-and-mobility-security-solution/
- Categories: Cyber Security Blog
- Tags: Cyber Trends, ISO 21434, ISO 21434, UNECE WP29, UNECE WP29, VSOC
- Translation Priorities: Optional, 任意
業界リーダーが協力し、次世代の自動車およびモビリティ・セキュリティ・ソリューションのパイオニアに UNECEのWP. 29とISO 21434による今後の規制強化は、自動車産業におけるセキュリティ・ライフサイクルの安全確保に関するコンプライアンス要件を推進するものです。このコンプライアンスを実現するためには、自動車産業特有の複雑性から、設計・開発、製造、路上での運用という自動車ライフサイクルの3段階すべてを網羅し、最終的には各車両の15~20年のセキュリティ・ライフサイクル全体を管理する、未来の自動車の安全性を確保するための包括的なアプローチが必要となります。 このような独特な課題に対処するため、PlaxidityX(旧アルガス)、CyberArk、Device Authority、マイクロソフトの革新的な協業により、自動車およびモビリティ・セキュリティのための次世代ソリューションが誕生しました。この包括的なプラットフォームベースのアプローチは、マイクロソフトの最新のAzure OpenAI Security Co-pilotテクノロジーを活用することで、コネクテッドカーの安全確保、データ主権・管理およびコンプライアンスの確保、クラウドとエンタープライズ環境の保護といった複雑な課題に対処します。 この協業は、自動車とモビリティのセキュリティにおける大きな飛躍を意味し、各社の強みを組み合わせて堅牢なエンドツーエンドのソリューションを構築します。コネクテッドカーがもたらす独特な課題に取り組むことで、このパートナーシップは、急速に進化する自動車業界において、セキュリティ・データ管理とコンプライアンスの新たなベンチマークとなるでしょう。 コラボレーションとイノベーションの主要分野: 包括的でセキュアなソフトウェア開発環境 GitHub Copilotと開発環境を活用することで、ソフトウェア開発を加速し、開発者が問題解決とコラボレーションにより多くのエネルギーを集中させ、ありふれた定型的な作業に労力を費やさないようにします。バイナリコード分解ツールを使用して、大規模な自動車ソフトウェアの脅威サーフェスのセキュリティ態勢を確立します。 エンド・ツー・エンドのセキュリティ サイバーセキュリティ・ソリューションのシームレスな統合により、Vehicle Security Operation Center (VSOC)やVehicle to Cloud (V2C)通信を含むコネクテッドカーやクラウド環境のエンドツーエンドのセキュリティを確保します。 包括的な脅威検出 Azure OpenAI Copilotテクノロジーを活用することで、対応時間と手作業を削減し、より高い精度でより多くの脅威を検出するための実用的な洞察とインシデント対応自動化が含まれます。 包括的な可視性 データコネクターを活用して、コネクテッドカー、クラウド、VSOC、車両エコシステム全体にわたるセキュリティの全体像を提供します。 包括的かつライフを通じた運用中の車両状況管理 SBOM分析ツール、IDPSシステム、Security Copilot、最新の脅威インテリジェンスを活用し、路上の自動車のセキュリティとコンプライアンスのライフサイクルを管理します。 コネクテッドカー・ソリューションの革新 PlaxidityX、CyberArk、Device Authority、マイクロソフトの専門知識を結集し、自動車セキュリティ、データ主権・管理およびコンプライアンスにおけるイノベーションを推進し、業界に新たな基準を打ち立てます。 ソリューションの主な構成内容 PlaxidityX 自動車メーカー向けに車載およびクラウドベースのサイバーセキュリティ技術を提供 侵入検知・防御システムといった車載製品およびライフサイクルを通じて車両をモニタできる脆弱性管理およびセキュリティ・オペレーション・センター・サービスといった非車載ソリューションの両分野において製品を提供。 車両コンポーネント、ネットワーク、フリートに対するサイバー攻撃を監視、検出、防御。 プラクシディティ エックスについて プラクシディティ エックスは、自動車サイバーセキュリティのグローバルリーダーとして、自動車メーカーやサプライヤーに車載およびクラウドベースのサイバーセキュリティ技術を提供し、自動車のコンポーネント、ネットワーク、フリートがそのライフサイクル全体を通じて安全で規制に適合できるよう支援しています。プラクシディティ エックスのイノベーションとソリューションは、数十年にわたるサイバーセキュリティと自動車に関する研究に基づいています。当社は、取得済みと申請中を合わせて100件以上の特許を所有しています。2014年に設立され、プラクシディティ エックスは本社をイスラエルに構え、米国、ドイツ、フランス、日本、韓国にオフィスを展開しています。 CyberArk あらゆる業界のクラウドおよびエンタープライズ環境のアイデンティティセキュリティに特化。 管理者、ユーザー、アプリケーション、コネクテッドカーやデータとやり取りするマシンの認証情報と秘密を保護。 CyberArkについて CyberArkはアイデンティティセキュリティのグローバルリーダーです。CyberArkは、インテリジェントな特権管理を中心に、ビジネスアプリケーション、分散型ワークフォース、ハイブリッドクラウドのワークロード、DevOpsライフサイクル全体における、あらゆるID(人間またはマシン)に対して最も包括的なセキュリティを提供します。世界の一流企業が、最も重要な資産のセキュリティ確保にCyberArkを活用しています。 Device Authority KeyScaler 自動車のIoTデバイス向けに、マシンのIDライフサイクルと鍵管理の自動化を提供し、車両からクラウドへのセキュアな通信を自動化。 デバイス証明書および鍵のプロビジョニング、ローテーション、失効を自動化 OEMからTier1までの鍵管理、工場での鍵注入 IT/OTの可視性と制御を強化するスマート・コネクテッド・ファクトリー・セキュリティ デバイスのデータと通信に対して、ポリシー駆動型の暗号化と認証を実施 Device Authorityについて Device Authorityは、ゼロトラスト・セキュリティを大規模に自動化することでコネクテッドの未来を保護し、エンタープライズIoTエコシステム向けのアイデンティティおよびアクセス管理(IAM)のグローバルリーダーとして認められています。Device AuthorityのKeyScaler、IDセキュリティ・プラットフォームとKeyScaler-as-a-Service(KSaaS)により、企業は人的ミスを減らし、インシデント対応を迅速化し、リスクを最小限に抑え、デバイスとデータの完全な信頼性を確保し、あらゆる接続環境で信頼できるAIを実現できます。 Microsoft Manufacturing and Mobility Industry Team マイクロソフトでは、パートナーとともに、開発、生産、ポストプロダクションの3つのライフサイクルフェーズと、それに関連するすべてのホモロゲーションプロセスにおいて、自動車および製造業を包括的にサポートするためのプラットフォームベースの製品とサービスの幅広いポートフォリオを用意しています。今回の協業では、設計・開発段階でGitHub Copilotが活用される予定です。マイクロソフトのPurviewプラットフォームは、Azure OpenAIツールとCopilotで利用可能であり、リスクを低減し、コンプライアンス要件を満たしながら、さまざまなデータ資産に対してデータセキュリティとガバナンスを提供します。Microsoft Sentinelは、セキュリティイベントを収集、分析、対応するためのクラウドネイティブなSIEMおよびSOARプラットフォームであり、Azure OpenAI Copilotで有効化されたDefender Threat Intelligenceとともに、包括的なVSOCオペレーションを提供します。VSOCプラットフォームは、CyberArk、Device Authority、PlaxidityX Security、およびマイクロソフトの65兆の脅威インテリジェンスを含むその他のソースからデータを取り込み、Security Copilotを活用して、重要な脅威をマシンスピードでプロアクティブに特定、優先順位付け、緩和します。 次のステップ 自動車業界は複雑であり、未来の自動車を保護するための総合的なプラットフォーム・ベースのアプローチが必要であり、パートナーのエコシステムを用いて、最先端の製品、ノウハウ、革新的なアプローチを組み合わせ、最先端の生成AIを活用したセキュリティ技術を活用することで、自動車業界特有の課題に対処することができます。近い将来、この協業プラットフォームが提供できる具体的な内容についてご期待ください。
---
### Industry Leaders unite to Pioneer Next Generation Automotive and Mobility Security Solution
- Published: 2024-01-10
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/industry-leaders-unite-to-pioneer-next-generation-automotive-and-mobility-security-solution/
- Categories: Cyber Security Blog
- Tags: Cyber Trends, ISO 21434, UNECE WP29, VSOC
- Translation Priorities: 任意
Industry Leaders Unite to Pioneer Next-Generation Automotive and Mobility Security Solution The upcoming regulatory mandates from UNECE’s WP. 29 and ISO 21434 drive the compliance requirements for securing the security lifecycle in the automotive industry. In order to achieve this compliance, the unique complexities of the automotive industry require a holistic approach to securing the cars of the future covering all 3 phases of a vehicle lifecycle: design and development, manufacturing, and operation of the cars in the field - and ultimately managing the full 15-20 year security lifecycle for each vehicle To address these unique challenges, in an innovative collaboration PlaxidityX (formerly Argus Cyber Security), CyberArk, Device Authority, and Microsoft are joining forces to create the next generation solution for automotive and mobility security. This comprehensive platform-based approach addresses the complex challenges of securing connected vehicles, ensuring data sovereignty, management, and compliance, and safeguarding cloud and enterprise environments by leveraging the latest Azure OpenAI Security Co-pilot technologies from Microsoft. This collaborative effort represents a significant leap forward in automotive and mobility security, combining the strengths of each company to create a robust, end-to-end solution. By addressing the unique challenges posed by connected vehicles, this partnership is poised to set new benchmarks for security data management and compliance in the rapidly evolving automotive landscape. Key Areas of Collaboration and Innovation: Comprehensive Secure Software Development Environment Leveraging the GitHub Copilot and development environment, accelerating software development, and enabling developers to focus more energy on problem solving and collaboration and spend less...
---
### 中間者攻撃によるSOME/IPプロトコルの乗っ取りについて
> SOME/IPプロトコルの仕組みと脆弱性、それを使った自動車アプリケーションに対する中間者(MITM)攻撃について、またそれを軽減する方法について説明します。
- Published: 2024-01-10
- Modified: 2025-05-01
- URL: https://plaxidityx.com/ja/blog/cyber-security-blog-ja/some-ip-protocol-man-in-the-middle-attack/
- Categories: Cyber Security Blog
- Tags: Cyber Research
- Translation Priorities: Optional
この記事では、車載イーサネットネットワーク上のSOME/IPプロトコルを使った、自動車アプリケーションに対する中間者(MITM)攻撃について、またそれを軽減する方法ついて説明します。 注:MITM攻撃には、2者間の通信を合意なしに傍受し、操作することが含まれます。 効率のよい高帯域幅の車載ネットワーク接続を容易にするため、車載イーサネットリンクは車載E/Eアーキテクチャとして一般的になりつつあります。 自動車業界でイーサネットを使用するために、DoIP (Diagnostics over IP:診断通信プロトコル) やSOME/IPといった専用のアプリケーションレイヤープロトコルが開発されました。これに加え、一般的な車載イーサネットスタックとして、ICMP、ARP、DHCP といったIT業界の一般的なイーサネットプロトコルも挙げることができます。 一般的な車載イーサネットスタック 車載ネットワークセキュリティの一般的な分析では、まず、影響の大きい以下の攻撃パターンについて調べます。 サービス拒否攻撃(DoS) ECU挙動の改ざん 車両挙動に対する悪意あるトリガー ドライバー情報の改ざん ユーザー情報の漏洩 知的財産の侵害 上記のうち、サービス拒否、車両挙動に対する悪意あるトリガー、ドライバー情報の改ざん、ユーザー情報の漏洩の4つは、このMITM攻撃によって引き起こされる可能性があります。 SOME/IPとサービスディスカバリについて SOME/IP (Scalable service-Oriented MiddlewarE over IP:サービス指向通信)は、車載用ミドルウェアプロトコルであり、高速データ転送、低いオーバーヘッド、短い起動時間など、車載通信のニーズに対応するよう設計されています。 これは、クライアント・サーバー間の通信用に設計されており、サーバーは通常クライアントにサービスを提供します。サービスによって、車内イベントに関する通知が提供されるほか、クライアントによるサーバー機能の呼び出しおよび情報のリクエストが可能になるRPC(Remote Procedure Call:遠隔手続き呼び出し)が提供されます。 SOME/IPにはサービスディスカバリ機能(SOME/IP-SD)が備わっており、サービスへの動的なサブスクリプションが可能です。通常、サーバーはネットワーク上の接続先すべてにオファーメッセージを送り、サーバーが提供するサービスについて通信します。次に、クライアントがサブスクライブメッセージを送信して、関連するサービスをサブスクライブします。サブスクリプションが完了すると、サーバーはクライアントにサービスの提供を開始します。つまり、サーバーは通知を送信し、リクエストに応答します。このサブスクリプションプロセスは定期的なもので、通常は2秒に1回行われます。 SDメッセージを含むクライアントとサーバーECU間の一般的なSOME/IP通信 リファレンス攻撃設定 今回の攻撃設定は、自動車業界における一般的なユースケースを代表するもので、AとBの2つのECUはスイッチを介して接続し、SOME/IPで通信します。ECU Aはサーバーで、クライアントであるECU BにサービスS1を提供します。このスイッチには別のECUであるECU Cも接続されています。 この攻撃シナリオの前提条件は、ECU Cがすでに侵入されて、ネットワークに偽のメッセージを送信することができるというものです。 攻撃設定-3つのECUは1つのスイッチを介して接続している 攻撃の流れ この攻撃では、攻撃者はECU A とECU Bの間のサービス通信を乗っ取り、強制的にECU Cを通して通信が行われるようにします。通常ECU Aは、サービスディスカバリオファーメッセージを送信してS1サービスを提供します。これらのメッセージは複数の場所に送信されるため、ECU Cもこのメッセージを受信します。ECU Cは攻撃を実行するため、受信したオファーS1メッセージに対してサブスクライブS1メッセージをECU Aに送信してサービスをサブスクライブし、スプーフィング(なりすまし)されたオファーS1メッセージをECU Bに送信する、という2つのことを行います。 ECU BはオリジナルのオファーS1とスプーフィングされたオファーの両方を受信しますが、2つ目のオファーが1つ目のオファーの直後に届くため、2つ目だけをサブスクライブします。このようにして、ECU A (サーバー) からECU C (クライアント)へ、そしてECU C (サーバー) から ECU B (クライアント)へ、という2つの接続が開始されます。 その後、ECU CはECU AとB間でメッセージをリレーします。例えば、ECU AがそのクライアントであるECU Cに通知を送信した場合、ECU Cはその内容を直ちにECU Bへ転送します。サービスサブスクリプションプロセスおよびメッセージのリレーは攻撃の間ずっと繰り返されます。 攻撃の説明図:ECU Cが各ECUとの間でSDサブスクリプションプロセスを実行し、サービスメッセージをリレーする 攻撃者はこの攻撃を実行することで2つのことができるようになります。1つ目はECU AとECU Bの間の通信を傍受することです。この通信では、スイッチがそれぞれのスイッチポートに関係するパケットしか転送しないため、攻撃がなければ本来ECU C(攻撃者)からは見ることができません。2つ目は、ECUの間の通信をコントロールしてスプーフィングすることです。 攻撃者はこの攻撃を実行することにより、偽の通知をクライアントに送信する、サーバー上でリモート機能を呼び出す、メッセージデータを改ざんする、重要なメッセージを削除する、といったことができるようになります。サーバー側またはクライアント側で検出できるような通信エラーが発生することはありません。 私たちは、車載イーサネットスイッチを介して接続した2つのECUのシミュレーションと攻撃スクリプトを使用して、この攻撃を実行することができました。 Wiresharkによる攻撃のキャプチャ。偽のサブスクリプションプロセスおよびRPCメッセージのリレーが記述されている 攻撃の緩和策 このような攻撃を緩和する方法はいくつかありますが、どの方法を選ぶべきかは、主にネットワークプロパティによって決まります。 スイッチの機能(TCMAルールなど)を使って基本的なファイアウォールを適用すれば防げる場合もありますが、それだけでは不十分な場合もあります。 通常のネットワーク・パラメータ(MAC アドレス、IP アドレス、UDP/TCP ポート)だけでなく、SOME/IP サービス ID や SOME/IP-SD メッセージ・タイプなどの自動車固有のネットワーク・パラメータに基づいてトラフィックをフィルタリングする、例えばAUTOSAR ファイアウォール規格にあるような侵入検知・防御システム(IDPS)や高度なファイアウォールなどの高度なセキュリティ・メカニズムを使用することを強く推奨します。 認証あるいは暗号化手法を使用しても、この攻撃の防止には限定的な効果しかありません。SOME/IP-SDトラフィックは複数の宛先に送信されるため、標準プロトコルでは認証や暗号化はできません。SOME/IPトラフィックは認証や暗号化が可能ですが、攻撃側のECUが正当な形でサービスをサブスクライブした後、攻撃者の代わりにSOME/IPメッセージを送信しているため、この攻撃を防止することはできません。 結論 E/EアーキテクチャーにおけるSOME/IPの役割は拡大し続けており、サイバー脅威の影響を受けやすいことは、SOME/IPプロトコルを悪用したMITM攻撃で説明されています。このシナリオでは、敵が2つのECU上の2つのアプリケーション間の接続をハイジャックし、攻撃するECUがECU間の通信を盗聴して送信データを操作することを可能にします。 この懸念すべき問題は、堅固な自動車サイバーセキュリティ対策を取る必要性を強く示しています。どのような緩和手段が使えるかはネットワークの特性によって異なりますが、今回のような攻撃を防ぐには、自動車に特化した高度なセキュリティ・メカニズムの使用が強く推奨されます。 このような脆弱性を軽減するためには、潜在的な攻撃に対応できる、自動車専用の高度なセキュリティ・メカニズムを導入する必要があります。さらに、SOME/IPに関連する潜在的なリスクに対し、規制対応が進められています。例えば、日本のJASPARでは、この脆弱性を正しく認識し、指摘しており、自動車通信規格における厳格なセキュリティ・プロトコルの必要性を示しています。SOME/IP を利用したシステムにおける悪用からの保護は、依然として極めて重要な関心事であり、進化するサイバー脅威に対応する積極的な対策が必要です。
---
### SDVサイバーセキュリティ入門: 自動車の安全な未来のために
> SDVサイバーセキュリティが自動車の未来を守る鍵となります。このブログではSDVにおけるサイバー脅威を技術的観点から解説し、その対策と業界動向について解説します。
- Published: 2024-01-02
- Modified: 2025-04-04
- URL: https://plaxidityx.com/blog/cyber-security-blog/intro-to-sdv-cyber-security-securing-the-future-of-automotive/
- Categories: Cyber Security Blog
- Tags: Cyber Trends, IDPS, VSOC, VVM
- Translation Priorities: Optional
SDVサイバーセキュリティ入門: 自動車の安全な未来のために 自動車業界はデジタル革命の真っ只中にあり、この変革はソフトウェアによって推進されています。OEMやティア1サプライヤーがソフトウェア開発に膨大なリソースを投資しており、ソフトウェア・デファインド・ビークル(SDV)は今後の業界の方向性を示しています。 最先端技術を活用し、高度なソフトウェアとコネクティビティ機能を備えたSDVは、安全性、効率性、利便性の高い未来を提供します。しかし、このような新しいテクノロジーにはリスクがつきものです。ソフトウェアが重視される世界で、リスクを最小限に抑えながら自動車のイノベーションを実現するためには、サイバーセキュリティとデータプライバシーが極めて重要です。 このブログでは、SDVにおけるサイバーセキュリティの複雑さを検証し、SDVをサイバー脅威から保護する方法について、自動車メーカーが直面している課題および検討事項について調査した内容をまとめています。 ソフトウェア・デファインド・ビークル(SDV)とは? SDVは、自動車分野におけるパラダイムシフトを象徴するものであり、従来の機械部品をソフトウェアを用いたシステムが補強したり、あるいは置き換えているものです。この変化は、自動運転、コネクティビティの強化、運転体験を再定義する無数の革新的な機能など、新たな可能性を切り開くものです。 アーキテクチャの観点からは、SDVは1台以上の高性能コンピュータ(HPC)と複数のゾーンコントローラで構成されます。アプリケーションレイヤーは、車両オペレーティングシステム(AUTOSAR、Linuxなど)によってハードウェアレイヤーから分離されているため、ソフトウェアを柔軟に拡張・適応させることができます。SDVの大きな利点は、ソフトウェア・アップデートを無線(OTA)で継続的に受信できるため、車両の機能と性能を常にアップデートおよび改善できることです。 自動運転車とコネクテッドカーの普及: 脅威と課題 SDVが普及するにつれ、堅牢な自動車サイバーセキュリティ対策の必要性が大きくなります。SDVの各コード行、自動走行機能、ソフトウェアベースのサービス、OTAアップデートには、適切なサイバーセキュリティ対策が必要です。このような理由から、多くのOEMにとってサイバーセキュリティは機能安全や品質と同じくらい重要になってきています。 特に自動運転車は、環境を理解するために複雑なソフトウェア・アルゴリズムとセンサーに大きく依存しているため、その機能を損なうサイバー脅威の影響を受けやすくなっています。同様に、交通の流れや安全性を向上させるために他の車両やインフラと通信するコネクテッドカーも、悪意のある目的でこれらの通信を操作するサイバー攻撃に対して脆弱であるといえます。 SDVのサイバー脅威:その詳細 SDVは、以下のようなタイプのサイバー脅威に狙われる可能性があります。 マルウェアおよびランサムウェア攻撃:悪意のあるソフトウェアがSDVのシステムに侵入し、機能を低下させたり、重要なコンポーネントの制御を奪う可能性があります。ランサムウェア攻撃は、車両をロックダウンしたり、車両全体を人質にして、車両のロックを解除するために巨額の身代金の支払いを要求したりする恐れがあります。2022年には企業や組織のITネットワークに対するランサムウェア攻撃が4億9,300万件を超える(出典:Statista)ことから、このようなシナリオの可能性はますます高まっているといえます。 リモートアクセスの脆弱性:SDVのコネクティビティが向上するほど、SDVはより大きなサイバーセキュリティリスクにさらされるようになります。新しい脆弱性は定期的に公表され、事実上すべてのブランドの何百万台という車両に影響を及ぼしています。特定の脆弱性を悪用し、悪意ある者はセーフティクリティカルなシステム(ブレーキなど)にアクセスしたり、個人データにアクセスしたり、あるいは遠隔地から自動車を始動させたりします。これは、19歳のITスペシャリストがサードパーティ製アプリの脆弱性を悪用し、複数の車両機能を遠隔操作したテスラのハッキング事件で実証されています。 センサーのなりすまし:自動運転車は、環境を認識するためにセンサーに大きく依存しています。サイバー攻撃者は、偽の信号を送信することでこれらのセンサーを欺き、車両に誤った判断をさせようとする恐れがあります。 サービス拒否(DoS)攻撃:DoS攻撃は、大量の偽のリクエストで通信ネットワークを圧倒することで、SDVの正常な機能を妨害します。その結果、接続が失われ、車両が情報に基づいた意思決定を行うことができなくなります。 SDVのサイバーセキュリティに関する主な検討事項 SDVのサイバーセキュリティ戦略を策定する際、OEMは以下の重要な要素を考慮する必要があります。 データセキュリティとプライバシー:SDVは膨大な量のデータを生成・収集します。このようなデータは、自動車メーカーが車両の運用を改善し、ドライバーの体験をパーソナライズするのに役立つ一方で、データプライバシーに関する重大な懸念ももたらします。運転の癖や好みの移動ルート、音楽の好みなどを知るだけでなく、車内で交わされる会話や車内カメラの映像など、極めて個人的なデータを収集する車両もあります。さらに悪いことに、Mozillaの報告によると、ほとんどの自動車ブランド(84%)はデータを共有または売却するとしており、大多数(92%)は個人情報をほとんど管理していないとしています。 ネットワークセキュリティ:SDVは通信とアップデートのために広範なネットワークに依存しているため、これらのネットワークのセキュリティ確保は必須です。強固な暗号化プロトコルと認証メカニズムを導入することで、重要なシステムへの不正アクセスや不正操作を防ぐことができます。 リアルタイムの脅威検出:サイバー脅威の動的な性質を考慮すると、SDVサイバーセキュリティシステムは、ファイアウォールや侵入検知システム(IDS)などのリアルタイムの脅威検知機能を備えている必要があります。これには、サイバー攻撃の可能性を示す異常がないか、車両のソフトウェアとネットワークを継続的に監視することが含まれます。 安全なソフトウェア開発:安全なソフトウェアを構築することは、SDVのサイバーセキュリティの基本です。コードレビュー、ペネトレーションテスト、定期的なソフトウェア更新など、安全なソフトウェア開発のベストプラクティスを採用することで、脆弱性を最小限に抑えることができます。実際、多くの OEM やティア 1 サプライヤは、脆弱性管理プロセスをソフトウェア開発(CI/CD)プロセスの初期段階に移行しています。 多層的なセキュリティアプローチ:OEM は、サイバー脅威に対する強固な防御を構築するために、さまざまなセキュリティ対策を組み合わせ、多層的なセキュリティアプローチを SDV に導入することを検討すべきです。これには、車載ネットワークトラフィックの監視ツール(ファイアウォール、IDS など)、潜在的なサイバーリスクの特定と対応、脆弱性の緩和、走行中のフリートの保護(VSOC など)が含まれます。 継続的な監視とアップデート:OEMやサプライヤーにとって、サイバーセキュリティ対策の継続的な監視とアップデートは不可欠です。サイバー脅威の動的な性質にはリアルタイムの対応が必要であり、SDVシステムには新たなリスクに迅速に対応する能力が求められます。継続的な脅威評価に基づく定期的なソフトウェアアップデートは、脆弱性に対処し、SDVの全体的なセキュリティ体制を強化するためのプロアクティブな対策として機能します。 SDV のサイバーセキュリティ向上にはエコシステムの協力が不可欠 SDV が自動車業界に革命をもたらす中、サイバー脅威の高度化に伴い、メーカー、サイバーセキュリティの専門家、規制機関、さらには消費者を含む関係者間の協力が必要となっています。自動車業界は、新たな脅威に先んじるために、コラボレーションと情報共有を促進する必要があります。サイバー脅威と脆弱性に関する洞察を共有することは、エコシステム全体で効果的な対策を開発することにつながります。 この状況において、規制の枠組みが SDV のサイバーセキュリティに対して極めて重要な役割を果たします。各国政府は、ベースラインとなるセキュリティ対策の基準を策定し、実施するために、業界と積極的に協力していく必要があります。これらの基準は、技術の進歩に連動して進化し、SDV の持続的な安全性とセキュリティを確保するため柔軟かつ強固な枠組みを構築する必要があります。 SDVサイバーセキュリティで自動車のイノベーションを実現 今後、SDVのサイバーセキュリティにおいて重要なのは、イノベーションと保護の間の複雑なバランスを取ることです。メーカーは、技術の可能性を広げつつ、一方で、悪意ある者に対抗するために製品を強化するということのバランスに取り組まなければなりません。これを実現するためには、コンセプトの段階から車両のライフサイクルの終わりまで、サイバーセキュリティをSDVの開発に統合するアプローチが必要です。 結論として、ソフトウェア・デファインド・ビークルのセキュリティを確保するには、包括的かつ協力的な取り組みが必要です。SDVのサイバーセキュリティのニュアンスを理解し、プロアクティブな考え方を取り入れ、強固なセキュリティ対策を実施すれば、OEMとティア1サプライヤは、次世代の自動車の安全性とセキュリティを確保しつつ、自動車イノベーションの可能性を最大限に引き出せるでしょう。
---
### Intro to SDV Cyber Security: Securing the Future of Automotive
> SDV cyber security: Argus security experts explore challenges facing vehicle manufacturers as they look for ways to protect SDVs from cyber threats.
- Published: 2024-01-02
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/intro-to-sdv-cyber-security-securing-the-future-of-automotive/
- Categories: Cyber Security Blog
- Tags: Cyber Trends, IDPS, VSOC, VVM
- Translation Priorities: Optional
Intro to SDV Cyber Security: Securing the Future of Automotive The automotive industry is in the midst of a digital revolution – and this transformation is being powered by software. Software-defined vehicles (SDVs) have set the tone for the industry going forward, with OEMs and Tier 1 suppliers investing massive resources in software development. Leveraging cutting-edge technologies and equipped with advanced software and connectivity features, SDVs promise a future of increased safety, efficiency, and convenience. However, these new technologies do not come without risk. To enable automotive innovation in a software-driven world with minimum risk, cyber security and data privacy are crucial. This post examines the intricacies of SDV cyber security, exploring the challenges and considerations facing vehicle manufacturers as they look for ways to protect SDVs from cyber threats. What is a Software-Defined Vehicle (SDV)? SDVs represent a paradigm shift in the automotive sector, where traditional mechanical components are augmented or even replaced by software-driven systems. This shift opens up new possibilities for autonomous driving, enhanced connectivity, and a myriad of innovative features that redefine the driving experience. From an architecture standpoint, SDVs consist of one or more high-performance computers (HPC) and multiple zonal controllers. The application layer is separated from the hardware layer by a vehicle operating system (e. g. , AUTOSAR, Linux), which allows the software to be flexibly expanded and adapted. A key advantage of SDVs is that software updates are continuously received over the air (OTA), so that the vehicle's functions and capabilities can be...
---
### 自動車セキュリティを合理化する:AUTOSARおよびLinuxベースECU向け侵入検知システムマネジャー(IdsM)
> Qsevを活用したIdsMで、AUTOSARおよびLinux ECUのサイバーセキュリティ管理を効率化しましょう。運用負荷を抑えつつモニタリングを最適化する方法をご紹介します。
- Published: 2023-10-16
- Modified: 2025-05-01
- URL: https://plaxidityx.com/blog/ecu-protection/streamlining-automotive-cyber-security-ids-management-idsm-for-autosar-and-linux-ecus/
- Categories: ECU Protection
- Tags: AUTOSAR, ECU, HOST IDPS, IdsM, LINUX
- Translation Priorities: Optional
自動車は、コネクテッドでソフトウェア主導のマシンへと進化しており、自動車がサイバー脅威にさらされる可能性がますます高まっています。新しい自動車サイバーセキュリティ規制によると、ソフトウェア・デファインド・ビークル(SDV)およびそこに組み込まれたコンポーネントの安全性、セキュリティ、データプライバシーを確保することは、自動車OEMやサプライヤーにとって「必須」要件になっています。 自動車をサイバー攻撃から保護する一般的な手法は、セキュリティ・イベントを検知するためのセンサーを含めた IDPS(侵入検知・防御システム)をECUに組み込むことです。このようなイベントは大量に発生する可能性があり、車載ECUの限られたローカルメモリーに影響を及ぼすだけでなく、詳しい調査のためそれらのイベントをクラウドに送信するためのネットワーク帯域幅にも影響が及ぶ恐れがあります。もう一つの課題は、ECUがOS(AUTOSAR、Linuxなど)によって異なるフォーマットでセキュリティ・イベントを生成することです。セキュリティ・イベントに関する共通基準がないために、集中管理している車両SOC (VSOC)から侵入の可能性を効果的にモニタリングし、特定することが難しくなっています。 この記事では、侵入検知システム管理のためのクロスプラットフォーム基準の必要性の説明、および、AUTOSARとLinuxベースのECU間におけるセキュリティ・イベントの追跡と管理を統合し、合理化するための新たなアプローチを提示します。 車載セキュリティイベントの追跡を義務付ける規制 新たな規制により、自動車OEMは、自動車のライフサイクルを通じて、車両の脆弱性およびサイバーリスクを追跡することが義務付けられています。UNR 155の規制は新しい車種に適用されており、自動車OEMがサイバーセキュリティ・マネジメントシステム(CSMS)を導入し、「車両データおよび車両ログからサイバー脅威、脆弱性およびサイバー攻撃を分析および検出する機能を含めること」(UNR 155、セクション7. 2. 2. 4)が求められています。 従って、(UNR 155に規定されているように)サイバー攻撃の試みや実際の攻撃を検知し、調査するには、自動車OEMは車両コンポーネントから生成される大量のセキュリティ・イベント・データにアクセスする必要があります。 車両セキュリティ・イベント管理における課題 自動車OEMは有害なセキュリティ・イベントが発生してないか、数百万台もの自動車を監視する必要があり、このセキュリティ要件を満たすことは簡単ではありません。各車両は定期的に大量のローカルイベントを生成しますが、その多くは日常的なものや重要ではないものであって、セキュリティ・イベントではありません。しかし、なぜデータ量が問題になるのでしょう?ECUのローカルストレージにすべてのイベントを保存し、自動車OEMのクラウドに定期的にアップロードすることは、どのくらい困難なことなのでしょう? このアプローチにはストレージとコストという2つの大きな制約があります。通常、ECUのストレージ容量は限られており、日常的に収集される大量のセキュリティイベントを保存するようにはできていません。また、クラウドにイベントを送信すると、無線データ通信の帯域幅の費用とクラウドストレージ費用(データ量に直接関係する)が発生します。 既述の通り、多くのイベントにはセキュリティ上の価値はほとんどなく、セキュリティ上の意味があるイベントは、大量のデータの中に埋もれています。適切でないセキュリティ・イベントを分析するのは効率が悪く、また時間の浪費になります。そのため自動車OEMは、調査のためバックエンドシステムにイベントを送信する前に、そのイベントにセキュリティ上の価値があるかを判断する手段が必要と考えています。 侵入検知システムマネージャー(IdsM)とは? AUTOSARは2020年、上記の課題に対処するためにIdsMのコンセプトを含むIDSアーキテクチャを導入しました。IdsMはAUTOSAR ECU向けに統一されたイベントフォーマットを作成し、車両セキュリティ・イベント(SEv)を収集し、指定された基準を用いてフィルタリングを行います。IdsMの主な目標は、複数のセキュリティ・イベントの集中管理とコントロールを実施し、車両内でローカルに発生する多くの無関係なイベント(メンテナンス関連など)をフィルタリングすることです。 IdsMは、現代のコネクテッドカーを効果的にモニタリングするのに不可欠なコンポーネントになっています。自動車OEMはIdsMによって、適切なセキュリティ・イベントだけに集中し、フリートのサイバーセキュリティ状況を追跡し、サイバーリスクを検知することができます。このように、IdsMを用いることで、OTA帯域幅やクラウドストレージコストを削減しながら、VSOCの統合作業を支援できます。 IDSアーキテクチャはAUTOSARおよびLinuxベースECUを横断する必要がある IdsMは大きな前進ではあるものの、これで解決できるのは問題の一部に過ぎません。なぜなら、今日のIdsMに対する業界基準が、AUTOSAR ECU(AUTOSAR ClassicとAUTOSAR Adaptiveの両方)だけに焦点を当てているからです。それでは、他のタイプのECUはどうなるのでしょうか?現在、ほとんどの車両ネットワークには、AUTOSAR ECUとLinuxベースのECUが組み合わされて用いられています。インフォテインメント(IVI)システムやテレメトリECU(TCU)といったデータ量の多いアプリケーションのスループットニーズに対応するため、この組み合わせはますます普及しています。 プラットフォーム間でIdsMが標準化されていないため、Linux ECUのメーカーは独自にセキュリティ・イベント管理システムを構築しなくてはなりません。AUTOSARとLinuxベースのECUでは、異なるフォーマットでセキュリティ・イベントが生成されるため、AUTOSARとLinuxベースのECUから収集されたイベントを統合するには、バックエンド(自動車OEMのVSOC内)で大規模な統合作業が必要になります。ビジネスの観点から言えば、これらの作業によって自動車を市場に投入するまでの期間が長くなってしまいます。 図1:現代の車両ネットワークアーキテクチャ PlaxidityX IdsM for Linuxを使う理由 インフォテインメントシステムやテレマティックECUなどの車載ECUには、Automotive Grade Linux(AGL)といったPosixベースのOSプラットフォームの普及が進んでおり、標準的なIdsMの必要性が高まっています。このギャップに対応するため、業界は多様なECUが生成するイベントの集約・分析を支援するクロスプラットフォーム(AUTOSAR、Linux、Androidなど)標準が必要です。 プラクシディティ エックス(旧アルガス)はこの必要性を認識し、IdsM AUTOSAR標準をLinuxベースのECUに対して拡張・適用できる画期的なソリューションを開発しました。プラクシディティ エックスの受賞歴を持つLinux向けIdsMソリューションは、LinuxプラットフォームのECUに搭載された複数の侵入検知システム(IDS)センサーからのセキュリティイベントを管理・調整します。これにより、効率的にセキュリティイベント(SEv)を収集し、事前定義されたルールとロジックを用いて適格なセキュリティイベント(QSEv)を特定します。その後QSEvは、ECUメモリーにローカルに保存するか、侵入検知システムレポーター(IdsR)モジュールを介してクラウドVSOCに送信することができます。 AUTOSARの仕様と機能を拡張しLinuxベースのデバイスをもカバーすることにより、PlaxidityX IdsMは車載ネットワークのトラフィックや潜在的なセキュリティ侵害を合理的かつ効率のよい形でモニタリングできます。 図2:PlaxidityX IdsM for Linux 自動車OEMやティア1サプライヤーにとってのメリット プラクシディティ エックスのLinux向けIdsMソリューションは画期的なソリューションで、AUTOSARおよびLinuxベースのECUからセキュリティ・イベントをシームレスに統合することが可能になり、自動車OEMやティア1サプライヤーに、次のようなメリットを提供します。 UNR 155の規制要件を満たす – 車載セキュリティイベントを記録し、クラウドへ効率よく送信 VSOC統合を簡素化・合理化する – ECUプラットフォーム間で標準化されたセキュリティ・イベント・フォーマットを使用 Linuxベースの車載ソフトウェアの開発コストを削減する – IdsM for Linuxは、あらゆるLinuxベースECUをシームレスに統合可能なレディメードモジュール 新規SDV車種の市場投入期間の短縮 – このソリューションはClassic AUTOSARおよびAdaptive AUTOSARの両方に互換性があり、類似したAPIを公開し、この分野で認められた基準に従って認定メカニズムを実行可能 PlaxidityX IdsM for Linuxソリューションの詳細については、Host IDPS製品ページをご覧ください。
---
### Streamlining Automotive Cyber Security: IDS Manager (IdsM) for AUTOSAR and Linux ECUs
> Simplifying and streamlining VSOC integration – With standard security event formats across ECU platforms; Lower development costs of Linux
- Published: 2023-10-16
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/ecu-protection/streamlining-automotive-cyber-security-ids-management-idsm-for-autosar-and-linux-ecus/
- Categories: ECU Protection
- Tags: AUTOSAR, ECU, HOST IDPS, IdsM, LINUX
- Translation Priorities: Optional
As our vehicles evolve into connected, software-driven machines, they are increasingly exposed to cyber threats. In light of new automotive cyber security regulations, ensuring the safety, security and data privacy of software-defined vehicles (SDVs) and their embedded components has become a "must have" requirement for OEMs and suppliers alike. A common way to protect vehicles from cyber attacks is to embed Intrusion Detection & Prevention Systems (IDPS) in ECUs, which include sensors that detect security events. The potentially large volume of such events can impact the limited local memory of vehicle ECUs, as well as the connected bandwidth to send such events to the cloud for further investigation. Another challenge is that ECUs generate security events in different formats depending on the OS (e. g. , AUTOSAR, Linux, etc. ). The lack of a common standard for security events makes it difficult to effectively monitor and identify potential breaches from a centralized Vehicle SOC (VSOC). This post explains the need for a cross-platform standard for Intrusion Detection System Management, and presents a new approach for integrating and streamlining security event tracking and management across AUTOSAR and Linux-based ECUs. Regulations mandate tracking of in-vehicle security events Emerging regulations require OEMs to track vehicles throughout their lifespan for vulnerabilities and cyber risk. UNR 155, already in effect for new vehicle types, mandates that OEMs implement a Cyber Security Management System and "include the capability to analyze and detect cyber threats, vulnerabilities and cyber-attacks from vehicle data and vehicle logs. " (UNR...
---
### 自動車サイバーセキュリティのシフトレフト:車両脆弱性管理におけるROI重視のアプローチ
> 自動車サイバーセキュリティをV字モデルの初期段階に導入し、テストを効率よく行いながらソフトウェア開発のサイクル全体を効率よく回していきましょう。
- Published: 2023-09-20
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/shifting-left-in-automotive-cyber-security-an-roi-driven-approach-for-vehicle-vulnerability-management/
- Categories: Vehicle Vulnerability Management
- Tags: SBOM, Vehicle Vulnerability Management
- Translation Priorities: Optional
ソフトウェア・デファインド・ビークル(SDV)の出現により車載ソフトウェアは急激に成長し、自動車業界はセキュリティに関する大きな課題を抱えることになりました。単純な計算で、車載ソフトウェアが増加すればするほど、脆弱性リスクも高くなります。自動車メーカーやティア1は、安全性やプライバシーに関するリスクの可能性をできるだけ抑え、また新たに設けられたサイバーセキュリティ法規や基準を満たすために、脆弱性管理システムの導入を進めています。 同時に、多くの自動車メーカーが重要なコンポーネントのOTAアップデートや頻繁なソフトウェアリリースを含むCI/CD(継続的インテグレーション/継続的デリバリー)技術を採用するようになる中、製品開発の早い段階で車両脆弱性管理(VVM)を統合する傾向が顕著になっています。 この「シフトレフト」アプローチのメリットおよび、一般的に使用されているCI/CDツールとVVMとの統合の例を見ていきましょう。 自動車に特化した脆弱性管理が重要な理由 自動車専用のVVMソリューションは、最新のクルマが抱える安全面での固有の課題や複雑性に対処するよう設計されています。これらのツールは、ソフトウェアの脆弱性を特定する以外に、アセット管理、AUTOSAR との互換性、さらには電子制御ユニット(ECU)のハードウェアの脆弱性への対処、といった機能も併せ持っています。 例えば、車両アセットの中の脆弱性をピンポイントで特定するためには、脆弱性管理ツールは、自動車ECUの複雑な階層を自由に行き来できなければなりません。しかし自動車ECUには、多くの場合、複数のサプライヤーが提供するコンポーネントが組み込まれています。自動車専用ソリューションは従来のITツールと異なり、これらの階層に的を絞った可視性を提供することでこの問題に対処し、より効果的で正確な緩和戦略を実現します。 脆弱性管理のもう一つの課題は、自動車ECUには事前定義されたSBOMが搭載されていないことが多い、ということです。自動車専用VVMツールはこの情報を自動車用AUTOSAR ECUなどのバイナリーファイルから自動的に抽出するよう設計されているため、自動車メーカーは汎用ツールでは提供できない詳細なレベルで脆弱性を管理することが可能になります。 脆弱性の早期検出が迅速な問題解決につながる すでに述べたように、多くのティア1サプライヤーはコーディングやテストプロセスにかかる時間を短縮するために既にCI/CD技術を導入しています。ECUや他のコンポーネントのソフトウェアコードをゼロから開発するサプライヤーもいれば、複数のサブレベルのソフトウェアサプライヤーと連携するサプライヤーもいます。 自動車サプライチェーンは複雑であるため、ティア1はサプライヤーから受け取ったECUコンポーネントのソフトウェア構成を必ずしも認識しているとは限りません。ティア1は、OEMへ出荷する前に脆弱性の検査のためコードをスキャンしますが(これは事実上の要件になりつつあります)、そのためには開発プロセスにおいてコードを完全に可視化する必要があります。 ティア1は、脆弱性管理ツールをCI/CDパイプラインの他のツールと統合することにより、開発の初期段階で自動的に脆弱性を検出することができます。このアプローチにより、早め早めに先手を打ってプロアクティブに脆弱性に対処することができ、エンジニアはより迅速にコスト効率よく問題を解決することができます。 VVMをCI/CDパイプラインに統合する方法 では、ソフトウェア開発者の視点からはVVMをCI/CDに統合することはどういうことなのでしょうか。VVMをJenkinsと統合してソフトウェアのビルドとテストを自動化し、Jiraと統合して脆弱性のソリューションを記録し管理するシナリオを例にしましょう。 この統合により、開発者はJenkins内でテストフェーズの一環としてコードをスキャンして脆弱性を確認することができます。ここでのメリットは、JenkinsとVVM間で手作業によってファイルをダウンロード/アップロードする必要がなく、またビルドのセキュリティステータスに関するフィードバックをすぐに得られる点です。例えば、発見された脆弱性の数や重大度に基づいてビルドの成功と失敗を決定するルールをJenkins内で作成することができます。 例えば、あるECUに重大な脆弱性があるとVVMが検出したと仮定しましょう。VVMツールをJiraなどのプロジェクト管理ツールと統合すれば、分析および対策のタスクが社内のプロジェクトチームや開発チームの担当者に割り当てられます。担当するサイバーアナリストは、脆弱性を分析するうえで必要なすべての情報(「ユーザーストーリー」)をJiraから受け取り、その解決方法を見出し、対策を実施します。 社内で製品開発やテスト用に様々なCI/CDツール、あるいはレガシーシステムを使用している場合、自社で使用しているVVMソリューションが、CI/CDパイプライン内でシームレスに統合するために必要なAPIに対応しているかを確認する必要があります。ベンダーはスムーズな統合を実現するために様々なレベルのAPIドキュメントやサポートオプションを提供しています。 VVMをJenkinsと統合 先見の明をもって車両脆弱性管理を行う 自動車ソフトウェアやハードウェアの設計に脆弱性はつきものです。これを踏まえ、ティア1は脆弱性が重大なリスクになる前に優先的に脆弱性を特定して対処する必要があります。 先見性のある脆弱性管理ソリューションは、サイバーセキュリティ責任者がCI/CDパイプラインの不可欠な部分として脆弱性を検出し解決するのに役立ちます。脆弱性の検出を開発プロセスの初期段階に(テストとQAとともに)移行させることで、ティア1は市場投入までの時間を短縮できるだけでなく、時間、労力、コストを削減することができます。 車両脆弱性管理をCI/CDパイプライン内に統合するメリットについて詳しく知りたい方は、以下のリンクからホワイトペーパーをダウンロードできます
---
### Shifting Left in Automotive Cyber Security: An ROI-Driven Approach for Vehicle Vulnerability Management
> Learn about PlaxidityX's ROI-driven approach to vehicle vulnerability management and automotive cyber security.
- Published: 2023-09-20
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/shifting-left-in-automotive-cyber-security-an-roi-driven-approach-for-vehicle-vulnerability-management/
- Categories: Vehicle Vulnerability Management
- Tags: SBOM, Vehicle Vulnerability Management
- Translation Priorities: Optional
The explosive growth in vehicle software, driven by the emergence of software-defined vehicles (SDVs), has introduced major security challenges for the automotive industry. The math is simple: the more software you have in a vehicle, the greater the risk of having a vulnerability. To minimize potential safety and privacy risks and to comply with new cyber security regulations and standards, OEMs and Tier 1s are deploying vulnerability management systems. At the same time, as more and more automakers adopt CI/CD (Continuous Integration/Continuous Delivery) techniques, including OTA updates and frequent software releases for critical components, we're seeing a shift towards integrating vehicle vulnerability management (VVM) earlier in product development. Let's take a look at some of the advantages of this "shift left" approach, as well as examples of VVM integration with commonly used CI/CD tools. Why Automotive-Specific Vulnerability Management Is Crucial Automotive-specific VVM solutions are built to meet the unique safety and complexity challenges posed by modern vehicles. Beyond identifying software vulnerabilities, these tools integrate features like asset management, AUTOSAR compatibility, and even the ability to address hardware vulnerabilities in Electronic Control Units (ECUs). For example, to pinpoint vulnerabilities in vehicle assets, vulnerability management tools need to navigate the intricate hierarchies of automotive ECUs, which often include components from multiple suppliers. Unlike traditional IT tools, automotive-specific solutions fill this gap by offering targeted visibility into these hierarchies, allowing for more effective and precise mitigation strategies. Another vulnerability management challenge is that automotive ECUs often come without a pre-defined SBOM. Automotive-specific VVM...
---
### Enabling a Digital Driving Experience with End-to-End Cyber Security
- Published: 2023-09-13
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/blog-post/enabling-a-digital-driving-experience-with-end-to-end-cyber-security/
- Categories: Blog
- Translation Priorities: Optional
The automotive industry is in the midst of a digital revolution – and this transformation is powered by software. Software-defined vehicles (SDVs) are setting the tone for the industry, accompanied by massive resource investments of OEMs and Tier 1 suppliers in software development. We see CARIAD as a leader in this new software-driven world. We also share your vision around the development of a unified software platform and technology stack that will transform the car into a digital experience that seamlessly integrates with our digital lives. This will require universal connectivity and making vehicle data available anytime, anywhere. To enable automotive innovation in SDVs with minimum risk, each line of code, autonomous function, software-based service or OTA update must have the proper cyber security measures in place. For these reasons, cyber security and data privacy are becoming just as important as functional safety and quality for many OEMs. PlaxidityX (formerly Argus Cyber Security) understands these challenges and offers products that help secure this digital transformation. The Escalating Challenge of Automotive Cyber Security in the Digital Era As our cars become more connected and software-defined, they are exposed to greater cyber security risk. New vulnerabilities are published regularly, impacting millions of vehicles across virtually all brands. By exploiting specific vulnerabilities, bad actors can compromise safety-critical systems (e. g. , braking), access personal data, or even start a car from a remote location. In January 2022, 25 Tesla’s were hacked simultaneously by a 19-year-old IT specialist, who exploited a...
---
### ASPICEとサイバーセキュリティを連携させ品質管理を効率化させる方法
> 自動車ソフトウェア・システムエンジニアリングにおけるコンプライアンスのベースラインには、ASPICE (Automotive SPICE®) Cyber Securityが役に立ちます。
- Published: 2023-08-11
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/blog-post/aligning-aspice-and-cyber-security-for-more-efficient-quality-management/
- Categories: Blog
- Tags: ASPICE, Compliance
- Translation Priorities: Optional
車両アーキテクチャーとサービスがますますソフトウェア重視になっている中、OEMは、品質、安全性、セキュリティの向上を目的とする新たな規格や規制に対し、自社のソフトウェア・デファインド・ビークル(SDV)が、それらに準拠していることを保証しなくてはいけません。 自動車ソフトウェアとシステムエンジニアリングにおけるコンプライアンスと継続的改善のためのベースラインを確立する際の主要な標準として、 Automotive SPICE® (Software Process Improvement and Capability Determination)があります。 ASPICE の最新バージョン(4. 0)はドラフト版であり、2023 年 9 月にリリースされ、トレーニングと移行は 2025 年に行われる予定です。この記事では、ASPICE 4. 0 について、サイバーセキュリティ・プロセスとどのように関連するのか、また、新バージョンが今後 OEM、サプライヤ、ASPICE アセッサーに及ぼす影響について、ASPICE レベル2準拠のサイバーセキュリティソフトウェア企業の立場から、独自の見解を共有したいと思います。 Automotive SPICEとは? ドイツの VDA によって発行されている Automotive SPICE(別名 ASPICE)は、自動車用ソフトウ ェアサプライヤの開発プロセスの品質をガイド、測定、評価するためのプロセス、プラクティス、およ び評価手法を定めています。現在、ASPICE 評価は、システム要求分析、システムアーキテクチャ設計、ソフトウェア要求分析、プロジェクト管理、およびその他のトピックをカバーする、メーカーとサプライヤ間の共同プロジェクト作業に広く利用されています。ASPICE プロセス評価モデルは、プロセスの成熟度に応じて 6 つの能力レベルで構成されています。 ASPICE 4. 0の変更点 ASPICE 3. 1(現行バージョン)に対する ASPICE 4. 0 の主な変更点は、VDA スコープの縮小です。VDAとは、ソフトウェア開発プロセスが満たすべき、完全な ASPICE標準の必須要件を指します。この変更の背景には、迅速な開発プロセスを可能にするために、作業成果物の数を減らすという動機があります。 さらに、評価の複雑さを軽減し、透明性が高く、測定可能で客観的な方法で、プロジェクトあるいは企業の評価結果の比較が容易になります。 VDAのスコープ スコープの変更は、以下のプロセスに関するものです: 基本領域ー品質、プロジェクト管理、コンフィグレーションマネジメント、問題解決、変更要求 専門領域ーシステムエンジニアリングプロセス、ソフトウェアエンジニアリングプロセス、ハードウェアエンジニアリングプロセス、機械学習プロセス フレキシブル領域ーリスク管理、計測、リユース製品の管理、プロセス改善、製品リリース、ステークホルダー要求事項の抽出、バリデーション、サプライヤーモニタリング ASPICE 4. 0では、必須となる VDA 評価のスコープが縮小され、基本領域と少なくとも 1 つの専門領域が 含まれるようになります。また、OEM によっては、特定のビジネスニーズに応じて、フレキシブル領域の追加を求める場合もあります。 戦略 各プロセスの戦略(すなわち、会社の仕組み、プロセスの目標、オーナー、使用ツールなど)を文書化しなければなりません。これには時間がかかり、通常、数十ものドキュメントにもなります。ASPICE 4. 0 では、戦略がレベル 1 から外され、レベル 2 になりました。これらの文書を作成することは、多くの企業にとって障壁となっているため、この変更により、レベル1の認証取得が容易になると思われます。この変更は、要求事項そのものではなく、アセッサーが証拠を求めるレベルにおける変更となります。 ベース・プラクティス ベースプラクティスの数は削減されましたが、必要な作業成果物の 量には影響しないと私たちは考えています。これは、多くの場合、新バージョンでは 2 つのベースプラクティスが 1 つに統合されているためです。例えば、ASPICE3. 1 では、トレーサビリティに関するベースプラクティスと一貫性に関するベースプラクティスが1つずつありました。4. 0 では、トレーサビリティと一貫性を記録することが1つのベースプラクティスとなります。このため、プラクティスの数は減りますが、実際に作業が減るわけではありません。 アセッサーの専門性 ASPICE 4. 0では、アセッサーの認定方法が変更され、また、新しいプロセス領域が追加されました。このため、アセッサーにはより専門的な知識と技術が要求され、追加のトレーニングや試験が必要になります。必要な専門知識を提供するために、評価チームをおそらく拡大する必要があるでしょう。 一言で言えば、ASPICE4. 0の主な変更は、企業がどのようにソフトウェアを開発するかではなく、ア セッサーがどのように機能するかということです。ティア 1 サプライヤーやその他のソフトウェア企業にとって、これらのアセスメントにかかるコストは増加する可能性が高いと思われます。 ASPICE for Cybersecurity 2022年2月、VDAは、サイバーセキュリティ・エンジニアリングのためのプロセス参照および評価モデル(Cybersecurity PAM)に定められたサイバーセキュリティ・エクステンションにより、ASPICEのスコープを正式に拡大しました。このエクステンションは、OEM およびそのサプライヤのためのベースラインとして機能し、要求事項の抽出、サイバーセキュリティの実装、リスク処置の検証、およびリスク処置の妥当性確認を含むサイバーセキュリティ評価のための新たな領域を定義しています。 サイバーセキュリティ戦略を策定する OEM にとって、ASPICE のサイバーセキュリティ・エクステンション、CSMS、および ISO 21434 の違いを理解することは重要です。規制要件に基づけば、会社レベルで CSMS 監査を実施することが「必須」であることは明らかです。しかし、製品ごとに CSMS 監査を実施することや、開発プロセスの中で ASPICE サイバーセキュリティ・エクステンションを実装することは、現在のところ必須ではなく、各顧客固有の要件によって決定されます。 2022年6月、プラクシディティ エックス(旧アルガス)は他社に先駆けてASPICE for Cybersecurityのアセスメントを受けました。このアセスメントは、PlaxidityX Ethernet IDPS製品ラインに対して行いました。 私たち自身のASPICE導入経験により、お客様やパートナーに付加価値を提供することができます。 効率的な ASPICE 評価には、サイバーセキュリティ・バイ・デザインが必要 2024年7月には、すべての新車種または既存車種が、サイバーセキュリティに関するUNR155型式承認の対象となります。これらの型式承認要件を満たすため、メーカーは車両の設計、開発、運用、保守の各プロセスにサイバーレジリエンスを組み込んでいます。 自動車のコネクテッド化がすすみ、ソフトウェアが重視されるようになると、OEMは、機能安全性に劣らず、サイバーセキュリティも重要であることを認識するようになりました。品質の観点からは、経験上、私たちはサイバーセキュリティは機能の「上に」搭載されるべきではないと考えています。むしろ、Vモデルに従って、他の機能と同様に、ソフトウェアの設計プロセスの一部として扱われるべきです。プラクシディティ エックスでの取り組みを紹介すると、一例として、私たちの製品を設計する際、潜在的なサイバーセキュリティの脅威をそれぞれ個別の機能要件として扱います。これが、ASPICEレベル2で運用する企業がサイバーセキュリティの管理と実装を容易にする理由です。 サイバーセキュリティを別個の作業パッケージではなく、システム機能の一部として扱うことで、企業は CSMS 監査の実施に必要な複雑さと時間を大幅に削減することができます。このように、サイバーセキュリティは、各プロセスの ASPICE 戦略の中に含めるべきです。例えば、コンフィグレーションマネジメントの戦略文書がある場合、既存のプロセスの一部として、サイバーセキュリ ティについても言及すべきです。 最終的に、すべての戦略文書をアセッサーがレビューしなければなりません。プロセスと戦略の重複を排除することで、アセッサーは戦略のレビューをより効率的に管理および実施することができます。このため、ほとんどのアセッサーは、会社が ASPICE とサイバーセキュリティ(CSMS)プロセスを整合させ、所定の プロセスに関連するすべての機能を組み込むことを望んでいます。 プラクシディティ エックスがASPICEとサイバーセキュリティの専門知識を融合 ソフトウェア・デファインド・ビークルの時代においては、品質とサイバーセキュリティは切り離せないものだとOEMとティア1サプライヤーは理解しています。また、ソフトウェア設計とサイバーセキュリティを、自動車エコシステム全体の「Vモデル」の一部として組み込む本質的な必要性も理解しています。したがって、多くのOEMは、ASPICEとサイバーセキュリティの両方を理解する企業とパートナーを組みたいと考えています。 OEMとそのサプライヤーのCSMS実装を支援してきた豊富な経験に基づき、プラクシディティ エックスは、自動車メーカーがASPICEとサイバーセキュリティイニシアチブを整合し、合理化することを支援できるユニークな立場にあります。当社の比類なき自動車サイバーセキュリティの専門知識と充実した製品・サービスは、世界中の90社以上のメーカーから信頼を得ています。
---
### Aligning ASPICE and Cyber Security for More Efficient Quality Management
> ASPICE (Automotive SPICE®) Cyber Security stands out when establishing a baseline for compliance in automotive software systems engineering.
- Published: 2023-08-11
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/blog-post/aligning-aspice-and-cyber-security-for-more-efficient-quality-management/
- Categories: Blog
- Tags: ASPICE, Compliance
- Translation Priorities: Optional
As vehicle architectures and services become ever more software-based, OEMs must ensure that their software-driven vehicles (SDVs) meet and comply with new and evolving standards and regulations designed to enhance quality, safety and security. When it comes to establishing a baseline for compliance and continuous improvement in automotive software and systems engineering, one standard stands out: Automotive SPICE® (Software Process Improvement and Capability Determination). The new version of ASPICE (4. 0) is in draft and will be closed in September 2023, with training and transition expected to take place in 2025. As an ASPICE Level 2-compliant cyber security software company, we'd like to share our unique viewpoint on ASPICE 4. 0, how it relates to cyber security processes, and how the new version is likely to impact OEMs, suppliers and ASPICE assessors going forward. What is Automotive SPICE? Issued by the German VDA, Automotive SPICE (aka ASPICE) defines processes, practices, and an evaluation methodology to guide, measure and assess the quality of development processes for automotive software suppliers. Today, ASPICE assessments are widely used as part of joint project work between manufacturers and suppliers, covering system requirements analysis, system architectural design, software requirements analysis, project management, and other topics. The ASPICE process assessment model consists of six capability levels that reflect the maturity of a process. What's Different in ASPICE 4. 0? The main change in ASPICE 4. 0 vis-à-vis ASPICE 3. 1 (the current version) is the reduction of the VDA scope. VDA refers to the mandatory requirements...
---
### リモート/パッシブ・キーレス・エントリー・システムにおける脆弱性の軽減
> キーレスエントリーシステムのセキュリティ:RKEやPKEは自動車窃盗やハッカーに弱いシステムです。リスク軽減に向けて何ができるか、みてみましょう。
- Published: 2023-08-09
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/mitigating-vulnerabilities-in-remote-passive-keyless-entry-systems/
- Categories: Vehicle Vulnerability Management
- Tags: Cyber Trends, Security Research, Vehicle Vulnerabilities
- Translation Priorities: Optional
キーレス・エントリーおよびエンジンスタート・システムは、1990年代後半から2000年代前半にかけて現れ、当初は高級モデルなどのハイエンド車のみに搭載されていました。以降、リモート/パッシブ・キーレス・エントリー(RKE/PKE)機能は、自動車の機能として広く一般的になり、現在では販売されている大半の車両に標準装備として搭載されています。 キーレス・エントリーの普及と利便性は誰もが認めるところです。しかし、他の多くの技術進歩と同様に、RKE/PKEシステムはハッカーから、そして特にこの技術は自動車窃盗犯からの攻撃を受けやすいということが挙げられます。 このようなサイバーを悪用した自動車盗難の可能性を考慮し、自動車メーカー(OEM)と自動車サイバーセキュリティの専門家は、この脅威の軽減策を模索しています。この記事では、RKE/PKE攻撃の性質と進化、この技術がハッカーからの攻撃に対して潜在的に脆弱である理由、およびRF攻撃を軽減し、車両フリート全体のセキュリティを強化するためにOEMが取り得る対策について考察していきます。 リモートキーレスエントリー(RKE)システム リモート・キーレス・エントリーとは、物理的なキーを使わずに(例えば、ドアキーパッドやリモコンを使って)車に乗り込むことを指します。最初のRKEキーは、コード化されたパルス信号発生器とバッテリー駆動の赤外線放射器を使用していました。キーは特定の信号を送信するように設定され、車はその信号に反応するようにプログラムされていました。 リプレイ攻撃 この保護されていない信号を悪用して、ハッカーたちは「古典的な」リプレイ攻撃を考案しました。この攻撃では、キーと同じIR周波数を記録し、任意のタイミングで送信する装置を使用します。ドライバーが解錠ボタンを押すと、ハッカーはこの信号を記録し、後でそれを再生してドアを解錠することができます。ただし、この方法は、キーから送信される解錠の信号が常に同じ場合にのみ機能します。 Replay attack このような攻撃を防ぐため、キーから車に送信されるメッセージにローリング・コード・フィールドが導入され、同じ解錠信号が繰り返し使用されないようにしました。車とキーは、解錠用と施錠用の2つのコードシーケンスを共有します。例えば、Xnは解錠用のn番目のローリングコードであり、Ynは施錠用のn番目のローリングコードとします。すべてのシーケンスは、暗号論的擬似乱数生成器(CSPRNG)を使用して定義されます。解錠ボタンをn回目に押すと、キーはコードXnを送信します。車は受信したローリングコードと想定されるローリングコードとを比べ、それに応じて車の解錠または施錠が実行されます。 RKE攻撃に続く攻撃: ロールジャム攻撃 前項で紹介したセキュリティー改善策は、ローリング・コードをバイパスするように設計された「ロール・ジャム」攻撃に進化しました。ロール・ジャム攻撃は、ローリング・コードを記録し、キーからのRF信号を妨害して車がこれを受信することを妨害します。この攻撃シナリオは、以下のステップで構成されます。 ドライバーは解錠ボタンを押し、車のロックを解除する最初のコードであるX1を送信します。攻撃者は信号を妨害し、X1の値を入手します。妨害されたため、車は信号を受信できず、施錠されたままです。 ドライバーは再び解錠ボタンを押し、X2を送信します。攻撃者は信号を妨害し、X2の値を手に入れます。ステップ1と同様、車は施錠されたままです。 攻撃者はX1を送信し、ドライバーのために車を解錠します。 運転から戻ったドライバーは駐車し、施錠用のローリングコードであるY1を送信して車を施錠します。 その夜に、攻撃者は車の解錠コードX2を送信し、車を解錠することができます。 Roll Jam Attack セキュリティの観点から見ると、上記の実装の主な弱点は、解錠と施錠のローリングコードが互いに独立していることです。しかし、ローリングコードを共有するだけでは、ロールジャム攻撃の新たなバリエーションに対応できません。攻撃者は、連続して送信を妨害し、解錠コマンドのローリングコードを入手し、有効な施錠コマンドを作成することができます(または、施錠コマンドを妨害して、解錠コマンドを作成する逆のシナリオも成立します)。したがって、ローリングコードを共有することに加えて、攻撃者が送信を妨害して入手したローリングコードに基づいてコマンドを作成できないように、メッセージに署名する、または暗号化することが重要です。これは、AES-CMACやHMACのような、暗号学的に安全なメッセージ認証コード(MAC)と、長い共有秘密鍵を使うことで実現できます。 パッシブ・キーレス・エントリー(PKE)システム パッシブ・キーレス・エントリー(PKE)は、ドライバーがポケットからキーを取り出すことなく車に乗り込みエンジンを始動できるようにしたことで、利便性をより高いレベルに引き上げました。RKEから学んだ教訓に基づき、基本的なPKE通信は、キーの身元を認証するために車から送信されるチャレンジと、キーから送信される暗号計算されたレスポンスで構成されています。 ほとんどのPKEでは、キーと車は、レスポンスの生成と検証に使用される長いランダムな秘密鍵を共有しています。キーはチャレンジに対して暗号関数を実行し、レスポンスを生成します。 リレー攻撃 PKEはキーと車の近接性に基づいているため、送信機の電波が到達できる距離に固有の制約があります。この距離の制約を回避する方法として考案されたのが、悪名高い「リレー攻撃」です。これは2人組の攻撃者が協力して実行します。一人の攻撃者は車の近くにいて、もう一人はキーの近くにいます。それぞれの攻撃者は、長距離(例えば4GやWiFiを使用して)対応のトランシーバーを使い、車とキーから送信されたメッセージを転送します。 下図のように、攻撃者Aはチャレンジを送信させ、それを攻撃者Bに転送します。攻撃者Bはこれをキーに送信し、キーはチャレンジに対しレスポンスを送ります。攻撃者Bはそれを攻撃者Aに転送し、攻撃者Aはそれを車に再送信します。 Relay attack リレー攻撃を軽減するためのベストプラクティス 緩和策1:応答時間の上限を設定する リレー攻撃を軽減する方法の1つは、応答時間に上限を設けることです。波動は光速で伝搬するため、車のチャレンジ送信からレスポンス受信までの往復時間を測定することで、距離の上限を推定することが可能です。UWB技術を使えば、精度の高い測定が可能になります。 緩和策2:RSSIを使用してキーの位置を推定する もう1つの緩和策は、信号強度によってキーと車の距離を特定するRSSI(受信信号強度インジケーター)を使ってキーの位置を推定することです。車は複数のアンテナからチャレンジを送信します。キーは各アンテナのRSSI値で応答し、車はそれらの値を使って位置を推定できます。 しかし、ハッカーが位置推定アルゴリズムを「出し抜く」方法があります。RSSIはキー側で測定されるため、2人組の攻撃者は、キーの近くで増幅したチャレンジ信号を送信してRSSI値を増大し、キーが実際よりも近くにあると車を「騙す」可能性があります。 この緩和策のもう1つの問題は、その値が署名または暗号化されていないことです。つまり、デジタル攻撃者は復調器を使って送信されたデータを抽出し、RSSI値を変更した後、再び信号を変調することができます。ローカライズにRSSIを使用する場合は、これらの値に署名または暗号化することをお勧めします。 緩和策その3:モーションセンサーの統合 リレー攻撃を防ぐため、キーによっては、アイドル期間を検出するモーションセンサーを組み込んでいます。設定された秒/分後に動きが検出されなければ、キーはチャレンジに応答しなくなります。言い換えれば、キーが一晩中キッチンテーブルの上にあれば、攻撃者はあなたの車に対してリレー攻撃を行うことはできません。 既知のチャレンジ・リレー攻撃 もう1つの理論的なハッキングシナリオは、チャレンジが予測可能であることを悪用する既知のチャレンジリレー攻撃です。例えば、次のチャレンジは前のチャレンジに1を足したものです。例:0, 1, 2, ... , 0xFFFFFFFF。またはチャレンジがLCG、LFSRなどの暗号学的にセキュアでない乱数生成関数を使用して生成される場合、PRNG関数を知っているか、それを正しく推測した攻撃者は、完全なチャレンジシーケンスを作成することができます。 古典的なリレー攻撃(前述)と同様、このシナリオでもキーと車は離れていますが、今回は攻撃者は1人だけです。彼は車からのチャレンジを送信させ、次に車が送信するチャレンジを予測します。その後、攻撃者はキーに近づき、予測したチャレンジを送信します。キーはそれにレスポンスを送信します。その後、攻撃者は車に戻り、別のチャレンジを送信させます。そのチャレンジが攻撃者の予測したものであった場合、攻撃者はキーから記録したレスポンスを送信することでそのチャレンジに対応し、車を解錠して発進させることができます。 Known Challenge Relay Attack このシナリオを防ぐために検討すべき1つの方法は、高いエントロピーのシードを持つCSPRNGを使用することで、確実にチャレンジが予測不可能なものにすることです。もう一つの提案は、車に全てのチャレンジに署名させることです。こうすることで、たとえ攻撃者がチャレンジを予測できたとしても、レスポンスを得るためにキーに送信できなくなります。 セキュアな実装が勝負 自動車の盗難は、自動車が発明されて以来、ずっと問題となっています。今日に至るまで、使用するツールが進化しているものの、セキュリティの専門家と窃盗犯のいたちごっこが続いています。 RKEとPKEは、OEMにとって多くのセキュリティの課題を生み出しています。安全でないRKEの実装により、最近のロールバック攻撃はじめ、さまざまなバリエーションのリプレイ攻撃やロールジャム攻撃にさらされることが分かっています。攻撃者がキーから入手したメッセージを変更できないように、メッセージは署名または暗号化されるべきです。 PKEの実装に関しては、ランダム化のために高エントロピーのシードを使用し、チャレンジを暗号化するためにCSPRNGを適用することによって、確実にチャレンジを予測不可能なものにすることが重要です。RSSIを使用して位置を推定する場合、これらの値も改ざんを防ぐために署名または暗号化する必要があります。 さらに、欠陥のある実装の中には、セキュリティ対策をアップグレードすることで軽減できるものもあります。多くの場合、既知の脆弱性を修正するには、BCMおよび/またはキーのいずれかのソフトウェア更新で十分な場合があります。このため、オーバー・ジ・エア(OTA)アップデート機能を提供するOEMは、必然的に発生する次世代の攻撃に効率的に対応するための最良の体制を整えていると言えます。 自動車盗難を防ぐ万能策はありませんが、上記の軽減策と対策を適切に実施すれば、キーレス・エントリーのハッキングの大半を回避するための強力なベースラインになると思われます。
---
### Mitigating Vulnerabilities in Remote/Passive Keyless Entry Systems
> Keyless entry systems security: RKE/PKE systems are susceptible to attacks from hackers and car thieves. Learn more about mitigating the risks
- Published: 2023-08-09
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/mitigating-vulnerabilities-in-remote-passive-keyless-entry-systems/
- Categories: Vehicle Vulnerability Management
- Tags: Cyber Trends, Security Research, Vehicle Vulnerabilities
- Translation Priorities: Optional
Keyless entry and ignition systems began to appear in production in the late 1990s and early 2000s, and were initially available only on luxury models and other high-end vehicles. Since then, remote/passive keyless entry (RKE/PKE) features have become increasingly common across the industry and are currently available as standard equipment on the vast majority of vehicles sold. The popularity and convenience of keyless entry technology are indisputable. However, like many other technology-driven advancements, RKE/PKE systems are susceptible to attacks from hackers – and in this case - car thieves. In light of this potential cyber-enabled auto theft, vehicle manufacturers (OEMs) and automotive cyber security experts are working to find ways to mitigate this threat. This post examines the nature and evolution of RKE/PKE attacks, why these technologies are potentially vulnerable to hackers, as well as the measures OEMs can take to mitigate RF attacks and strengthen the overall security of their vehicle fleets. Remote Keyless Entry (RKE) Systems Remote keyless entry refers to entering the car without using a physical key (e. g. , using a door keypad or fob). The first RKE key fob used a coded pulse signal generator and a battery-powered infra-red radiation emitter. It was configured to transmit a specific signal, and the car was programmed to respond to that signal. The Replay Attack Taking advantage of this unprotected signal, hackers devised the "classic" replay attack, which uses a device to record and transmit at the same IR frequency as the key fob. When...
---
### 「CANインジェクション」による自動車盗難を防ぐためにOEMができること
> CANインジェクションが高級車盗難のハッキング手法としてニュースになっています。この手法の仕組みと自動車メーカーに何ができるか、検証してみましょう。
- Published: 2023-04-25
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/blog-post/what-oems-can-do-to-prevent-can-injection-car-theft/
- Categories: Blog
- Tags: CAN IDPS, CAN Injection, Cyber Trends, ECU, Vehicle Vulnerabilities
- Translation Priorities: Optional
ここ数週間、MarketWatch、MSN、The Telegraphなどの自動車関連ウェブサイトや世界的なメディアは、自動車盗難の最新トレンドである「CANインジェクション」、より詳しい専門用語では「ヘッドライトCANインジェクション」と呼ばれるハッキングの手法に関するニュースでもちきりです。 自動車泥棒が、駐車中の車のエンジンを不正にかけて持ち去ることが簡単にできてしまったことで、車の所有者と自動車メーカーの双方に大きな不安をもたらしています。
Noam Herzenstein、プロダクトマーケティングディレクター ここ数週間、MarketWatch、MSN、The Telegraphなどの自動車関連ウェブサイトや世界的なメディアは、自動車盗難の最新トレンドである「CANインジェクション」、より詳しい専門用語では「ヘッドライトCANインジェクション」と呼ばれるハッキングの手法に関するニュースでもちきりです。 自動車泥棒が、駐車中の車のエンジンを不正にかけて持ち去ることが簡単にできてしまったことで、車の所有者と自動車メーカーの双方に大きな不安をもたらしています。 このブログでCANインジェクションの仕組みと自動車メーカーに何ができるか、検証してみましょう。 自動車盗難と自動車の歴史はほぼ一緒 1919年、アメリカのダイアー法(National Motor Vehicle Theft Act)は、盗難車の州間輸送を連邦犯罪としました。最初の車両盗難防止装置である取り外し可能なステアリングホイールは、1920年代に市場に登場しました。これは、ドアロックが発明される前のことです。1950年代には自動車用アラームが普及し、その後、エンジンをかけるためにスマートキーフォブを所持する必要があるイモビライザーが登場しました。しかし、車上荒らしはすぐにこれらの技術に適応しました。車の持ち主の家に侵入してキーを盗むのではなく、無線でキーをコピーして車を乗っ取る方法を開発したのです。これに対抗するため、キーの無線信号を遮断する金属製のキープロテクターが開発されました。このように、自動車泥棒とセキュリティ専門家のいたちごっこが続いています。 最新の印象的な方法 このビデオを見てください。泥棒は車を壊さず、2分以内に2021年型トヨタRAV4の盗難に成功しています。彼らはスマートキーにアクセスすることはせず、代わりにヘッドライトに注目しました。より詳しく説明すると、バンパーを外し、ヘッドライトのプラグを抜いて配線にアクセスしたのです。最新鋭のセキュリティシステムを搭載したクルマに対して、どのようにヘッドライトの配線から侵入して盗むことができたと思いますか?CANネットワークのセキュリティ専門家であるケン・ティンデル博士は、自身のブログでその謎を説明しています。泥棒は「CANインジェクション」と呼ばれる手法を使って、車のロックを解除し、イモビライザーをバイパスしてエンジンを始動させたのです‐しかも、鍵を使わずに、2分以内にすべての作業を終わらせています。 CANとは、どのようなもので、どのように侵入されるのか? コントローラエリアネットワークは、CANバスとも呼ばれ、何十年も前からある一般的な車両ネットワークプロトコルです。複雑な専用配線を必要とせず、電子制御ユニット(ECU)同士の通信を可能にします。最新の自動車には、ブレーキ、エアバッグ、インフォテイメント、ドアロック、エンジン、そしてご想像の通り、ヘッドライトなど、あらゆる電子部品を制御するECUが100個以上搭載されていることがあります。自動車に使用されるECUは複数のネットワークに接続されており、通常、ゲートウェイとして機能する特殊なECUで互いに接続されています。では、ハッカーはどのようにしてこのネットワークに侵入するのでしょうか。コネクテッドカーでは、技術のあるハッカーはECUのソフトウェアコードの脆弱性を突いて、リモートで車に侵入しようとすることがあります。しかし、今回の 「ヘッドライト泥棒」は、リモート接続を使用していません。その代わりに、ヘッドライトという物理的な侵入口を選び、バンパーを引き抜いてヘッドライトに接続するワイヤーを露出させ、配線にアクセスしました。そして、ハッカーはシンプルな電子機器(ダークウェブでプロの窃盗団が購入可能)をその配線に接続して、ネットワークに侵入しました。 「CANインジェクション」でスマートキーになりすます 自動車盗難の次のステップは、スマートキーになりすますことです。スマートキーは、自動車に鍵が本物であることを証明するために、暗号化されたメッセージを交換するように設計されています。暗号を解読するのは大変な作業であるため、泥棒は脆弱性のある経路を攻撃します。CANバスに侵入し、鍵の有効性が確認されたので、イモビライザーを無効にするように、という偽メッセージを送信するのです。そして仕上げに、次の偽メッセージをドアロックECUに送信して、車のロックを解除させ、車に乗り込んで走り去ったのです。 CANインジェクションの引き起こす問題 CANインジェクションを使った盗難は、盗難車のオーナーに苦痛をもたらしますが、OEMにとっても大きな問題です。車が盗まれやすいという評判を得たOEMが受ける金銭的ダメージは大きく、特定のメーカーやモデルの販売に影響を及ぼす可能性があります。この問題に対処するために物理的なリコールが必要な場合、OEMのコストは大きく膨らみます。盗難の増加は、保険金を支払わなければならない保険会社にとっても大きな問題になります。最終的には、保険会社が保険料の値上げを余儀なくされ、最悪の場合、盗難の多い地域では特定の車の保険加入を拒否されるなど、最終的に消費者にしわ寄せがいくことになります。 OEMの反撃方法 非常に効果的で簡単に実施できる対策として、車両のCANネットワークに侵入検知・防止システム(IDPS)を導入することができます。IDPSソフトウェアはコンピュータネットワークを監視し、悪意のある車載通信を検出します。 IDPSは、通信の不規則性や想定された順番から逸脱した場合、これを認識します。これは、次のようないくつかの場合で検知できます: メッセージの内容 - 各メッセージには、あらかじめ定義された構造と許容値のセットがあります。IDPSは、この構造および値に違反した場合に、それを検出することができます メッセージ送信タイミング - CANバス上の各メッセージには、それぞれ送信方法と想定される間隔があります。例えば、周期的なメッセージは、サイクルタイムごとに1回だけバス上に表示されることが期待されます。このタイミングから逸脱した場合、たとえメッセージがうまく構成されていたとしても、IDPSによって検出されます(下図参照)。 パターン認識 - 特定のプロセスや特定の攻撃を想定すると、メッセージの既知のパターン(またはその欠如)を確認することが期待されます。IDPSは、このようなパターンを検知し、必要に応じて警告するように設定することができます。 ソフトウェアソリューションであるIDPSは、ハードウェアの追加や物理的な変更を必要とせず、ソフトウェアアップデートによりデプロイすることが可能です。さらに重要なことは、すでに路上を走っている車両にもOEMがこの保護機能を導入できることです。 車両のアーキテクチャに応じて、IDPSをゲートウェイECUに実装し、重要なECUへ攻撃が広がるのを阻止するか、または、重要なECU自体に実装することが可能です。下図は、IDPSをゲートウェイに配置した場合の攻撃防止を示したものです。送信された偽メッセージはゲートウェイに到達し、エンジン制御ECUなどの重要なコンポーネントに到達する前にブロックされます。 また、IDPSがエンジン制御ECUに実装されている場合、不正なメッセージはゲートウェイを通過することになります。しかし、エンジン制御ECUのIDPSは偽メッセージを検知してブロックするため、例えば、イモビライザーが車の始動をすることはありません。 どちらの場合も、重要なECUは悪意のあるメッセージの影響を受けないため、泥棒は実際には何もできません。 追加で検討すべき防御層 車載IDPSは、悪意のあるメッセージを検出し、重要な車両部品に影響を与えるのを防ぐ、最初の防御ラインです。さらに、OEMが導入できる追加の防御層があります: 車両脆弱性管理 - このツールは、車両のソフトウェア部品表(SBOM)を継続的に分析し、公開または非公開の脆弱性を検出します。自動車のサイバー攻撃は通常、1つまたは複数のソフトウェアの脆弱性を悪用して、自動車内のコンポーネントに侵入し、侵害することで発生します。新たに発見された脆弱性に対し、定期的に対処することで、ハッカーの侵入はより困難になります。 車両セキュリティ・オペレーション・センター(VSOC)による車両監視 - OEMはVSOCを使用して数百万台ものコネクテッドカーを監視し、機械学習アルゴリズムを活用して異常を検知し、サイバーセキュリティ関連のインシデントを発見します。 自社に最適なソリューションがわからない場合、プラクシディティ エックス(旧アルガス)の自動車サイバーセキュリティの専門家が、特定の車両アーキテクチャを分析し、最適な提案をいたします。
---
### What OEMs Can Do to Prevent “CAN Injection” Car Theft
> Prevent CAN Injection car theft: One very effective measure is to deploy an Intrusion Detection and Prevention System (IDPS) in the vehicle’s CAN network.
- Published: 2023-04-25
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/blog-post/what-oems-can-do-to-prevent-can-injection-car-theft/
- Categories: Blog
- Tags: CAN IDPS, CAN Injection, Cyber Trends, ECU, Vehicle Vulnerabilities
- Translation Priorities: Optional
In recent weeks, automotive websites and global media outlets, such as MarketWatch, MSN, and The Telegraph, have been packed with news about the latest trend in car theft – a hacking technique known as “CAN Injection”, or in more graphic jargon: “Headlight CAN injection.” The ease with which car thieves can break into, start and drive away with a parked car has created a major ruckus among both car owners and automakers.
In recent weeks, automotive websites and global media outlets, such as MarketWatch, MSN, and The Telegraph, have been packed with news about the latest trend in car theft - a hacking technique known as “CAN Injection”, or in more graphic jargon: “Headlight CAN injection. ” The ease with which car thieves can break into, start and drive away with a parked car has created a major ruckus among both car owners and automakers. Let’s examine how CAN injection works and what automakers can do about it. Auto theft has been around as long as automobiles themselves Back in 1919, the Dyer act in the US, also known as the National Motor Vehicle Theft Act, made the interstate transport of stolen vehicles a federal crime. The first vehicle anti theft device - a removable steering wheel - hit the market during the 1920s. This was before door locks were invented. Car alarms took off during the 1950s, followed by immobilizers that required having possession of a smart key fob to start the engine. But car thieves adjusted quickly. Rather than breaking into a car owner’s residence to steal the key, they developed a way to wirelessly copy the key, and thus gain full access to the car. In response, metal key protectors were invented to block the key’s wireless signal - and so the cat-and-mouse game between thieves and security professionals continues. The latest twist is impressive As shown in the following video , thieves stole a 2021 Toyota RAV4 in under...
---
### 少量生産を行うOEM向けの自動車サイバーセキュリティのベストプラクティス
> 2024年、すべての新型/継続生産の自動車モデルがUNR155サイバーセキュリティ型式承認の対象となります。準備はできていますか?
- Published: 2023-03-26
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/blog-post/automotive-cyber-security-best-practices-for-small-series-oems/
- Categories: Blog
- Tags: Compliance, small-series, UNR155
- Translation Priorities: Optional
Jesse K. Sultanik, ビジネスデベロップメントディレクター 2024年7月には、すべての新規または既存の「車種」が、サイバーセキュリティに関するUNR155の型式承認の対象となります。これは、業界にとって、そして世界中のドライバーと乗客の安全にとって、大きなマイルストーンになります。 間もなく施行されるこの規制により、規模を問わず、自動車メーカーは無数の課題に対応することを求められます。こうした課題は、年間生産台数が1万台以下のような少量生産を行う自動車メーカーにとって、特に深刻なものとなる恐れがあります。 技術に精通したEVのスタートアップであれ、歴史のある商用車メーカーであれ、小量生産を行うOEMは、新しいサイバーセキュリティ要件を満たすために、いくつか独自のハードルを越えなければなりません。 少量生産を行うOEMがこの新しい世界を切り開くために、サイバーセキュリティの主要な課題を取り上げ、サイバーセキュリティ設計に優れた車両と管理システムへの移行を行いやすくするためのベストプラクティスについて以下にまとめました。小量生産OEM向けのcompliance starter kitの詳細は、リンクからご覧いただけます。 少量生産OEMは一様ではありません サイバーセキュリティに対する意識と準備の観点から、ほとんどの少量生産を行うOEMは、一般的に2つのカテゴリーに分類することができます: 1)ニッチ市場を主なターゲットとする歴史のある少量生産OEM(例えば、ハイエンドの高級車メーカー、セメントミキサーなどの特殊用途車メーカー、バスなどの商用車メーカー)、2)生産プロセスにアジャイル開発とソフトウェア中心主義を取り入れている過去10年間に創業した電気自動車(EV)スタートアップ企業 当然ながら、歴史のあるOEMとEV新興企業はそれぞれ異なる能力と文化を持っており、サイバーセキュリティに対する準備や、自動車の開発、製造、管理/保守におけるサイバーセキュリティのコントロールとプロセスを適用する能力に違いがあります。EVのOEMは、サイバーセキュリティの課題の理解という点では従来のOEMより先行している傾向がありますが、自動車規制の要件を満たすために必要とされる体系的で、反復可能な、認可され得るプロセスという点では経験が浅いようです。 しかし、こうした違いにかかわらず、あらゆるタイプの少量生産OEMに共通するサイバーセキュリティ・コンプライアンスの課題は数多く存在します。 複数の攻撃対象領域における課題をプロファイルする 少量生産メーカーの現状と関係なく、自動車のサイバーセキュリティ・コンプライアンスは非常に負担が大きいものです。サイバーセキュリティに関する検討をせずに新車の開発を始めたケース、あるいは、認可された既存の車両を継続して販売するつもりのOEMのケースを考えてみてください。こうしたケースでは、予期せぬ新たな出費と遅延を伴う変更要求が発生する可能性があります。 組織的・技術的なサイバーセキュリティの要件は、車両型式承認や販売の前提条件となっています。UNR155は、車両のプログラムや管理システムにおいて、サイバーセキュリティを「あると便利」から「なくてはならない」ものへと変化させています。それに伴い、少量生産OEMは、サイバーセキュリティに関するエンジニアリング、運用、管理のすべてのタスクについて、自分たちが利用可能な能力を評価し、成長させています。 少量生産OEMのタイプにより、課題は少しずつ異なります。技術に精通したEVのOEMは、ソフトウェア指向が強く、設計段階からサイバーセキュリティの必要性を認識しているかもしれませんが、歴史のある少量生産OEMに比べ、車両認証や自動車の市場投入に関する経験が少ない可能性があります。 いずれにせよ、歴史のあるOEMもEV新興企業も、サイバーセキュリティのノウハウやスキルセットを組織全体および車両プログラムに組み込んでいく必要があります。これらの要件を満たすために、OEMは能力を強化し、必要な作業や規模を評価し、コンプライアンスに向けた道筋を調整・計画する必要があります。 このような状況で、少量生産OEMは、人材と予算の二重の課題と向き合っています。自動車業界では、長い歴史を持つ企業であっても、利益の圧迫という課題に面していることは広く知られています。まだ第一世代、第二世代の自動車の販売規模を拡大していない新興OEMにとって、投資家の期待とサイバーセキュリティに関する追加の開発作業の必要性を整合させることは難しいかもしれません。 要件と投資額および能力の間にギャップがあるため、少量生産OEMは、サイバーセキュリティ担当ではないスタッフにサイバーコンプライアンスプロジェクトを任せています。多くの場合、機能安全や品質保証のマネージャーの責任範囲が増えることになります。 このアプローチは、一定のコスト感覚を保ちながら、新しい要件を満たそうとする努力を示しています。とはいえ、サイバー専門家ではない人に、サイバー関連の課題を克服するためのスキルやノウハウがすべて備わっているとは言えません。そのため、多くの少量生産OEMは、自動車サイバーセキュリティベンダーに目を向け、自社のニーズに合うような機能および製品を見つけて活用しています。 これらのベンダーと提携することで、少量生産を行うOEMは、プロセス導入や技術的対策の実施に関する経験を活用することができます。多くの場合、ベンダーは少量生産OEMが必要とするものを提供できます。例えば、要件を分析するための適切な知識ベース、サイバーセキュリティの実装作業(プロセスまたは製品)の経験、コンプライアンスの適用範囲および適切なリスク管理に必要なさまざまなサイバーセキュリティ対策(脅威監視、脆弱性スキャン、アクティブ検知、防御など)を提供できます。 少量生産を行うOEMにとってのベストプラクティス 上記の課題に効率的に取り組むために、少量生産OEMは、セキュアな自動車と製造組織を支援する以下の戦略を採用することができます。 新しい規制要件並びに、業界の最先端基準を満たすために、「サイバーセキュリティマネジメントシステム」におけるサイバーセキュリティの方針、プロセス、および手順を実装しましょう。UNR 155は要件をまとめているかもしれませんが、ISO/SAE 21434とASPICEは、安全とサイバーセキュリティ開発のための追跡可能で再現性のあるフレームワークを示しています。 車両、そのシステム、サプライチェーンに対する潜在的なサイバー脅威を理解するために、徹底したリスク評価を行いましょう。このような評価に基づき、適切なセキュリティ概念と要件を開発することができます。こうした活動に関するガイダンスは、ISO/SAE 21434サイバーセキュリティガイドに記載されています。 セキュアコーディング、ペネトレーションテスト、ファジングテスト、脆弱性管理、侵入検知・解析、VSOCなど、分野横断的にサイバーセキュリティの意識とベストプラクティスの採用を高めるため、従業員に研修・教育を提供しましょう。 サイバーセキュリティプロセスの確立、監視・分析目的のサイバーセキュリティコントロールの実装など、対象となる活動を加速させるために、ベンダーとの連携を検討しましょう。複数の自動車サイバーセキュリティ領域をカバーするような機能を提供するベンダーは、少量生産メーカーの担当者の時間とリソースを節約することができるかもしれません。 UNECEが認定した技術サービスや試験・検査・認証機関と連携しましょう。完成車であろうとコンポーネントシステムの開発であろうと、結果として最終製品におけるコンプライアンス勧告や決定を行うような組織から継続的にフィードバックを受けることは、非常に有益です。 すべてのソフトウェア材料、バージョン、アセットなどを含むデータベース、すなわちソフトウェア部品表(SBOM)を体系的に維持管理することにより、新規あるいは既存の脅威や脆弱性に対するリスクの程度を決定しましょう。メーカーは、最新のリスク分析を求められており、常に現場において、車両及び車両部品に対する既知の脆弱性を把握できるようにする必要があります。 サイバーセキュリティシステム、プロトコル、対策計画を定期的に見直し、更新し、継続的なコンプライアンスと進化するサイバー脅威に対する防御を確実なものにしましょう。新しいリスク、脆弱性、技術を想定した定期的なリスクアセスメントは、UNR155で要求されており、ライフサイクルを通して適切なリスク管理を行うためにも必要です。さらに、UNR155に準拠するために、OEMのCSMSプロセスは3年ごとに再認証が必要になっています。これは、新しい脅威や進化する脅威とともに、新しく得た知見が関連するリスク管理プロセスに組み込まれていることを確認するためです。 新型車にセキュリティセンサーを搭載し、これらのセンサーとサービスレイヤインフラ(車両通信とコネクテッドサービス)から収集したデータを分析するために、クラウドベースのサイバーセキュリティを実装しましょう。これらの対策は、基本的なインシデント管理と報告、サイバー脅威の調査、攻撃の緩和のために重要です。 サイバー脅威、脆弱性、攻撃の特定と、セキュリティ関連の設定やコンポーネントをOTA(Over-the-Air)アップデートで更新する機能を両立させましょう。インシデントの影響を最小限に抑えるため、リンプホームモードや機能の無効化など、フリート全体の対応も検討しましょう。 セキュリティ関連データ(リスクアセスメント結果、テスト結果、要件文書など)の管理及び利用を支援するセキュリティ帳簿ツールを使用しましょう。一部のツールでは、リスク識別、影響分析、トレーサビリティなどの活動を自動化でき、効率性、知識の再利用、コンプライアンスの向上に役立てることができます。 アフターマーケットのハードウェア/ソフトウェアを通じて車両にもたらされるリスクに対処するため、アフターマーケット製品と互換性のある車両領域からの通信を検査しましょう。物理的な分離方法に加え、OS/ハードウェア/認証メカニズムなど、他の分離技術も確立しましょう。少量生産OEMの場合、この種のリスクは、車両の使用目的に応じた脅威分析の範囲で対処することが特に重要なことがあります。 まとめ 少量生産を行うOEMは、UNR155の規制を遵守し、堅牢なサイバーセキュリティシステムを開発する上で大きな課題に直面しています。これらの課題を軽減するために、ソフトウェア・デファインドなコネクテッドカーを提供するOEMがコンプライアンスを確保し、サイバー脅威のリスクを軽減し、事業継続を確保するために参考にできるベストプラクティスとガイドラインがあります。外部の専門家、サプライヤー、ベンダーと緊密に連携することで、つまりバリューチェーンの中にある利用可能なサイバーセキュリティのノウハウを活用することで、少量生産を行うOEMはサイバー脅威がもたらす課題を克服し、可能性のある新しいビジネスモデルの価値を最大化することができます。
---
### Automotive Cyber Security Best Practices for Small-Series OEMs
- Published: 2023-03-26
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/blog-post/automotive-cyber-security-best-practices-for-small-series-oems/
- Categories: Blog
- Tags: Compliance, small-series, UNR155
- Translation Priorities: Optional
Jesse K. Sultanik, Director of Business Development In July 2024, all new or existing “vehicle types” will be subject to UNR 155 type approval for cyber security. This is a huge milestone for the industry, and for the safety of drivers and passengers worldwide. This upcoming deadline introduces myriad challenges for automakers of all shapes and sizes. These challenges may be even more acute for small-series automotive manufacturers, i. e. companies producing up to 10,000 vehicles per year. Whether a tech-savvy EV startup or a traditional commercial vehicle manufacturer, small-series OEMs must cross several unique hurdles on their way to meeting the new cyber security requirements. To help small-series OEMs navigate this brave new world, we’ve highlighted the key cyber security challenges and outlined best practices for managing the transition to cyber-secure vehicles and management systems. Learn more about our compliance starter kit for small-series automotive manufacturers. Small-Series OEMs Aren’t Created Equal In terms of cyber security awareness and preparedness, most small-series manufacturers can be grouped into two general categories: 1) traditional small-series OEMs that primarily target niche markets (e. g. , manufacturers of high-end luxury cars, special purpose vehicles such as cement mixers or commercial vehicles like coach and bus); and 2) electric vehicle (EV) startups founded in the last decade that have infused agile development and software-centricity to the production process. Naturally, traditional OEMs and EV startups have different competencies and cultures, affecting their cyber security readiness and ability to apply cyber security controls and processes to vehicle...
---
### Alexa(アレクサ)、サイバー攻撃から保護されていますか?
> バーチャル・アシスタント技術は、30年以上前の小さな一歩から着実に進歩しています。今日のデジタルに精通したミレニアル世代は、AIを搭載したバーチャル・アシスタントやチャット・ボットが提供する高度に個人向けに最適化されたサービスを、家庭でも職場でも期待するようになってきています。
- Published: 2023-02-20
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/unr/alexa-are-you-protected-against-cyber-attacks/
- Categories: UNR
- Tags: Alexa, UNR155, Vehicle Vulnerabilities
- Translation Priorities: Optional
バーチャル・アシスタント技術は、30年以上前の小さな一歩から着実に進歩しています(IBMのサイモンに心当たりはありませんか)。今日のデジタルに精通したミレニアル世代は、AIを搭載したバーチャル・アシスタントやチャット・ボットが提供する高度に個人向けに最適化されたサービスを、家庭でも職場でも期待するようになってきています。 バーチャル・アシスタントは、機械学習と自然言語処理を統合し、音声コマンドを受け付け、希望する動作(例:曲を再生する、アプリを開く、目覚まし時計を設定する)を実行します。スマートフォンに初めて搭載された最新のデジタル・バーチャル・アシスタントはSiri(2010年)で、すぐにAmazonのAlexa、MicrosoftのCortanaなどが続きました。その後、この技術はスマートホームにも導入され、スマートフォンのアプリからサーモスタットや照明などのIoT対応家電を遠隔操作するために、バーチャル・アシスタントが利用されるようになっています。 こうしたAIを利用した技術が進化を続ける中(ChatGPTは最新の技術躍進を示しています)、分野を超えた革新的なソリューションに新たな可能性が広がっています。 Amazon Alexaが音声AIを自動車に導入 バーチャル・アシスタントが自動車に搭載されることは されることは、消費者にとって特別興味を引くことです。自動車が家庭やオフィスの延長となり、毎日何時間も運転席に座っているようなドライバーにとって、より生産的に過ごせるようになることが期待できます。 ドライバーが車と家の差を縮められるように、自動車メーカー(OEM)は、Siri(Apple CarPlay)やAlexaなどの音声起動型パーソナル・アシスタントを統合し、車両システムに接続するようになってきています。これにより、ドライバーは、家を出る前に遠隔でドアの施錠や開錠、エンジンの始動、車内温度の調整などを行うことができるようになります。また、慌てて家を出ることになった場合、Alexaが車のフロントシートから玄関の施錠、ポーチライトの点灯、警報システムの起動を行ってくれます。 運転中は、Alexaがルートを提案し、EVドライバーの最大の悩みである最寄りの充電ステーション探しをサポートします。Alexaは、充電ステーションまで案内してくれるだけでなく、簡単な音声コマンドでサービスの支払いも行います。 増加する自動車サイバー攻撃のリスク ソフトウエア・デファインド・ビークルはもはや未来のものではなく、すでに製造されており、今後数年間の自動車産業に影響するでしょう。自動車1台あたりの平均ソフトウェアコード行数は、2015年の1億行から2020年には2億行と倍増しています(出典:ゴールドマン・サックス)。そして、電動化や自動運転車の普及により、この増加傾向は今後さらに加速するものと予想されます。 ソフトウェアが多用され、コネクテッドカーが増加すると、サイバーリスクにさらされる機会は増えます。車載ソフトウェアの脆弱性がサイバー攻撃につながり、自動車の重要な機能や機能安全(エアバッグ、ブレーキシステムなど)が損なわれ、人命が危険にさらされたり、リコールを余儀なくされる恐れがあるのです。 この1ヶ月の間に、複数の著名なグローバル自動車メーカーにおいて、基幹システムの遠隔操作やSSO認証の不適切な設定など、重大な脆弱性が発見されました。また、リサーチャーは、メーカー16社から販売されている数百万台もの自動車に影響を及ぼす、少なくとも20件のAPIの脆弱性を発見し、ハッカーが自動車の遠隔操作、追跡、移動、エンジンの始動・停止、個人情報の漏洩を行う可能性があることを明らかにしました。 現在の状況は、UN R155やその他の自動車サイバーセキュリティ規制で義務付けられているソフトウェアの脆弱性を検出・軽減する必要性とともに、サイバーセキュリティが重要になっていることを示しています。コードの各行、コネクティビティ、ソフトウェアを使用するサービス、OTAのアップデートには、OEMが適切なサイバーセキュリティ対策を講じることが必要です。 車両統合前のバーチャル・アシスタントのセキュリティ Alexaやその他のバーチャル・アシスタントを自動車に統合することで、自動車の攻撃対象領域はさらに拡大します。これらのテクノロジ Alexaやその他のバーチャル・アシスタントを自動車に統合することで、自動車の攻撃対象領域はさらに拡大します。これらのテクノロジーは、多数の車両機能だけでなく、外部の接続デバイス(EV充電器、スマートホームなど)ともつながるため、車両に統合されたバーチャル・アシスタントには、サイバーセキュリティ対策が必要です。 Amazonは、この重要なセキュリティ原則をいち早く認識し、OEMがAlexaをIVIシステムに統合する前に従わなければならない厳格なセキュリティ要件を導入しています。 こうしたセキュリティ対策は、OEMが現在行っているUN R155の要件にシステムを適合させる取り組みと密接に関連しています。これには、サードパーティのソフトウェアに脆弱性がなく、車両の安全性やデータプライバシーにリスクが及ばないことを確認するためのセキュリティテスト・プロセスの実施が含まれます。 Alexa Auto統合のための最初のAmazon公認セキュリティラボ Amazonのセキュリティ基準に準拠していることを証明するために、OEMはAmazonが認定するサードパーティラボの1つでセキュリティ評価を受け、合格することが義務付けられています。アクセス制御、ソフトウェア更新メカニズム、脆弱性管理などにわたる包括的なセキュリティ要件に対するOEMの能力が評価されます。 プラクシディティ エックス(旧アルガス)は、自動車に特化したセキュリティベンダーとして初めて、Alexa を自動車に統合するための公認セキュリティラボとしてアマゾンから認定されたことを誇りに思います。この認定により、車両システム内にAlexaを統合しようとしているOEMに対して、自動車に特化したセキュリティ・テスト・サービスを直接提供することが可能になりました。広範なドメイン知識、サイバーセキュリティのノウハウ、そしてペンテストの経験を活用し、プラクシディティ エックスのサービスチームは独立したセキュリティ評価を実施し、OEMがAlexa Auto統合に向けたセキュリティ要件を満たせるよう支援します。
---
### Alexa, are you protected against cyber attacks?
> Alexa cyber security for vehicles: to ensure compliance, OEMs are mandated to pass security assessments with authorized third-party labs.
- Published: 2023-02-20
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/unr/alexa-are-you-protected-against-cyber-attacks/
- Categories: UNR
- Tags: Alexa, UNR155, Vehicle Vulnerabilities
- Translation Priorities: Optional
Virtual assistant technology has improved steadily from its humble beginnings more than 30 years ago (does IBM Simon ring a bell? ). Both at home and at work, today's digital-savvy millennials have come to expect to receive highly personalized services provided by AI-powered virtual assistants and chatbots. Virtual assistants integrate machine learning and natural language processing to accept voice commands and perform the desired actions (e. g. , play song, open app, set alarm clock). The first modern digital virtual assistant installed on a smartphone was Siri (2010), quickly followed by Amazon's Alexa, Microsoft's Cortana and others. Since then, the technology has also found its way to smart homes, where virtual assistants are being used to control thermostat, lights and other IoT-enabled appliances remotely via smartphone apps. As these AI-driven technologies continue to improve (ChatGPT represents the latest leap), new possibilities have opened up for innovative solutions across domains. Amazon Alexa Brings Voice AI into Vehicles Of particular interest for consumers is the integration of virtual assistants within vehicles. As cars increasingly become an extension of our home and office, drivers expect a way to be more productive while sitting behind the wheel – sometimes for hours every day. To help drivers close the gap between car and home, vehicle manufacturers (OEMs) have begun to integrate voice-activated personal assistants, such as Siri (Apple CarPlay) and Alexa, and connect them to their vehicle systems. This enables drivers, for example, to remotely lock or unlock doors, start the engine, and adjust the...
---
### How Quantum Computing Could Affect the Automotive Landscape
- Published: 2023-02-19
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/how-quantum-computing-could-affect-the-automotive-landscape/
- Categories: Vehicle Vulnerability Management
- Tags: Cyber Research, Quantum Computing, Vehicle Vulnerabilities
- Translation Priorities: Optional
Itay is a leading security researcher in the PlaxidityX (formerly Argus Cyber Security) Cyber Penetration Testing team. Among his roles, Itay specializes in pen-testing and security research for the automotive industry and specifically of various electronic control units (ECUs), e. g. telematic control units (TCUs) and body control modules (BCMs). PlaxidityX is a global leader in cyber security for connected mobility, providing onboard and offboard-vehicle products and services to protect all forms of connected mobility against cyber attacks. Abstract Estimations seem to converge on the fact that Quantum Computing (QC) will play a major role in the coming decade. With QC having major effects on cryptography, rendering some of the most common schemes unsecured, the cyber security world is set to transform in order to accommodate itself. The automotive industry uses cryptography extensively both in external and internal communication, as well as other uses. Due to the relative rigidity of automotive products, there is an urgent need to fit the vehicles to the Quantum era as soon as possible. In this article we discuss the reason why the automotive world is more susceptible to the harms of QC, and what can be done now in order to be best prepared for a future where Quantum Computers roam free. Cryptography and Quantum Computing Once considered science fiction, Quantum Computing (QC) appears set to make its entrance in the coming decade. While current Quantum Computers have very limited functionalities, they are very much real, and by some estimations will be broadly used...
---
### PlaxidityX VVMにAUTOSAR Automatic SBOM Extraction機能を追加
> SBOM抽出機能追加により、課題であったAUTOSAR ECUの脆弱性スキャンが可能になります。車載ソフトウェアの脆弱性管理は、規制準拠のためにも重要です。
- Published: 2023-01-17
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/plaxidityx-vvm-now-offers-autosar-automatic-sbom-extraction-capabilities/
- Categories: Vehicle Vulnerability Management
- Tags: ECU, SBOM, Vehicle Vulnerability Management
- Translation Priorities: Optional
プラクシディティ エックス(旧アルガス)の新たなSBOM Extraction機能により、AUTOSARベースのECUの脆弱性スキャンが可能になります。 執筆:製品担当VP Michal Frenkel、VVM製品マネージャー Jonathan Legkov OEMやティア1メーカーが、サイバーリスクにさらされる危険性を低減し、新たな規制や基準に準拠していくためには、自社のアセットにソフトウェアの脆弱性がないかを確認する必要があります。 これは簡単なことではありません。なぜなら、多くの場合、メーカーがサプライヤーから仕入れるAUTOSAR ECUコンポーネントのソフトウェア構成に通じていないためです。車には一台につき、複数のサプライヤーが供給するECUが100以上も組み込まれているため、こうした可視性の欠如は重大なサイバーリスクとなります。 メーカーはこの問題を克服するため、AUTOSAR ECUの内部の「隠れた」ソフトウェアモジュールを可視化し、関連するコードをスキャンし、脆弱性を検出する方法を模索しています。 AUTOSARはセキュリティ上の盲点となっています 2003年に発足したAUTOSARは、業界全体におけるECU開発の事実上の基準となっています。AUTOSARによりOEMおよびティア1サプライヤーの共通ソフトウェアアーキテクチャが確立され、ECUソフトウェアの品質が向上し、開発にかかる時間やコストが削減されています。 今日に至るまで、ほとんどのメーカーはAUTOSAR ECUを「ブラックボックス」とみなし、その内部のソフトウェア構成についての知識を持つことなく、自社のニーズに合わせてECUのプログラミングを行ってきました。一般的なECUには複数のティア1およびティア2サプライヤーからの数十におよぶソフトウェアライブラリが含まれています。その全てにメーカーにとって「目に見えない」脆弱性が潜んでいる可能性があるのです。 セキュリティの観点から見ると、自動車業界は、伝統的にAUTOSARの閉じられたシステムデザインコンセプトに依存し、ECUの安全性を保持してきました。インフラストラクチャのコンポーネントを曖昧にすることによって、これらのコンポーネントへの攻撃から守られると想定されていました。 しかし、ECUがインターネットにつながり、車両におけるソフトウェアの重要性が増している現在、これらのAUTOSAR ECUはサイバーセキュリティの盲点となっています。攻撃者がコネクティビティを利用し、「隠された」ECUライブラリ内の脆弱性を発見して侵入し、車両ネットワーク内の ECU 間を横方向に移動するのは簡単なことです。 AUTOSAR の脆弱性をスキャンする必要性 サプライヤーから提供されるソフトウェアの脆弱性を確認しないことによる潜在的コストと安全上のリスクは甚大です。ソフトウェアの脆弱性は、重要な車両機能や機能安全性(エアバッグ、ブレーキシステムなど)に影響をおよぼす可能性があり、人命を損なう危険性や、費用のかさむリコールにつながることがあります。 さらに、UN R155やISO 21434といった新たなサイバーセキュリティ法規に準拠するには、自動車メーカーは、ティア1およびティア2サプライヤーから提供されるコードを含め、車両ソフトウェアの脆弱性を特定し、軽減する必要があります。そのためには、OEMおよびティア1はサプライヤーから受け取ったコードを理解し、コードに脆弱性がないか確認する必要があります。すでに述べた理由から、AUTOSAR ECUに関しては、これが非常に難しくなっています。 業界が脆弱性管理の要件を満たすための措置を講じているため、OEMおよびティア1は、ブラックボックスの蓋を開け、AUTOSAR ECUのソフトウェアモジュールを正確にマッピングし、それらのモジュールに既知の脆弱性がないかをスキャンすることが可能な、新たなツールを開発プロセスに取り入れようとしています。 プラクシディティ エックスのAUTOSAR SBOM Extraction ソリューションの導入 プラクシディティ エックスの新たなAUTOSAR SBOM Extraction機能は、シームレスにPlaxidityX Vehicle Vulnerability Management (VVM)に統合されており、ECUコードの限られた可視性に対応するように設計されています。 PlaxidityX VVMは現在独自の技術を用い、詳細なバージョンやベンダー情報を含め、AUTOSAR ECUからすべてのSBOMを抽出することが可能です。SBOMが抽出されると、脆弱性が自動的に検出されて優先順位が付けられ、ECUに影響をおよぼす脆弱性に迅速に効率よく対応することが可能です。以下は一般的なワークフローの例となります。 SBOM Extractionプロセスにより、ECUのすべてのSBOMのリストが自動的に作成されます。 公開済みの脆弱性および非公開の脆弱性について、VVMが各ライブラリのスキャンを行い、深刻度に応じてそれらの脆弱性に順位付けがなされます。 VVMを用いて、各脆弱性をECUおよびアセットと関連付けを行い、緩和対策をサポートします。 ティア1およびOEMが、緩和対策の一部として当該の脆弱性にパッチを当てる方法や時期を決定します。 SBOM Extraction以外のソリューション プラクシディティ エックスは、SBOM 抽出、バイナリ分析、脆弱性スキャン、アラートの優先順位付け、アセット管理などを含む包括的なVVMソリューションを提供することにより、ティア1およびOEMの車両脆弱性管理におけるあらゆる課題に対応できるようサポートします。 ユーザーはPlaxidityX VVMを使用することにより、どの車両の、どのECUの、どのソフトウェアパッケージが脆弱性の影響を受けているか、各脆弱性の正確なインパクト分析と合わせ、即座にインサイトを得ることが可能です。 AUTOSAR ECUやその他の車両ソフトウェアに脆弱性管理のための高度な自動ツールを導入することで、ティア1サプライヤーおよびOEMは、サイバーセキュリティ対応を向上させ、型式認証の規制要件に準拠することができます。 お客様の脆弱性管理の課題に対するプラクシディティ エックスのサポートについての詳細は、 PlaxidityX Vehicle Vulnerability Management をご覧ください。
---
### PlaxidityX VVM Now Offers AUTOSAR Automatic SBOM Extraction Capabilities
> PlaxidityX' new AUTOSAR SBOM Extraction capability enables vulnerability scanning of AUTOSAR-Based ECUs. Read on and learn more!
- Published: 2023-01-17
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/vehicle-vulnerability-management/plaxidityx-vvm-now-offers-autosar-automatic-sbom-extraction-capabilities/
- Categories: Vehicle Vulnerability Management
- Tags: ECU, SBOM, Vehicle Vulnerability Management
- Translation Priorities: Optional
Background To reduce cyber risk exposure and to comply with new regulations and standards, OEMs and Tier 1 manufacturers need to ensure that their assets do not contain software vulnerabilities. This is not a trivial task, because in many cases manufacturers do not know the software composition of the AUTOSAR ECU components they are getting from their downstream suppliers. With as many as 100 ECUs or more per vehicle from multiple suppliers, this lack of visibility translates into a serious cyber risk. To overcome this limitation, manufacturers are seeking ways to gain visibility into the “hidden” software modules inside their AUTOSAR ECUs, scan the relevant code and detect vulnerabilities. Founded in 2003, AUTOSAR is the de facto standard for ECU development across the industry. It establishes a common software architecture for OEMs and Tier 1 suppliers, improving ECU software quality and reducing development time and costs. To this day, most manufacturers view AUTOSAR ECUs as a “black box” - programming the ECU to their needs without knowledge of the software components inside. Typical ECUs contain dozens of software libraries from multiple Tier 1 and Tier 2 suppliers – all of which could possibly contain vulnerabilities that are "invisible" to the relevant manufacturer. From a security standpoint, the automotive industry has traditionally relied on AUTOSAR’s closed system design concept to keep ECUs secure. By obscuring the components of its infrastructure, those components were assumed as safe from possible attacks. However, now that ECUs have become more connected and vehicles have become...
---
### 未来のコネクテッドカー技術:諸刃の剣
> コネクテッドカーに対するサイバー脅威対策の必要性が高まっています。自動車メーカーは、消費者の求める対策をモビリティに導入することで、チャンスを掴むことができます。
- Published: 2022-09-28
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/tomorrows-connected-car-technologies-risk-or-reward/
- Categories: Cyber Security Blog
- Tags: Cyber Trends
- Translation Priorities: Optional
現在の技術動向を踏まえ、コネクテッドカーのサイバーリスクについて説明した概説 By Ronen Smoly, CEO, PlaxidityX(旧アルガス) 2022年9月 Automotive World, に掲載 ピカピカの新型テスラで出勤し、朝のコーヒーを味わっていると、突然、エンターテインメントシステムがフルボリュームで音楽を流し始め、ヘッドライトが点滅し始めます。あなたはラジオを消しましたが、まるで自分の意思を持っているかのように、再びラジオがつきますます。スピードを落としてドアを開けようとしても、またロックがかかってしまいます。 サイエンスフィクション?そうではありません。 2022年1月、19歳のITスペシャリストによって25台のテスラが同時にハッキングされ、一部のテスラオーナーが使用しているサードパーティアプリの脆弱性が突かれました。この脆弱性を利用し、ハッカーはサードパーティーのサーバーから上記のような悪戯を行い、世界中にある車両の位置を追跡することができたのです。 しかし、このハッキングは氷山の一角に過ぎません。サードパーティのアプリを通じて25台の車両を危険にさらすことが可能だとしたら、サイバー犯罪者が車両全体を遠隔操作し、車両のロックを解除するために巨額の身代金の支払いを要求した場合の結末を想像してみてください。ランサムウェアの攻撃は猛威を振るい続けており(2021年には世界で3億件)、そのようなシナリオの可能性はますます高まっています。 テスラがハッキングされた事実を軽んじるべきではありません。この先進的な企業は、モビリティ市場の未来を象徴し、自動車技術に関して言えば「最先端」を象徴しています。特にサイバー攻撃に関しては、テスラに発生した出来事は、同じように技術のアップグレードを目指す「従来型」自動車メーカーにとっても劇的な影響を与えます。 コネクティビティ+ソフトウェア=リスク では、なぜ私たちの大切な車がサイバー攻撃の標的になったのでしょうか。 過去10年間で、モビリティ市場は大規模なデジタル変革を遂げました。現在では、ほぼすべての自動車に、情報を受発信するためのコネクティビティ・オプションが組み込まれています。 しかし、ソフトウェア・ドリブンのコネクテッドカーの便利さを、コストなしで得ることはできません。30年前にコンピュータの世界で起きたことを思い出してみてください。コンピュータがネットワークにつながるようになると同時に、新しい脅威に対して脆弱になりました(現在では、どの企業もネットワークを保護しています)。同じことが、今日のモビリティ市場にも当てはまります。 自動運転車、クラウドベースの機能、シェアモビリティなど、自動車産業における現在のメガトレンドは、自動車をより大きなサイバーリスクにさらしています。自動車はすでに世界で8番目にサイバー攻撃者から狙われている分野であり、コネクテッドカーはメーカーのITシステムや設備に侵入するための新たな攻撃対象になる可能性があります。 電気自動車や自動運転車の新技術をサポートするために、自動車業界はソフトウェア開発に膨大なリソースを投入しています。自動車メーカーは、これらのソフトウェア・コンポーネントを完全に制御することを望んでおり、拡大する高度な攻撃対象から車両を保護するための複雑さは増しています。さらに、現在のビジネス・アーキテクチャへの統合、より大きな攻撃対象領域、膨大なデータ量(25GB/1時間/1台当たり)により、今後数年間でサイバーリスクがさらに高まると予想されます。 自動車の将来は、技術中心、ソフトウェア中心のアプローチになり、新機能や機能アップグレードはソフトウェアアップデートによって提供されるようになります。自動車が工場から出荷された後、サイバーセキュリティの更新を含む継続的な機能拡張を提供できることが、自動車メーカーにとって今後の重要な競争要件になるでしょう。 機能安全とサイバーセキュリティの連携 自動車業界は、シートベルト、エアバッグ、事故防止用レーダーなど、常に安全を第一に考えてきました。しかし、自動車がコネクテッド化、自律化、ソフトウェア主導化するにつれ、安全とセキュリティは相互に依存するようになってきています。つまり、システムが機能的に安全であるためには、セキュアであることも必要なのです。 ネットワークやデータの保護に重点を置くITセキュリティとは異なり、自動車のサイバーセキュリティは運転手や乗客の安全に直接影響します。自動車ソフトウェアの脆弱性は、その発生源(サプライチェーン、OTAアップデート)に関係なく、サイバー攻撃によって自動車のブレーキシステムやエアバッグシステムが危険にさらされ、生命を脅かす結果になる恐れがあります。 変化する世界のためのサイバーセキュリティ 今日の自動車は、サイバー攻撃から十分に保護されているとは言えません。この業界は非常に動きが大きく、新しいソフトウェアベースの機能やアプリが常に開発されており、また充電ステーションなどの新しいインターフェースも開発されているため、高度な攻撃ベクトルへの新たな入り口が開かれることになります。 自動車の安全性を確保し、UNR155やGB/Tなどの自動車業界の新しいセキュリティ規制に準拠するため、自動車メーカーやティア1サプライヤーは、高度なサイバー脅威から身を守るための高度なサイバーセキュリティ・ソリューションに投資しています。 最初のステップとして、自動車メーカーとそのサイバーセキュリティパートナーは、エンドツーエンドの車両アーキテクチャ全体の徹底的な脅威分析に基づいて、車載セキュリティ制御の要件を特定し、指定する必要があります。車載制御(ネットワーク監視など)は、セキュリティ・インシデントを監視し対応するためのバックエンド技術(車両セキュリティ・オペレーション・センターなど)によってサポートされるべきです。現在、自動車メーカーが導入している最も一般的な機能には、ネットワークトラフィックの監視とフィルタリング(CANやイーサネット侵入検知システムなど)、アプリケーションのハード化と監視、機能の分離・分別の厳格化などがあります。 さらに高度な技術やツールとしては、車両レベルでの異常検知とレポート、車両ソフトウェアの反復的な脆弱性スキャン、バックエンド分析、安全なソフトウェア更新メカニズムなどが検討されるべきでしょう。 サイバー脅威を新たなビジネスチャンスに変える 自動車は、様々な意味で、家庭やオフィスの延長線上にあるような存在になっています。人々は毎日何時間もかけて通勤し、車からスマートフォンを使って私生活を管理しています。スマートフォンを使用する際にプライバシーを犠牲にするのと同様に、今日のコネクテッドカーは、私たちの位置を把握し、何をしているか情報を聞いて収集し、車内に配備されたカメラ、センサー、マイクはもちろんのこと、最もプライベートなデータにもアクセスすることができるのです。 こうしたセキュリティやプライバシーのリスクが高まるにつれ、消費者が自動車のサイバーセキュリティ機能を、バッテリーサイズや動作範囲、充電時間と同じくらい気にするようになる日もそう遠くはないでしょう。このことは、自動車メーカーがサイバーセキュリティを収益化する新たな機会をもたらす可能性があります。例えば、何千万もの侵入検知装置を自動車に内蔵したり、ドライバーや車両が生成するデータのリアルタイム分析に基づく付加価値の高いデータサービスを提供したりすることが考えられます。 今後、自動車のサイバーセキュリティは、自動車だけでなく、モビリティのエコシステム全体を包含する必要があります。技術の進歩に伴い、充電ステーション、盗難防止ソリューション、セキュアな接続、車両とクラウドの間、スマートシティの設備との間、その他のインターフェースの間のデータ保護など、新しいサイバーセキュリティ・ソリューションとサービスが必要になるでしょう。 テクノロジーは時として諸刃の剣です。10代のハッカーに聞いてみてください。
---
### Tomorrow’s Connected Car Technologies: Risk or Reward?
> What is the future holding for automotive cyber security technoilogies - more vulnerabilities or more advantages? Click here for our analysis!
- Published: 2022-09-28
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/tomorrows-connected-car-technologies-risk-or-reward/
- Categories: Cyber Security Blog
- Tags: Cyber Trends
- Translation Priorities: Optional
An overview exploring the cyber risks of connected cars given current technological trends. By Ronen Smoly, CEO, PlaxidityX (formerly Argus Cyber Security). Published in Automotive World, September 2022. You’re on your way to work in your shiny new Tesla, savoring your morning coffee when suddenly your entertainment system starts blasting music at full volume and your headlights begin to flash. You turn the radio off, but it starts again as if it has a will of its own. You slow down to get out, and unlock the doors, but they just lock again. Science fiction? Think again. In January 2022, 25 Tesla’s were hacked simultaneously by a 19-year-old IT specialist, who exploited a vulnerability in a third-party app that some Tesla owners use. This exploit enabled the hacker to carry out all the above pranks from the third-party server, as well as tracking the vehicles’ locations which were around the globe. But this hack is only the tip of the iceberg. If it’s possible to compromise two dozen vehicles through a third-party app, just imagine the consequences of a cybercriminal gaining remote control over an entire vehicle fleet and demanding a huge ransom payment to unlock the vehicles. As ransomware attacks continue to rage (300 million in 2021), such a scenario is becoming ever more likely. The fact that Tesla was hacked should not be taken lightly. This trailblazing company represents the future of the mobility market and symbolizes the “state-of-the-art” when it comes to automotive technology. Any development related...
---
### Discovering Tunneling Service Security Flaws in AnyDesk Remote Application
> Discovering tunneling service security flaws in AnyDesk remote application is critical for automotive cyber security. Click here to learn all you need to know
- Published: 2022-09-07
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/engineering-blog/discovering-tunneling-service-security-flaws-in-anydesk-remote-application/
- Categories: Engineering Blog
- Tags: Cyber Research
- Translation Priorities: Optional
Anydesk is a remote desktop application that has amassed popularity and market share in recent years with the growing adoption of remote work models. During routine work with Anydesk, Argus’ research team stumbled upon & reported two security flaws (aka CVEs) that could possibly impact users. This post describes both security issues and their potential impact on anyone using the AnyDesk tunneling service. CVE-2021-44425: Tunneling socket unnecessarily binds to default route The Issue The issue pertains to configuring a TCP tunnel to a remote AnyDesk device, e. g. : The AnyDesk software on the connecting client listens for connections to the tunnel on all interfaces: The Threat Let’s assume a corporate worker uses the Anydesk tunneling feature to connect to a remote server within his organizational network and proceeds to interact with an internal service using the tunneled port. If he does so while connecting to a non-secure network (e. g. , he is connected to a café hotspot), an attacker connected to the same café hotspot would have direct access to the corporate remote server via the exposed tunneled port. The attacker would potentially be able to compromise the service listening to the port, and possibly advance further within the “secure” corporate network and access sensitive data. Additionally, the attacker would have access to the Anydesk tunneling communication stack of the corporate worker. Get CVE details here. CVE-2021-44426: A malicious file can be planted in an unsuspecting victim’s computer The Issue Let’s assume two people are connected to the...
---
### Vehicle Manufacturers Need to Know What's Inside Their Supplier's Code
> If you are a manufacturer of connected vehicles, you must be aware of what’s inside your suppliers' code. Click here to learn all you need to know!
- Published: 2022-02-27
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/vehicle-manufacturers-need-to-know-whats-inside-their-suppliers-code/
- Categories: Cyber Security Blog
- Tags: Vehicle Vulnerability Management
- Translation Priorities: Optional
This is the second post in a series on vehicle vulnerability management. Read the first post outlining vulnerability-related challenges facing the automotive supply chain. OEMs' lack of visibility into the software running on dozens of components developed by multiple suppliers makes it extremely difficult to ensure that their vehicle software does not contain high or critical severity-level vulnerabilities. To do so, they need better control over what they're getting from their suppliers. UNR 155 requires vehicle manufacturers (OEMs) to monitor, protect and respond to vulnerabilities, as well as mitigating vulnerabilities "within a reasonable timeframe. " This is a major hurdle for the automotive industry, given the numerous challenges it faces related to vulnerability management. What You Don't Know Can Hurt You When we buy groceries at the supermarket, most of us check the ingredients and expiration dates of packaged goods. We wouldn't dare cook a meal for our family without being sure the ingredients are safe. The same should be true for the automotive supply chain. Often, OEMs don't have access to the information required to check for vulnerabilities (e. g. , Software Bill of Materials, also known as SBOM), and suppliers aren’t necessarily obliged to deliver vulnerability-free software. However, manufacturers are obliged to manage supply chain risks according to UNR 155. Achieving full visibility is a long and complex process. Vehicle manufacturers need a way to assess the number and severity of vulnerabilities lurking in their suppliers' software. The potential costs and safety risks of not checking supplier software...
---
### Log4Shell—Vehicle Fleets Can be Impacted
> Did you know that Log4Shell can compromize your automotive fleet's cyber security? Avoid any vulnerabilities and learn all you need to know by clicking here!
- Published: 2021-12-12
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/log4shell-vehicle-fleets-can-be-impacted/
- Categories: Cyber Security Blog
- Tags: Cyber Research, Vehicle Vulnerabilities
- Translation Priorities: Optional
The recent high severity Apache Log4j 2 vulnerability has security teams around the world scrambling to patch their backend servers exposed to the internet from the latest Log4Shell vulnerability. Apache Log4j is widespread. In fact it can be found in organizations and products such as Twitter, Tesla, and even established security incident and event management systems, such as IBM QRadar. But what does this vulnerability mean for automotive security teams? For IT teams, their first priority will probably be the publicly exposed servers and interfaces in the organization rather than the private, internal servers. Additionally, on the face of it, security teams at a vehicle OEM may not even consider that their vehicle fleet can be impacted by a Log4Shell exploit. After all, vehicles are not usually running Log4j - so why should they be concerned? However, this is a potentially dangerous assumption. OEM and Tier 1s are connecting vehicle components to their private network (for example, through an APN over cellular) linking the vehicle to a variety of servers and services. Therefore, a threat actor can access an OEM’s potentially exploitable private servers - from his/her very own vehicle. Like every PC in the organization, every connected vehicle is another endpoint in an OEMs network and as such a potential attack vector. This means that threat actors can use your vehicles to launch attacks on the organization. An unverified example of an exploit of the vulnerability from a vehicle is shown below: Source: Github https://github. com/YfryTchsGD/Log4jAttackSurface In the past,...
---
### PlaxidityX Wins Automotive Cyber Security Innovation of the Year Award for its Outstanding, Industry-First Penetration Testing Technology
> We won the Automotive Cyber Security Innovation of the Year Award for our innovative penetration testing technology. Click here to read the details!
- Published: 2021-10-21
- Modified: 2025-03-24
- URL: https://plaxidityx.com/blog/cyber-security-blog/argus-wins-automotive-cyber-security-innovation/
- Categories: Cyber Security Blog
- Tags: Cyber Trends, Penetration Testing
- Translation Priorities: Optional
We're excited to let our readers know that PlaxidityX (formerly Argus) won the "Automotive Cybersecurity Innovation of the Year” award in the 2021 Autotech Breakthrough Awards Program for our new penetration testing technology. This game-changing cybersecurity technology enables vehicle manufacturers - for the first time - to run coverage-guided fuzzing on embedded binary software without modifying the software’s code. Using this method, automakers can test third party libraries used in electronic control units (ECUs) when searching for software vulnerabilities - a key requirement for UNR 155 certification. The Problem: Testing Third Party Libraries (Binaries) in Embedded Devices Vehicle manufacturers (OEMs) and suppliers know that software vulnerabilities inevitably lead to cyber attacks. Accordingly, they need ways to verify that their vehicle software is free of vulnerabilities before they embed them in their ECUs. For non-embedded software, cost-effective testing solutions have been available for some time. One common automatic testing technique is fuzzing, which sends multiple random or mutated messages to a target system until it triggers a bug. The ideal fuzzing method is coverage-guided fuzzing, which uses analytics from the software's binary code to determine which messages to send for optimal testing coverage. However, fuzzing runs into a number of problems in embedded devices. To test these systems, you need to emulate the entire environment, which can vary from ECU to ECU. In particular, the following issues make coverage-guided fuzzing virtually impossible for testing binary code in embedded devices: The need to simulate all hardware peripherals in the real system environment...
---
### Automate k8s Secrets Creation Using Terraform and ExternalSecrets
> Read why and how you should automate your k8s Secrets creation using Terraform and ExternalSecrets. Click here to learn all you need to know!
- Published: 2021-10-11
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/engineering-blog/automate-k8s-secrets-creation-using-terraform-and-externalsecrets/
- Categories: Engineering Blog
- Tags: Security Development Tools
- Translation Priorities: Optional
Cloud and DevOps engineers often try to automate creation and management of application secrets. Many options for the best or most secure way to create and keep secrets in a k8s cluster have been discussed. Whether it's static or dynamic secrets creation, I always had a sense that the capability to automate the entire process was missing. At PlaxidityX (formerly Argus Cyber Security) we use Google Kubernetes Engine as our Kubernetes cluster and Terraform as our Infrastructure as Code tool. Using ExternalSecrets Custom Resource Definition (CRD), we found a way to automate secret creation in a secure manner. In short, the concept is to auto-generate a secret and keep it in GCP’s Secret Manager store. Then, the ExternalSecrets controller can retrieve the secret’s value and create a k8s secret to be used by another resource. Tools used in this methodology: Terraform (with GCP backend) GKE cluster (with Workload Identity) ExternalSecret controller Helm3 All code blocks and instructions can be found in this GitHub repository: https://github. com/netanelkoli/automate-gke-secrets Let's start with some Terraform code... The Terraform Code The Terraform module is responsible for creating the secret in GCP Secret Manager. Either pre-defined or auto-generated, this module is responsible for the secret store in the cloud Prerequisites: Terraform is configured with a GCP provider. A "variable “progect_id” {default = }" declared. Optional: it is preferable to configure Terraform with an encrypted GCS backend. Let's start by looking at the secret manager module. Source: https://github. com/netanelkoli/automate-gke-secrets It will be much more convenient if...
---
### Using bitfield patterns to identify functions in binaries
> Read how you can bitfield patterns to identify functions in binaries and what are the cyber security advantages of it. Click here to learn all you need to know!
- Published: 2021-09-14
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/engineering-blog/using-bitfield-patterns-to-identify-functions-in-binaries/
- Categories: Engineering Blog
- Tags: Cyber Research, Embedded Systems
- Translation Priorities: Optional
Many security researchers have a monogamous relationship with IDA Pro. I get it, IDA Pro is a powerful tool and has beautiful color schemes, but that doesn’t mean other disassemblers don’t have amazing features that you simply can’t find in IDA. Take for example Ghidra, which offers awesome perks when analyzing raw embedded firmware. One of these perks is the ability to efficiently locate functions using bit-patterns, according to the CPU architecture - a challenge my colleagues and I often tackle on the PlaxidityX (formerly Argus Cyber Security) research team. Since I miserably failed to convince them to give Ghidra a chance, I implemented this Ghidra feature on IDA (borrowing Ghidra’s format for bit-patterns). I’m sharing this tool on Github (IDAPatternSearch), and in this blogpost I’ll explain how it works and how to use it. Hope you’ll find it useful! Introduction The task of firmware exploration is well known in the embedded research realm and constitutes a significant part of the vulnerability research process. It is often the first phase when we conduct penetration tests on automotive systems (which are basically embedded devices, but in a car, which is cooler). When you take a first look at the firmware of an embedded device, you don’t always know what the memory layout is. It is necessary to consult the processor datasheet in order to load it correctly and perform an initial analysis; and that’s before even mentioning luxuries such as debug symbols. This can make the initial software reverse engineering task...
---
### UNR 155: 3 Essentials for Automotive Cybersecurity Compliance
> Read about the three essentials required for automotive cybersecurity compliance with the important UNR 155 standard. Learn more!
- Published: 2021-09-12
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/3-essentials-for-automotive-cybersecurity-compliance-unr-155/
- Categories: Cyber Security Blog
- Tags: Compliance, UNECE WP29
- Translation Priorities: Optional
Over the past decade, the auto sector has undergone a digital transformation. Today virtually all vehicles come with built in connectivity options. Like any industry with rising connectivity and digitization, cyber security risks and concerns around privacy multiply and the auto sector is no different. Based on the computerization of modern vehicles and the newfound risks brought on by that change, back in 2016, WP. 29, the World Forum for the Harmonization of Vehicle Regulations, began work on a regulation that would set minimum requirements for cyber security in type approved vehicles. That work culminated with the passing of United Nations Regulation 155 in June 2020. Now, the industry is adjusting its processes, personnel, and technology capabilities in order to meet the new requirements. UNR 155 establishes a new landscape of organizational and technical requirements for automakers to fulfill in order to have their vehicle types approved. Cyber-risk management in the auto sector requires a well-defined strategy including a highly organized process landscape, the recruitment or engagement of experienced cybersecurity professionals as well as the purposeful and targeted application of technical tools. For many automakers, these activities and requirements present a major challenge, outside of their core competencies. Therefore, manufacturers are ramping up their cyber security capabilities in three core areas which, over time, will enable them to achieve compliance: Essential #1 - Structure As a first step in their response to UNR 155, automakers are conducting evaluations of their existing process landscape and risk management policies to identify potential...
---
### Attention Vehicle Manufacturers: The Vulnerability Management Countdown Has Begun
> Learn what procedures vehicle manufacturers must pay attention to in automotive cyber security vulnerability management. Click here so you don't miss out!
- Published: 2021-09-12
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/attention-vehicle-manufacturers-the-vulnerability-management-countdown-has-begun/
- Categories: Cyber Security Blog
- Tags: Vehicle Vulnerability Management
- Translation Priorities: Optional
Software vulnerabilities are weaknesses or flaws in computer code that could allow an attacker to gain control of a system. For as long as humans continue to write code, vulnerabilities will exist. Thus, it's imperative that organizations invest in effectively detecting and mitigating vulnerabilities - before they become a risk. As vehicles become more connected and more software-driven, automotive-related software vulnerabilities are growing at an alarming rate. But these published vulnerabilities are only the tip of the iceberg. The uncomfortable truth is that a car can be on the road for years without anyone knowing there is a vulnerability – until there's an attack! Meeting New Vulnerability Management Requirements Given the potentially devastating impact of a cyber attack on a vehicle or fleet – from driver and public safety dangers to mass recalls and brand tarnishing – automotive-related vulnerabilities cannot be ignored. Recognizing the safety implications of cyber attacks in the automotive space, new regulations and standards are being developed that will require OEMs to monitor incidents and risks to their vehicle fleets over the entire lifecycle. In June 2020, the UN introduced regulation UNR155 that outlines new cyber security practices for vehicle manufacturers (OEMs), including a requirement to monitor, protect and respond to vulnerabilities, as well as mitigating vulnerabilities "within a reasonable timeframe. " Today, OEMs and Tier 1s are exploring ways to manage vulnerabilities in a timely and effective manner, as stipulated by UNR 155 and ISO/SAE 21434. Let's examine some of the serious challenges the automotive supply...
---
### Cracking Anomaly Detection on System Logs
> One of the foundations of automotive cyber security is successfully monitoring and detecting anomalies on system logs. Click here to learn all you need to know!
- Published: 2021-08-30
- Modified: 2022-12-23
- URL: https://plaxidityx.com/blog/engineering-blog/anomaly-detection-on-system-logs/
- Categories: Engineering Blog
- Tags: Cyber Trends, Security Development Tools
- Translation Priorities: Optional
We already know that there is no silver bullet for anomaly detection. But breaking down a subset of the problem into a structured process makes the problem a lot easier. The goal of this article is to give a view of a way to structure the process of Anomaly Detection on System Logs. This concept is obviously related to detection of cyber security threats, but can be also applied to other domains. Before going into the breakdown and modulation let’s look at it from the bird’s view. Even though this is a small subset of problems, it can have many applications since System Logs are everywhere. Let’s break down the process we will cover: The playground - Decide on a sample dataset and generating it Parsing - System logs are unstructured by nature, and we need a way to use them Modeling - Finding the right model for the use case Concluding - What did we learn? What is the next step? Let’s generate some logs to play with One easy way to approach this is to look at bootloading logs. When an OS fires up we expect to see some common patterns in the System. We can expect these patterns because software by nature has an “initialization” step. This step is usually deterministic and should happen in a predictable time - when the application starts. We will create a new VM, and we choose to use Ubuntu 18. 04 as the OS. There are many different types of Syslogs...
---
### 最適な車両サイバーセキュリティのため、ファジングを用いて侵入テストを補完する方法
> ファジングツールは効率よくバグや脆弱性の検出を行うことができ、手作業が必要なペネトレーションテストとうまく組み合わせて運用することをお勧めします。
- Published: 2021-05-20
- Modified: 2025-04-17
- URL: https://plaxidityx.com/blog/cyber-security-blog/how-fuzzing-complements-penetration-testing-for-optimal-vehicle-cybersecurity/
- Categories: Cyber Security Blog
- Tags: Penetration Testing
- Translation Priorities: Optional
侵入テスト(ペンテスト)は、顧客の目的に応じてサイバーセキュリティの脆弱性やその他のセキュリティの欠陥を顕在化させ、セキュリティ要件が適切に実装されているかを検証するための一般的な手法です。 従来のペンテストが手作業によるプロセスである一方、ファジングは自動化されたプロセスです。ファジングテストでは、ターゲットを混乱させることを目的に、スクリプトを用いてさまざまな加工データを大量にインプットします。 ファザーはターゲットとなるさまざまなコンポーネント(コード、バイナリライブラリ、インターフェイス)を分析し、カスタマイズされたインプットを作成し、最適なテストカバレッジを得ることができます。優れたファジングツールを利用すると、ペンテスターには再現できない大量のインプットでシステムを過負荷の状態にし、リサーチャーが1度のリサーチでは発見できない脆弱性を発見することができます。しかし、ファジングには限界があります。ファジングテストではシステム(ECUなど)を過負荷状態にし、その反応を見ますが、ペンテストはインプットによる過負荷ではなく、既知の脆弱性またはゼロデイ脆弱性を利用して攻撃対象領域への侵入を試みます。 自動車業界の開発パイプラインは、通常、要件の収集から実装、発売まで、下記の図1のようになっています。ご覧のように、図中のテストステージには、手作業によるペンテストに加え、下記の2つのファジングテストが含まれています。 コードファジング インターフェイスファジング 図1 - 自動車業界の開発パイプライン この記事では、自動車メーカーが規制を遵守し、最適な車両サイバーセキュリティ基準を達成するために、ファジングを導入してペンテストを補完する理由について説明します。 コードファジング コードファジングは、多くのさまざまなインプットにより特定の機能を実行するテクニックです。ファザーはサニタイザーを使用して、バッファオーバーフロー、メモリリーク、およびその他の潜在的な問題を検出します。コードファザーは、ソフトウェアのコードブロックすべてに(パフォーマンス測定のための)インストルメンテーションを配置して、ファジングにより得られたカバレッジを確認したり、さまざまなソフトウェアフローがカバーされるようインプットを変化させたりします。 オープンソースファザーには、一般的なAFL、libfuzzer、SymCC、Qsymなどがあります。自分のプロジェクトとソースコードファザーを統合する手法は、開発者がモジュールを開発または変更する際にファジングラッパーを維持しなければならないという点で、ユニットテストの実施と非常に似ています。プロジェクトの初期からファジングを実施することで、その後のメンテナンスを容易かつ円滑に行えるようになります。 インターフェイスファジング その名が示すように、インターフェイスファジングでは、システムの特定のインターフェイスをテストします。ツールはプロトコルアウェアで(さまざまなプロトコルの、さまざまなレベルにおいて)、関連するカスタマイズされたインプットを用いてそれぞれのコンポーネントインターフェイスをテストすることが可能です。インターフェイスファジングが、ECUのコンパイル可能な環境と統合されると、ファジングによって得られたカバレッジを追跡することができます。 ステートフルプロトコルのインターフェイスファジング ステートフルプロトコルはTCP、HTTPといったセッション情報を保持するプロトコルであり、IPはステートレスプロトコルです。それぞれのリクエストメッセージは個別に理解されます。ステートフルプロトコルはファザーの効率性に影響をおよぼします。ハンドシェイクで始まる標準的なプロトコル(TCPなど)を思い描いてみてください。最初のハンドシェイクを成功させることができないファザーは、多くのコードフローの可能性を見逃してしまうことになります。 インターフェイスファザーはブラックボックス手法であり、高い効率性やカバレッジを得るには、開発者やリサーチャーによる設定や指示が必要です。 プラクシディティ エックス(旧アルガス)のインターフェイスファジングは、さまざまなネットワークスキーム(ARXML, DBC)を分析し、そのスキームに基づいたさまざまな攻撃をシミュレートすることが可能です。また、当社のツールは以下のインターフェイスやプロトコルに対応しています イーサネット標準プロトコル、SOME/IP, DoIP, HSFZ, AVB CAN ISO-TP, CAN-FD, UDS (LINおよびFlexRay上でも対応) コードファジングおよびインターフェイスファジングは、次のテスト段階であるペンテストとは異なり、CI環境に統合することができます。 侵入テスト(ペンテスト) 自動化テストやファジングは、バグや脆弱性の検出を効率良く行うことのできる革新的な手法ですが、こうした自動化テストは、システムが悪用されないことを確認するための手作業によるペンテストに置き換えられるものではありません。自動的にECU攻撃対象領域をマッピングし、すべてのサーフェースコードのフローをリバースエンジニアリングし、プリミティブを見つけてそれらを統合し、サイバー攻撃のリサーチオペレーション全体を管理できる方法は未だにありません。 システムの持つセキュリティ手法(セキュアブートやソフトウェアハードニングなど)の完全性を検証するには、経験豊富なリサーチャーによる作業が必要です。このため、開発サイクルの最後の方で、ECUに対してサイバーセキュリティリサーチャーの手作業によるペンテストを実施する必要があるのです。当社では、UNR 155 (WP. 29)を遵守し車両サイバーセキュリティを最適化するために、ファジングとペンテストの両方を実施することを推奨しています。 Ohad PeledPlaxidityX、エンベデッドセキュリティリサーチ・チームリーダー ブログ編集者より:ファジングまたはペンテストに関するリクエスト、お問合せは、ページ上の「お問合せ」リンクよりご連絡お願いします。
---
### How Fuzzing Complements Penetration Testing for Optimal Vehicle Cybersecurity
> If you have not already implemented fuzzing into with your automotive penetration testing procedures - you should. Click here to learn why and how!
- Published: 2021-05-20
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/how-fuzzing-complements-penetration-testing-for-optimal-vehicle-cybersecurity/
- Categories: Cyber Security Blog
- Tags: Penetration Testing
- Translation Priorities: Optional
Penetration (pen) testing is a well-known method for exposing cybersecurity vulnerabilities and other potential security gaps depending on the customer objectives, and validating that the security requirements were implemented correctly. Whereas the traditional pen testing is a manual process, fuzzing is an automated process. In a fuzzing test, a script inputs massive amounts of different engineered data with the goal of disrupting the target. A fuzzer can analyze different components of the target (code, binary libraries, interfaces) and create tailor made inputs to achieve the best coverage. A good fuzzing tool can discover vulnerabilities that a researcher may not find during a singular research by overloading a system with a flood of inputs that a penetration tester cannot replicate. Fuzzing has limitations. Whereas a fuzzing test seeks to overload a system (such as an ECU) and see how it reacts, a pen tester attempts to penetrate an attack surface using known and/or zero day vulnerabilities and not an input overload. The development pipeline in the automotive industry is usually defined as shown in Figure 1 below, from requirements gathering to implementation to release. As shown, in the diagram the testing stage includes two fuzzing tests in addition to manual penetration testing: Fuzzing for Code Fuzzing for Interfaces Figure 1 - Automotive development pipeline This article explains why vehicle manufacturers are introducing fuzzing as a complement to pen testing in order to comply with regulations and achieve optimal vehicle cyber security standards. Fuzzing for Code Fuzzing for Code is a technique...
---
### Addressing API Vulnerabilities in Connected Car Services and Fleets
> API vulnerabilities are prevelant in almost every connected car service and global fleet. In this article we explain the risks for OEMs and fleet managers.
- Published: 2021-03-09
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/addressing-api-vulnerabilities-in-connected-car-services-and-fleets/
- Categories: Cyber Security Blog
- Tags: Vehicle Vulnerabilities
- Translation Priorities: Optional
Application Programming Interfaces (APIs) are ubiquitous in connected car services and fleet management systems. They are the glue that holds together all the pieces of the connected car ecosystem -- from mobile apps to cloud services, to IoT infrastructure and aftermarket technologies -- making it easier for OEMs and fleet managers to fast forward their digital transformation process. On the downside, APIs present an ideal target for cyber-attacks by providing hackers with compelling attack surfaces that can be exploited for malicious purposes. In 2019, the Open Web Application Security Project (OWASP) published a list of the Top 10 web API Vulnerabilities, highlighting the most common and impactful vulnerabilities identified in web applications like broken object-level authorization and broken authentication. Although the OWASP umbrella focuses entirely on IT security, its Top 10 API vulnerabilities are also applicable to the automotive industry where these exact same threats exist in back-end car services and aftermarket technologies. In this article, we break down the potential risks of vehicle API vulnerabilities for OEMs and fleet managers and demonstrate how the Argus-imVision partnership aims to address these challenges effectively. The Risks for OEMs The modern vehicle and connected services use numerous APIs. Everything from the in-vehicle infotainment (IVI) system, OTA servers, mobile apps connecting to a back-end application gateway, and telematics servers all rely on APIs to achieve several functionalities. These present significant attack surfaces for potential breaches and real-life incidents. Each year, there are hundreds of API breaches in the...
---
### 自動車の侵入テストにおける6つの必須事項
> 自動車ペネトレーションテストとは、脆弱性やセキュリティの欠陥、セキュリティ要件の適切な実装を検証するシミレーションテストです。この必須事項をまとめています。
- Published: 2021-03-09
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/6-must-dos-of-vehicle-penetration-testing/
- Categories: Cyber Security Blog
- Tags: Penetration Testing
- Translation Priorities: Optional
ITベースの侵入テスト(ペンテスト)は、サイバー攻撃のシミュレーション手法としてよく知られています。ペンテストのプロジェクトでは、リサーチャーは、実際の攻撃シナリオをシミュレーションするため、ハッカーの行動、手法、ツールを模倣して、企業のコンピューターネットワークの脆弱性やその他のセキュリティの欠陥がないか、セキュリティ要件が適切に実装されているかについて検証を行います。 自動車がますますインターネットとつながり、ソフトウェアが多用されるようになる中、UNECE R155もきっかけとなって、自動車にペンテストを実施することは、サイバーリスクを低減したいOEMやティア1にとって不可欠な作業となりました。当社ではOEMやティア1から依頼を受け、何十ものペンテストプロジェクトを実施し、100%の成功率で侵入を達成してきました。これを受け、読者の方が今後ペンテストを最大限有効なものにできるよう、以下の自動車ペンテストの必須事項をまとめました。 自動車ペンテストの必須事項1:時間を賢く使ってペンテストを行うことペンテストとは自動車への侵入が目的なのであり、むやみに何かを探ることではない OEMやティア1は、ペンテストを実施するチームにテスト対象についての情報をほとんど提供せず、テストを難しくすればするほど、最大の効果を得られるという誤解をしがちです。ブラックボックスプロジェクトとして一般に知られていますが、これはテストの際、リサーチャーに対象となるコンポーネントの情報をまったく与えないで行われるプロジェクトのことです。 しかし、ハッカーは意志が強く、最終的にシステムをハッキングしてしまうので、ハッキングは時間の問題です。重要なのは、コードにどのような脆弱性が存在しているか、またハッカーがその他のセキュリティの欠陥を発見するかです。これを見つけることがペンテストの真の目的です。 一例ですが、当社のペンテストチームがテレマティクスユニットのテストを依頼されました。チームはコードをテストするために、何週間もかかってユニットのファームウェアを抽出し、そのソフトウェアをリバースエンジニアリングし、逆コンパイラを構築しました。リサーチャーたちはこの課題を楽しんでいたものの、脆弱性ではなく、テレマティクスユニットのコードを入手するのに貴重な2週間を費やすことになりました。最終的に、チームは複数の脆弱性を発見しましたが、もっと時間を有効に使えば、1か月かけてより多くのセキュリティの欠陥を見つけ出し、そのユニットのサイバーセーフティを高めることに貢献できたはずでした。 自動車ペンテストの必須事項2:重要な情報をペンテスターと共有する何を保護すべきかの情報がなければ、テスターは何をテストするか推量しなければならない 脅威分析およびリスク評価(TARA)のプロジェクトにおいては、車両のアーキテクチャ、システム、そして様々なECUについて、サイバー脅威に対する評価を行います。脅威分析では脅威を特定してモデル化し、リスク評価ではそれぞれの脅威に関連する影響やそれが実際に起きる可能性を分類します。これにより、OEMは車両設計および開発プロセスのごく早い段階で車両のセキュリティ状況について理解することができます。 OEMおよびティア1は、当該の情報が無関係である、あるいは機密であると思い込み、ペンテスターにその脅威評価を伝えないことがあります。 しかし、情報共有を徹底することは最善の結果につながります。前回の脅威評価に基づいてペンテストを実施した場合、テストチームは優先順位の高い脅威に集中して取り組むことができます。脅威評価レポートを共有しないことによって、ペンテストチームはテスト項目の決定とそれに対する評価を行い、これに対して支払いが発生します。 自動車ペンテストの必須事項3:他のプロジェクトと同様に取り扱う準備に失敗するということは、失敗する準備をしているようなものである テストを実施する企業も、プロジェクトを主導するOEMも、ペンテストを他のプロジェクト同様に管理する必要があります。 プロジェクトは、例えば、要件分析、テスト範囲の決定、テストストラテジー、必要なツールの決定、見積もり、プロジェクト計画など、複数の段階からなっています。これらはすべてペンテストプロジェクトを成功させるのに不可欠なステップです。当社のペンテストチームは記憶に残るあるペンテストプロジェクトから、事前の準備の大切さを学びました。チームはセルラーネットワークにつながっておらず、コネクテッド機能がすべて無効になった状態のユニットのペンテストを依頼されました。この見落としによって2か月の遅延が生じましたが、これは回避することができたはずでした。 車両ペンテストはプロジェクトであり、どのような複雑なプロジェクトにも適切な計画が必要と言えます。 自動車ペンテストの必須事項4:やめ時を知るどこまでもやらなければならない、ということではない 通常のペンテストプロジェクトでは、発見された脆弱性をすべてマッピングした後、OEMまたはティア1の要件に基づき、ペンテスターがそれらを用いて侵入を試みることがあります。脆弱性を利用するには、多くの時間や資源がかかります。さまざまな攻撃を実証するにはペンテスターは自らの経験や直感を駆使する必要があるからです。 前述したように、ハッカーは発見した脆弱性の悪用に最終的には成功するものなので、ペンテスターとしては、付加価値が得られることが明らかな場合にのみ、脆弱性を活用するべきです。例えば、ほとんどのケースで既によく知られている攻撃の影響を経営陣に証明する必要がある場合などです。 ペンテストの目標を事前に決めておき、それを達成したところで終わりにすべきです。 自動車ペンテストの必須事項5:想定外!に備える最善を期待し、最悪の事態を予測し、想定外に備える 自動車のペンテストプロジェクトでは、既に販売されている車両の脆弱性をリサーチャーが発見する可能性があるため、OEMやティア1にとって深刻な事態となる場合があります。OTAによるセキュリティアップデート機能がない場合、自動車メーカーはサイバーリコールをしなければならず、そうなれば重大な財政的損失やブランドイメージの低下につながりかねません。自動車メーカーがペンテストプロジェクトを実施する際には、常に最悪の事態に備え、インシデント対応計画を定めておく必要があります。 自動車ペンテストの必須事項6:組織内での期待値のズレをなくす共有は、思いやりである OEMやティア1は多くの大企業が直面しているのと同じ、「効果的な知識の伝達」という課題を抱えています。ある部署がペンテストプロジェクトを実施しても、その結果が社内で共有されないことも少なくありません。 当社のリサーチチームは、ある地域のティア1から、あるユニットのペンテストを依頼されました。後になってわかったのですが、このテスト結果は、このユニットに関わっている別の地域のチームにはまったく伝えられていませんでした。社内で知識の伝達が行われないのは非効率なことであり、テストの対象となったユニットのセキュリティ状況を改善するという目標に近づくことができません。 プラクシディティ エックス(旧アルガス)のリサーチチーム一同、上記のアドバイスがお客様のペンテストプロジェクトのお役に立つことを願っています。今後のペンテストプロジェクトについてのご相談や、関連するご質問があれば、お問合せフォームからご連絡ください。すぐに当社から折り返しご連絡いたします。
---
### 6 Must-Do’s of Vehicle Penetration Testing
> Read about the six must-do’s of performing vehicle penetration testing for optimal automotive cyber security. Click here to learn all you need to know!
- Published: 2021-03-09
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/6-must-dos-of-vehicle-penetration-testing/
- Categories: Cyber Security Blog
- Tags: Penetration Testing
- Translation Priorities: Optional
IT-based penetration testing (pen-testing) is a well-known method of conducting a simulation of a cyber attack. In a pen-testing project, researchers imitate a hacker’s behavior, methods, and tools in order to simulate a real world attack scenario on the enterprise computer network to find vulnerabilities and other security gaps or to validate that security requirements were implemented properly. With vehicles becoming increasingly connected and software driven, and in the wake of UNECE R155, pen-testing vehicles has now become a critical step for OEMs and Tier 1s seeking to reduce their cyber risk exposure. After completing dozens of pen-testing projects for OEMs and Tier 1s, with a 100% success rate of penetration, we came up with this list of MUST DO’s of vehicle pen-testing to ensure that you get the most out of your next vehicle pen-test. Vehicle Penetration Testing Must-Do #1: Use Your Pen Test Time WiselyAfter all, it’s about penetrating your vehicle, not your pocket. Often, OEMs and Tier 1s fall victim to the misconception that they will get the best results from a pen-test if they make it as hard as possible for the pen-testing team, providing them with almost no information about the object being tested. What is commonly known as a black box project - one in which the researchers are provided with absolutely no information about the target component. However, determined hackers will always be able to hack the system, it is just a matter of time. The big question is what vulnerabilities...
---
### High Profile Linux Vulnerability May Make Vehicles Susceptible to Cyber Attack
> As vehicles become increasingly software driven their risk of cyber attack grows. To learn more about how this CVE and others can impact you - read this blog!
- Published: 2021-01-31
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/high-profile-linux-vulnerability/
- Categories: Cyber Security Blog
- Tags: Cyber Research, Vehicle Vulnerabilities
- Translation Priorities: Optional
On January 26th, the research group at Qualys, an IT security provider, published a report illustrating how they succeeded to exploit a vulnerability (CVE-2021-3156) in Sudo, an open source code program that is widely used in Linux-based systems. This blog will tell you a little bit more about the vulnerability and PlaxidityX's (formerly Argus Cyber Security) recommendations. Why Are We Bringing This Vulnerability to Your Attention? The vulnerability, which exists in Sudo versions since 2011, potentially impacts newly introduced Linux-based ECUs, such as TCUs, ADAS systems, infotainment systems, instrument clusters, and smart gateways and could affect 10s of millions of vehicles. What Harm Can the Vulnerability do if Exploited? The vulnerability, also known as Baron Samedit, is a heap overflow vulnerability that can enable privilege escalation. Privilege escalation vulnerabilities provide unauthorized users administrative rights to the Linux system, enabling them to take full control of potential target ECUs. However, it is important to note that this vulnerability on its own DOES NOT PRESENT HIGH RISK to automakers as malicious actors still require initial code execution access to the ECU in order to exploit it. In the event of compromise and without specific security mechanisms in place, an exploit of this vulnerability could enable access to safety critical components. Even in secured architectures, the vulnerability may enable vehicle tracking, access to sensitive data, and Denial of Service of the target ECU. What Should Vehicle Manufacturers Do? The first thing that vehicle manufacturers should do is determine...
---
### IPA Approaches for Vehicle Information Security
> The Japanese IPA is a governmental agency tasked with monitoring and analyzing shifting IT trends and technologies. Click here to learn all you need to know!
- Published: 2020-10-18
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/ipa-approaches-for-vehicle-information-security/
- Categories: Standards and Compliance
- Tags: Security Lifecycle Management
- Translation Priorities: Optional
Status: Final Published Date: August 2013 Region: Japan Background The Japanese IPA is a governmental agency tasked with monitoring and analyzing shifting IT trends and technologies. Its goal is to provide guidelines and solutions to accelerate industry growth, including in the field of IT security. The IPA published in 2013 a guidance paper on Approaches for Vehicle Information Security, based on past publications from the agency in 2011, including Security in Embedded Systems, Vehicle Information Security, and Approaches for Embedded System Information Security. Approaches for Vehicle Information Security targets vehicle and vehicle parts manufacturers, as well as providers of various vehicle services. The guide references a number of existing initiatives and standards that can be used as well, such as TCG’s TPM specification, the European Union’s EVITA project, IEC62443 Cybersecurity Fundamentals Specialist certificate, ISO 7002 Information Security Standard, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, E. U. Preparing Secure Vehicle-to-X Communication Systems (PRESERVE), and U. S. NIST Computer Security Incident Handling Guide. Summary The guide starts by detailing the automotive system model (internal architecture, peripheral systems, information, and other vehicle assets, etc. ) and the various threats and vulnerabilities affecting them. A lengthy Appendix I serves to offer security measures that can be implemented against those threats. The table titled “A Mapping Table for Functions, Threats and Countermeasure Techniques” (for in-vehicle systems) provides a sort of check-list for developers on how to offset particular threats (e. g. , virus infection, unauthorized use, information leakage,...
---
### ISO 14229-1:2013 Road Vehicles - Unified Diagnostic Services (UDS) - Part 1: Specification and Requirements
> ISO 14229 defines common requirements for diagnostic systems, whatever the serial data link is. Click here to learn all you need to know about ISO 14229!
- Published: 2020-10-18
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/iso-14229-12013-unified-diagnostic-services-uds/
- Categories: Standards and Compliance
- Tags: Compliance, Vehicle Networking
- Translation Priorities: Optional
Status: Published Date: 2013 (second edition) Region: Global Document: Link Background ISO 14229 defines common requirements for diagnostic systems, whatever the serial data link is. The idea is to allow a diagnostic tester (client) to control diagnostic functions in an on-vehicle Electronic Control Unit (ECU, server) such as electronic fuel injection, automatic gearbox, anti-lock braking system, etc. connected to a serial data link embedded in a road vehicle. Summary ISO 14229 is based on the Open Systems Interconnection (OSI) Basic Reference Model in accordance with ISO 7498-1 and ISO/IEC 10731, which structures communication systems into seven layers. When mapped on this model, the services used by a diagnostic tester (client) and an Electronic Control Unit (ECU, server) are broken into the following layers: application layer (7), presentation layer (6), session layer services (5), transport layer services (4), network layer services (3), data link layer (2), and physical layer (1). UDS utilizes the application layer (ISO 14229-1) and the session layer services (ISO 14229-2). The standard is split into a number of sections: Application layer services Application layer protocol Service description conventions Diagnostics and Communication Management functional unit Data Transmission functional unit Stored Data Transmission functional unit InputOutput Control functional unit Routine functional unit Upload Download functional unit Specifically pertaining to security can be found in two sections, both under the Diagnostic and Communication management unit. Firstly, the Security Access service requirement details how an ECU can be securely accessed by a client. This includes the use of a seed-key exchange...
---
### Virtual Chat Recording & Q&A: The Origins and Impact of WP.29’s Regulation on Automotive Cyber Security & CSMS
> The rise in cyberattacks against vehicles has led to multiple standards, best practices and imminent regulations, that OEMs & Tier 1s may battle to comply with
- Published: 2020-09-23
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/impact-wp-29-virtual-chat/
- Categories: Standards and Compliance
- Tags: Compliance, UNECE WP29
- Translation Priorities: Optional
The increasing threat of cyber-attacks against vehicles has led to the recent approval by the World Forum for the Harmonization of Vehicle regulations (WP. 29) of the first automotive cyber security regulation in history. In this chat, the joint chairpersons who led the development of the new regulation from the UK and Japan, Darren Handley and Dr Niikuni Tetsuya, will share their perspective on the process of drafting a vehicle cyber security regulation and how they see it impacting the industry. Key topics and takeaways The story of WP. 29 cybersecurity regulation from the individuals who led the process An updated view of Japan’s timeline Key implementation and enforcement challenges for national authorities How the interpretation document can assist the industry Please watch their discussion here:
---
### Auto-ISAC Series of Automotive Cybersecurity Best Practices
> The Auto-ISAC stems from PDD-63 on for the protection of the U.S. critical infrastructure. Learn its impact ob automotive cyber security here!
- Published: 2020-09-13
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/auto-isac-series-of-automotive-cybersecurity-best-practices/
- Categories: Standards and Compliance
- Tags: Compliance, Risk Assessment Archives, Security Lifecycle Management
- Translation Priorities: Optional
Status: Final Published Date: Since July 2019 Region: United States Document: Link Background The Auto-ISAC stems from Presidential Decision Directive 63 (PDD-63) in 1998 on the creation of public-private sector partnerships for the protection of the U. S. critical infrastructure. It comes under the purview of the National Infrastructure Protection Plan (NIPP 2013) - Partnering for Critical Infrastructure Security and Resilience. Formed in 2015, and operational in 2016, the Auto-ISAC is composed of 30+ OEMs. Its goal is to provide a global information-sharing community focused on promoting and sharing information on vehicle cybersecurity. In 2016, Auto-ISAC published a series of best practices (seven in total, plus an executive summary), which cover the following topics: Incident response (updated July 2019) Collaboration and engagement with appropriate third parties (updated July 2019) Governance (updated July 2019) Risk assessment and management (updated August 2019) Threat detection, monitoring, and analysis (updated August 2019) Training and awareness (updated August 2019) Security development life cycle (update not available online) They are aimed at OEMs, suppliers, and the commercial vehicle sector primarily. Summary The best practices offer a risk-based approach for OEMs to manage and mitigate vehicle cybersecurity and cover all phases of the vehicle lifecycle, including design, development, and post-production. The Incident Response Best Practice includes guidance on how to prepare an incident response plan (establishing roles and testing through drills), identify and then fix incidents rapidly (including technical, and non-technical processes, such as communications, legal, and regulatory), and finally close out the process with self-evaluation and...
---
### NHTSA Cybersecurity Best Practices for Modern Vehicles
> The NHTSA’s goal is to leverage existing tools and technologies. The DOT HS 812 333 recommends using a layered approach to vehicle cybersecurity. Click for more
- Published: 2020-09-13
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/nhtsa-cybersecurity-best-practices-for-modern-vehicles/
- Categories: Standards and Compliance
- Tags: Compliance, Risk Assessment Archives
- Translation Priorities: Optional
Status: Final Published Date: October 2016, Version 1 Region: United States Document: Link Background The U. S. DOT’s NHTSA is behind the Cybersecurity Best Practices for Modern Vehicles (Report No. DOT HS 812 333). It is part of the NHTSA’s Vehicle Cybersecurity Research Approach, which focuses on five main goals: Expand and share automotive cybersecurity knowledge Help the automotive industry with best practices and voluntary standards for cybersecurity Foster the development of new system solutions for automotive cybersecurity Determine the feasibility of developing minimum performance requirements for automotive cybersecurity Gather foundational research data and facts to inform potential future Federal policy and regulatory activities The DOT HS 812 333 was published as part of the second goal and provides core best practices for the automotive industry, notably manufacturers and designers, to improve vehicle cybersecurity. The DOT HS 812 333 aims to complement SAE J3061 Recommended Best Practice, Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, and the Alliance of Automobile Manufacturers and the Auto-ISAC Automotive Cybersecurity Best Practices. It further complements the NHTSA’s Federal Automated Vehicles Policy, published in September 2016, which considers vehicle cybersecurity in the Vehicle Performance Guidance for automated vehicles. Summary The NHTSA’s goal is to leverage existing tools and technologies. The DOT HS 812 333 recommends using a layered approach to vehicle cybersecurity, which is framed after the U. S. NIST Cybersecurity Framework. This approach focuses on four principles: Risk-based prioritized identification and protection of safety-critical vehicle control systems and personally identifiable information Timely detection and rapid response...
---
### Raspberry Pi Remote Flashing
> Raspberry Pi is a low cost SBC developed in the UK by the Raspberry Pi Foundation to promote the teaching of basic computer science. Clicl here to learn more!
- Published: 2020-09-03
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/engineering-blog/raspberry-pi-remote-flashing/
- Categories: Engineering Blog
- Tags: Cyber Research, Security Testing Tools
- Translation Priorities: Optional
Background Raspberry Pi is a low cost SBC (single board computer) developed in the United Kingdom by the Raspberry Pi Foundation to promote the teaching of basic computer science in schools and in developing countries. Because of its low price ($35) and capabilities, it became very popular in markets other than education, such as robotics, research, and more. Now, in its third generation, the Raspberry Pi 3 is packed with a quad-core ARM Cortex-A53 CPU, 1GB of RAM, WiFi, and Bluetooth. We chose the Raspberry Pi 3 for testing our products because most of our customers use ARM-based platforms, which also made the Raspberry Pi a perfect evaluation board for new customers. Normally, when using a Raspberry Pi you have to manually flash an image (like the Raspberry Pi OS) on an SD card, and then use the SD card to boot the Raspberry Pi. However, the manual part in this process makes it unusable with our continuous integration (CI /continuous deployment (CD) pipelines. This is one of the reasons why we decided to look for a solution to automate the flashing process. We needed a solution for our CI/CD pipelines and also wanted to give our developers the ability to have a Raspberry Pi with their latest code in a click - no matter where they are located. Raspberry Pi Boot Process (simplified) Let’s describe the Raspberry Pi boot process - just to give you a little more background. It is unique because the first stages of the boot...
---
### Our NestJS Adoption Story: The Need for an Extensive Application Framework
> There are various alternatives to the Scala/Play framework. This article presents a detailed overview of 1 alternative - called NestJS. Click here for more!
- Published: 2020-08-26
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/engineering-blog/our-nestjs-adoption-story/
- Categories: Engineering Blog
- Tags: Cyber Research, Security Development Tools
- Translation Priorities: Optional
There are various alternatives to the Scala/Play framework. This article presents a detailed overview of one alternative that we discovered, called NestJS. Our long discovery path began in response to the complexities associated with the previous framework. In this piece, we cover the reasons behind our transition to NestJS, the implementation process, as well as key takeaways following the transition. MOTIVATION Why we looked for an alternative to our Scala/Play Implementation Throughout the development process, the PlaxidityX (formerly Argus Cyber Security) team had the REST API written in the Scala/Play framework. The Play framework is a functional and asynchronous framework that is adopted by a relatively big community. The Play framework is also written in the Scala source code, which is a common programming language in the Big Data automotive world. Throughout the implementation stage, the team identified gaps in the system from unnecessary load, due to Scala/Play’s nature: Compared to other build tools out there, the open source build tool sbt is inefficient. It lacks documentation and engineers claim that it’s hard to learn and is slower than other build tools System overload - sometimes it would take 4 minutes just to bootstrap a service after restart ARCHITECTURE Why we decided to use NestJS When looking to transition the REST APIs to an application framework, we wanted something that is lightweight and designed to be a microservice by nature. It’s important to note that for production microservices, we use either JavaScript or Scala, and there’s no reason to add...
---
### Trusted Execution Environment (TEE)
> The Trusted Execution Environment (TEE) is a secure area that resides alongside the REE of the main processor in connected devices. Click here to learn more!
- Published: 2020-08-19
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/trusted-execution-environment-tee/
- Categories: Standards and Compliance
- Tags: Compliance, Mobile Communications
- Translation Priorities: Optional
Status: Final Published (maintained by GlobalPlatform) Date: Public Release, November 2018 (most recent system architecture release) Region: Global Document: Link Background The Trusted Execution Environment (TEE) is a secure area that resides alongside the Rich Execution Environ- ment (REE) of the main processor in connected devices, most notably smartphones. The purpose of the TEE is to provide a trusted and isolated environment in which sensitive data and assets can be stored, and trusted code executed, protecting these sensitive assets and Trusted Applications (TAs) from any software attacks generated within the REE. Previously, multiple proprietary standards for TEEs were leveraged in the mobile device space. More recently, the non-profit GlobalPlatform industry association has developed specifications and maintained a certifica- tion program for a standardized and interoperable TEE. Summary GlobalPlatform, a non-profit industry association with more than 100 members, has published specifications, through a variety of documentation, to ensure that their certified TEEs fulfill the following characteristics: The TEE is isolated from the REE, including any assets stored within the TEE and any TAs running within this secure environment. Isolation within the TEE itself, i. e. , different TAs running within the TEE are isolated from each other. Once the device is deployed, the TEE and any TAs running within the TEE can only be modified by authenticated entities. The boot process must be bound the System-on-Chip (SoC) to ensure the authenticity of the TEE firmware and TAs running within the TEE. Likewise, the TA and TEE data must be stored securely...
---
### SP 800-153 Guidelines for Securing Wireless Local Area Networks (WLANs)
> The NIST SP 800-153 document was developed to provide security guidance for WLAN connections based on the IEEE 802.11 specification. This standard is meant to supplement, not override any other NIST documents, guidelines, and standards related to communication security. The SP 800-153 is considered one of the vital digital security documents aimed at providing the groundwork for a significant portion of IoT connections, including applications that relate to the smart city/automotive combination.
- Published: 2020-08-19
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/sp-800-153-guidelines-for-securing-wireless-local-area-networks-wlans/
- Categories: Standards and Compliance
- Tags: Compliance, Mobile Communications
- Translation Priorities: Optional
Status: Final Published Date: February 2012 Region: United States Document: Link Background The NIST SP 800-153 document was developed to provide security guidance for WLAN connections based on the IEEE 802. 11 specification. This standard is meant to supplement, not override any other NIST documents, guidelines, and standards related to communication security. The SP 800-153 is considered one of the vital digital security documents aimed at providing the groundwork for a significant portion of IoT connections, including applications that relate to the smart city/automotive combination. Summary WLAN Network Architecture: WLAN connections are characterized by the wireless communication of networking devices within a certain geographic area (key applications include building automation or industrial settings). WLAN depends upon the following three components: 1) the gateways/routers that allow the connection, 2) the devices (CE) that connect to said routers, and 3) the Wireless Access Points (WAPs or simply APs), which are the hardware components required to allow connectivity, even if there is no router in range. Different security requirements are needed in order to protect the network and its components, and the document focuses on suggestions related to the networks themselves rather than the devices that connect to them. Security Assessment and Monitoring: The NIST makes another important suggestion regarding WLAN security assessment and monitoring. These two terms describe the periodic or continuous processes that relate to an organization assessing and monitoring the security aspects, traffic, and behavior of their WLAN networking systems. A great deal of the suggestions relate to attacker tunneling...
---
### ISO/IEC 30111:2013 Information Technology - Security Techniques - Vulnerability Handling Processes
> ISO/IEC 30111:2013 (Vulnerability Handling Processes) has been developed by the ISO and IEC’s JTC 1/SC 27 Technical Committee. Click here to learn more!
- Published: 2020-07-19
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/iso-iec-301112013-information-technology-security-techniques-vulnerability-handling-processes/
- Categories: Standards and Compliance
- Tags: Compliance, Vehicle Vulnerability Management
- Translation Priorities: Optional
Status: Final Published Date: November 2013, Version 1 Region: Global Document: Link Background ISO 30111 is to be used in conjunction with ISO 29147. It has been developed by the ISO and IEC’s JTC 1/SC 27 Technical Committee on Information security, cybersecurity and privacy protection. The standard is available for purchase online in paper or digital copy. While ISO 39417 deals with vulnerability disclosure policies and advisories on collecting and disseminating vulnerability information, ISO 30111 provides guidelines on how to process and resolve potential vulnerability information in a product or service. As such, it provides information on how vendors should investigate and resolve potential vulnerabilities, regardless of source. It is targeted at those vendors involved in handling vulnerabilities. ISO 30111 also takes into consideration ISO/IEC 15408-3:2008 on Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components. The standard is under review and will be eventually superseded by ISO/IEC FDIS 30111, which is under development currently. Summary The standard recommends that vendors put in place a process and an organizational structure to support vulnerability investigation and remediation. This includes developing a vulnerability handling policy and an organizational framework that can fully support the process. The basic phases listed for dealing with vulnerability are outlined as followed: Vulnerability Report Received: Either external finder or internal testing; if an external finder was the source, then ISO 29147 applies here. Verification: Initial investigation, root cause analysis, further investigation, and prioritization. Possible exit conditions for this step...
---
### ISO/IEC 29147:2018 Information Technology - Security Techniques - Vulnerability Disclosure
> ISO 29147 (Vulnerability Disclosure) has been developed by the ISO and IEC’s JTC 1/SC 27 Technical Committee. Click here to learn all you need to know about it!
- Published: 2020-07-19
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/iso-iec-291472018-information-technology-security-techniques-vulnerability-disclosure/
- Categories: Standards and Compliance
- Tags: Compliance, Vehicle Vulnerability Management
- Translation Priorities: Optional
Status: Final Published Date: February 2014, Version 1; October 2018, Revised Region: Global Document: Link Background ISO 29147 has been developed by the ISO and IEC’s JTC 1/SC 27 Technical Committee on Information security, cybersecurity and privacy protection. The standard is available for purchase online in paper or digital copy, although the first version is available for free online. The standard provides guidance to vendors on how to disclose vulnerabilities in products and services. The goal is to reduce the risk associated with exploiting vulnerabilities. ISO 29147 should be used in conjunction with ISO/IEC 30111:2013 Information Technology — Security Techniques — Vulnerability Handling Processes. Further, ISO 29147 complements technical vulnerability management techniques found in ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls. Summary Vulnerability disclosure focuses on the techniques and policies for vendors to receive vulnerability reports and publish remediation information. As such, the standard provides a number of tools: Guidelines on receiving reports about potential vulnerabilities Guidelines on disclosing vulnerability remediation information Terms and definitions that are specific to vulnerability disclosure An overview of vulnerability disclosure concepts Techniques and policy considerations for vulnerability disclosure Examples of techniques, policies (Annex A), and communications (Annex B) The standard starts within definitions (of systems, components, and services) and the roles of the various stakeholders (users, vendors, reporters, coordinators). As such, three main sections are outlined in the standard: receiving vulnerability reports, publishing vulnerability advisories, and creating a vulnerability disclosure policy. The first section, receiving vulnerability...
---
### PlaxidityX CAN IDS Production-Grade Integration Now Takes Only One Month with New PlaxidityX CAN IDS API and Generic CPU Architecture Support
> Read about the sharp increase in demand among OEMs to integrate CAN Intrusion Detection Systems (IDS) in multiple ECUs. Click here to learn more!
- Published: 2020-06-22
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/argus-can-ids-production-grade-integration-now-takes-only-one-month-with-new-argus-can-ids-api-and-generic-cpu-architecture-support/
- Categories: Cyber Security Blog
- Tags: CAN IDPS
- Translation Priorities: Optional
An increasing need to reduce exposure to cyber risks and imminent changes in automotive cyber security regulations are driving a sharp demand among OEMs to integrate CAN Intrusion Detection Systems (IDS) in multiple ECUs. CAN IDS solutions help OEMs detect and respond to cyberattacks, while giving them the visibility they need to determine the security posture of the fleet. However, with vehicles containing numerous ECUs (all differing in CPU architecture and constraints) integrating Intrusion Detection Systems in a cost-effective way, has proven to be challenging and can lead to increased project costs for OEMs and Tier1s. Lessons learned from integrating CAN IDS in dozens of ECU integration projects (pre-development and production), have led to PlaxidityX (formerly Argus Cyber Security) CAN IDS latest software update, version 1. 9. This latest version includes multiple enhancements that minimize NRE integration efforts and enable faster integration with a new API and inherent support for major automotive CPU architectures. Version 1. 9 reduces project management integration efforts and time by as much as 67% and makes it easier for Tier1s to support change requests received at a later stage in a production project. In practice this makes integrating IDS easier than ever before. Moreover, PlaxidityX CAN IDS version 1. 9 supports a broad range of requirements, enabling OEMs and Tier 1s to tailor the solution to fit their specific needs: Tested and easily integrated with multiple operating systems and CPU architectures enabling easy integration with classic AutoSAR and bare-metal ECUs Supports ARM, Tricore, V850, and...
---
### Over 17 Million Vehicles To Be Secured by PlaxidityX Connected ECU Protection
> Argus Connected ECU Protection to secure more than 17 million vehicles in production projects for multiple OEMs over the next few years. Click here for more!
- Published: 2020-06-18
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/over-17-million-vehicles-to-be-secured-by-argus-connected-ecu-protection/
- Categories: Cyber Security Blog
- Tags: ADAS, Connected ECU IDPS, Telematics
- Translation Priorities: Optional
We are happy to announce that PlaxidityX (formerly Argus Cyber Security) Connected ECU Protection will be securing more than 17 million vehicles in production projects for multiple OEMs over the next few years, and will be on the road as early as December 2020. This great achievement is a testament to the progress that PlaxidityX and the industry have made towards protecting vehicle fleets and the public from the risk of cyber threats. PlaxidityX Connected ECU Protection offers multiple, independent software modules that provide layers of protection, detection, and response to a wide range of automotive attack scenarios. Built to secure ECUs running POSIX-based operating systems, such as Telematics, Infotainment, ADAS and HPC units, PlaxidityX Connected ECU Protection offers support for Linux, Android OS, Adaptive AUTOSAR, QNX, and WebOS Auto. Test the Latest Version Release with Our Quick Evaluation Kit With the global pandemic making product evaluations more complex than ever, we have developed a technical evaluation kit that enables our customers to get hands-on experience with the latest PlaxidityX Connected ECU Protection software version 3. 4, within days of initial set up. Based on a readily available Raspberry Pi SBC, the kit provides you with ready-made attack scenarios that you can test in a near-real ECU environment at your convenience. What’s New in Release 3. 4 PlaxidityX Connected ECU Protection version 3. 4 introduces the following enhancements: Minimizes integration efforts, enabling integration in a production environment in less than four weeks Reduces the product footprint with lower RAM consumption...
---
### Guide to Busybox Compilation on Automotive Build Platforms
> Busybox is an GPL2 software project combining tiny versions of common UNIX utilities into a single small executable. Knife of Embedded Linux. Read more here!
- Published: 2020-06-16
- Modified: 2022-12-23
- URL: https://plaxidityx.com/blog/engineering-blog/guide-to-busybox-compilation-on-automotive-build-platforms/
- Categories: Engineering Blog
- Tags: Security Development Tools
- Translation Priorities: Optional
What is busybox? Busybox is an GPL2 software project that combines tiny versions of many common UNIX utilities into a single small executable. It has been around since the early 90’s, and it’s used in a vast variety of embedded systems, this is why it gained the title Swiss Army Knife of Embedded Linux. Intro to (some) using Busybox security issues In Busybox, each utility is called an applet. Calling make config, users can customize applets and compile only applets relevant to them into one unified and easy to use binary. Calling the make install command, Busybox will install itself on the system by copying your customized Busybox binary to the /bin folder. Busybox automatically creates symlinks for all compiled applets. Each symlink will call the Busybox binary with the relevant applet name. This means that if we call an applet, busybox will be executed with the applet as the first parameter (argv). Securing the Busybox binary is challenging because it is difficult to change permissions or track each individual applet for the following reasons: Since operating system access control is file-system based, different applets run from the same executable, it is difficult to apply different permissions to each applet. Different environments (production, development, debug etc... ) need different kinds of configurations. When busybox is compiled to one binary, it is harder to track which applets are included in this binary than it will be when separating the applet to different standalone binaries, also there can be more than one...
---
### E-safety Vehicle Intrusion Protected Applications (EVITA)
> The EVITA project was an automotive cyber security initiative co-funded by the European Union. Click here to learn all you need to know about it!
- Published: 2020-06-16
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/e-safety-vehicle-intrusion-protected-applications-evita/
- Categories: Standards and Compliance
- Tags: Communication Protocols, Compliance, IDPS
- Translation Priorities: Optional
Status: Final Published Date: Published November 2011 Region: Europe Document: Link Background The EVITA project was an automotive cybersecurity initiative co-funded by the European Union, intended to improve the resilience of the automotive on-board network to attacks from new V2X applications, as well as the physical attacks made possible by the physical access that attackers can have to vehicles in the public environment. Through a process of identifying E/E use cases, analyzing potential threats, and their associated risk, EVITA developed a series of security requirements for on-board networks. This was then distilled into a standard recommending hardware and software architectures to fulfill the defined security requirements. Summary The EVITA standard sets out a recommend hardware and software architecture to satisfy safety requirements intended to mitigate the cybersecurity threats associated with typical connected car use cases, including Vehicle-to-Vehicle (V2V) and Vehicle-to-Infrastructure (V2I) communications, smartphone integration, OTA updates, and diagnostic processes. Having identified these use cases, the EVITA project identified potential malicious agents and cybersecurity threats using an attack tree methodology. The level of risk associated with these threats was calculated by considering the severity of the threat, along with the likelihood that such an attack could occur. Once these threats and the level of risk had been identified, the EVITA project defined a series of security objectives using functional path mapping to mitigate threats. EVITA identified the following security requirements: HSMs must be tamperproof, or attempts at tempering must be detectable. In-vehicle software and locally stored data related to the connected...
---
### ISO/IEC 27035:2016 Information Technology, Security Techniques, and Information Security Incident Management
> ISO 27035 is a two-part standard developed by the ISO and the IEC, notably the ISO/IEC JTC 1/SC 27 Technical Committee. Click here to learn all you need to know
- Published: 2020-06-16
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/iso-iec-270352016-information-technology-security-techniques-and-information-security-incident-management/
- Categories: Standards and Compliance
- Tags: Compliance, SIEM
- Translation Priorities: Optional
Status: Final Published Date: September 2011, Version 1; November 2016, Revised Region: Global Document: Link Background ISO 27035 is a two-part standard developed by the ISO and the IEC, notably the ISO/IEC JTC 1/SC 27 Technical Committee on Information security, cybersecurity and privacy protection. The first part tackles the basic principles of incident management and the second part provides guidelines to plan and prepare for incident response. Together, they form the basis for generic information security incident management that can be applied across all sectors to all organizations, regardless of type, size, or nature. They are available for purchase online in digital or paper copy. The standards form part of the internationally regarded and adopted 27000 series on information security management, of which the primary standard is ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary. Summary The goal of the standard is to provide a framework for organizations to be able to: Detect, report, and assess information security incidents Respond to information security incidents, including the activation of appropriate controls to prevent, reduce, and recover from impacts Report information on security vulnerabilities, so they can be assessed and dealt with appropriately Learn from information security incidents and vulnerabilities, institute preventive controls, and make improvements to the overall approach to information security incident management. The first part of the standard focuses on the basic concepts and principles, followed by a descriptive of the objectives of incident management, the benefits of a structured approach,...
---
### UNECE WP29 Automotive Cybersecurity Regulation
> WP 29 cyber security is the world forum for the harmonization of vehicle regulations which defines the process of type approval for all vehicle types.
- Published: 2020-06-03
- Modified: 2023-11-28
- URL: https://plaxidityx.com/blog/standards-and-compliance/unece-wp29-automotive-cybersecurity-regulation/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Status: Published Published Date: June 2020 Region: Global Document: Link UNECE WP29 Automotive Cybersecurity Regulation Background on the UNECE WP29 Automotive Cybersecurity Regulation WP. 29 is the World Forum for the Harmonization of Vehicle Regulations which defines the process of type approval for and mutual recognition of wheeled vehicles, equipment, and parts. WP. 29 is part of the United Nations Economic Commission for Europe (UNECE) and forms the largest international vehicle regulatory system in the world. Its primary responsibility is to keep its vehicle regulations updated and relevant, especially in the context of changes in technology, safety, and environmental protection. As of 2020, the contracting parties (CPs) to UNECE’s 1958 agreement have grown to 54 including all EU countries and other OECD nations (see Figure 1 below) like Japan, Turkey, Russia, Australia, and South Africa. The latest WP. 29 document relating to cybersecurity becomes the first regulation that mandates cybersecurity in connected and autonomous vehicles. Summary WP. 29 cybersecurity regulation outlines requirements for new vehicles and the organizations that manufacture them. The cybersecurity requirements described are for the purpose of obtaining approval for new vehicle types with regards to cybersecurity. The regulation currently applies to vehicles of category M and N (mainly - vehicles with 4 wheels or more with specific load capacities) - with more categories (O, R, S and T) under consideration. The regulation will also apply to more categories if equipped with automated driving functions beyond level 3. The regulation divides type approval into two very distinct...
---
### Federal Motor Vehicle Safety Standard 114: Theft Protection and Rollaway Prevention
> The Confidentiality and Integrity Algorithms for GSM and GPRS (specifically the A5/3, A5/4, GEA43, and GEA4) are tied to patents held by Mitsubishi
- Published: 2020-05-26
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/federal-motor-vehicle-safety-standard-114-theft-protection-and-rollaway-prevention/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Status: Final Published Date: Proposed rules published December 2011, extended comments 2012 Region: United States Document: Link Background The Federal Motor Vehicle Safety Standards; Theft Protection and Rollaway Prevention is a rule published by the U. S. National Highway Traffic Safety Administration (NHTSA), Department of Transportation (DOT). It currently forms of the Code of Federal Regulations (Title 49 – Transportation, Subtitle B — Other Regulations Relating To Transportation, Chapter V — National Highway Traffic Safety Administration, Depart- ment Of Transportation, Part 571 - Federal Motor Vehicle Safety Standards, Subpart B — Federal Motor Vehicle Safety Standards, § 571. 114 Standard No. 114; Theft protection and rollaway prevention). The NHTSA proposed revisions and additions in 2011 (comments closed in March 2012). In particular, it added clarifications on definitions, notably key (physical device or electronic code), key code carrying device (a physical device which is capable of electronically transmitting the key code to the vehicle starting system without physical connection), starting system (vehicle system used in conjunction with the key to activate the engine, motor or other system which provides propulsion to the motor vehicle) and stop control (the device used by the driver to deactivate the engine, motor or other system which provides propulsion to the motor vehicle). Summary The rules specify vehicle performance requirements intended to reduce the incidence of crashes resulting from theft and accidental rollaway of motor vehicles. It applies to all passenger cars, and to trucks and multipurpose passenger vehicles with a GVWR of 4,536 kilograms (10,000...
---
### Cyber-Physical Mobile Apps
> The Confidentiality and Integrity Algorithms for GSM and GPRS (A5/3, A5/4, GEA43 & GEA4) are tied to patents held by the Mitsubishi. Click here to learn more!
- Published: 2020-05-26
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/cyber-physical-mobile-apps/
- Categories: Standards and Compliance
- Tags: Compliance, Mobile Communications
- Translation Priorities: Optional
The increasing use of mobile applications to connect to automotive features (whether infotainment or for keyless entry) requires security to become an inherent piece of mobile application development. Three documents are reviewed in this chapter. The first focuses on an existing US standard from the US NHTSA, the Federal Motor Vehicle Safety Standards for Theft Protection and Rollaway Prevention, and notably on some recent updates regarding the form factors of modern keys, which can today be on a code carrying device (i. e. a smartphone or other physical device). The second is the OWASP Mobile Application Security Verification Standard which focuses on standardizing development practices and requirements to ensure the secure correct handling, storage, and protection of sensitive data in smartphones. This is a generic standard not specific to the automotive sector, but which is a significant recommendation carrying weight in the industry. The last is NIST Special Publication 800-163, which is intended for use by organizations intending to disseminate applications on employee end devices. It includes standards and best practices for secure app development (in accordance with their intended use case), as well as the formulation of procedures to vet those applications. Also a generic all-market publication, it has direct relevance to the automotive industry.
---
### UNECE Recommendation on Software Update Processes
> Read about UNECE's recommendation on software update processes and its applications in automotive cyber security. Click here to learn all you need to know!
- Published: 2020-05-26
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/unece-recommendation-on-software-update-processes/
- Categories: Standards and Compliance
- Tags: Compliance, Security Lifecycle Management
- Translation Priorities: Optional
Status: Published as a part of WP29 document Date: April 2020 Region: Europe Document: Link Background The UNECE Recommendation on Software Update Processes is an initiative of the UNECE set on providing a secure and standardized manner for OTA updates to take place, while still keeping involved parties certified for that exact process. Due to heavy governmental involvement, it is currently undergoing certain modifications based on issues that have arisen from stakeholders (e. g. , industry alliances, original device manufacturers, standardization bodies, government agencies). The requirements and text were approved and published in June 2020 on the UNECE / WP. 29 website. Summary As stated by the official documents, the security aspects of software updates are part of the “Recommendation on Cyber Security of the UNECE Task Force on Cyber Security and Over-the-air issues of the Working Party on Automated/Autonomous and Connected Vehicles (GRVA) under the Word Form for Harmonization of Vehicle Regulations. ” The GRVA UNECE security proposal document focuses on the secure application of software updates for connected vehicles and has the following three main objectives: Software Management: First, and perhaps most important of all, is to force all car manufacturers to develop a Software Update Management System (SUMS). This will set the groundwork for further cybersecurity implementations in the near future and create a steady foundation for the GRVA to allow for further inspection of software updates. An important element of the proposal is that it can grant additional visibility of said software updates from the end...
---
### eSIM GSMA: The SIM for the Next Generation of Connected Consumer Devices
> The Confidentiality and Integrity Algorithms for GSM and GPRS (A5/3, A5/4, GEA43 and GEA4) are tied to patents held by the Mitsubishi Electric Corporation Japan
- Published: 2020-05-26
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/esim-gsma-the-sim-for-the-next-generation-of-connected-consumer-devices/
- Categories: Standards and Compliance
- Tags: Compliance, Mobile Communications
- Translation Priorities: Optional
Status: Final Published Date: The SGP. 21 eSIM Architecture Specification SGP. 21 V2. 2 was published in September 2017. The newest consumer specification for V2. 2. 1 18 in December 2018 Region: United States Document: Link Background The GSMA embedded Subscriber Identity Module (eSIM) is a global specification that has been created to provide documentation for device manufacturers, secure element and Subscriber Identity Module (SIM) vendors, MNOs, and service providers, enabling remote SIM provisioning for cellular-enabled devices. The GSMA’s eSIM vision is not restricted to mobile handsets or consumer electronics alone. In fact, it is described as a vital enabler for Machine-to-Machine (M2M) communication, allowing seamless communication, remote management and provisioning, multi-IDs, mobile operator profiles, and convenient switching between those profiles. The GSMA states that more than 90 leading vendors are currently following the eSIM specification, including Gemalto, IDEMIA, Arm, Intel, Microsoft, LG, NXP, and Qualcomm, as well as MNOs including DOCOMO, Sprint, Vodafone, Deutsche Telekom, and Verizon. Summary The Strategic Nature of the eSIM: The GSMA has expanded upon the traditional nature of the ubiquitous SIM card by essentially “removing its removable aspect” and making the SIM an indispensable element of consumer mobile, M2M, and IoT devices. This strategic action has allowed the embedded SIM component to be present even earlier in the manufacturing process and IoT value chain. In turn, this opened the way for MNOs and service providers to further capitalize on cellular IoT connectivity and allowed them to better strategize for future deployment projects ahead of...
---
### PAS 1885:2018 - The Fundamental Principles of Automotive Cyber-Security
> Read about PAS 1885:2018: the fundamental principles of automotive cyber-security and its applications. Click here to learn all you need to know about it!
- Published: 2020-05-07
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/pas-18852018-the-fundamental-principles-of-automotive-cyber-security/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Status: Final Published Date: December 2018 Region: United Kingdom Document: Link Background Publicly Available Specification (PAS) 1885:2018 The fundamental principles of automotive cyber security is a specification developed by the U. K. British Standards Institution, sponsored by the Department for Transport. PAS is a pre-standardization document that can be used as a foundation for standard development. It is available for purchase online in digital and in hard copy formats. The PAS is intended for use by the automotive sector, including vehicle manufacturers, their supply chains, and the wider ecosystem (authorized service centers, aftermarket suppliers, road authorities, and service providers). It aims to set out the fundamental principles for the provision and maintenance of cybersecurity in intelligent transport ecosystems (e. g. , vehicles, related infrastructure, and human elements), including the reduction of threats and harm to products, services, and systems therein. The PAS aims to cover the security and functional safety aspects of the entire automotive development and use life cycle, including specification, design, implementation, integration, verification, validation, configuration, production, operation, servicing, and decommissioning. Summary The PAS is intended to be read together with the U. K. Government’s Key Principles of Cyber Security for Connected and Automated Vehicles published in August 2017. As such, it goes through each of these eight principles in detail and describes how to apply them from an organizational perspective: Organizational security is owned, governed, and promoted at the board level. Security risks are assessed and managed appropriately and proportionately, including those specific to the supply chain....
---
### Public Key Certificate x.509
> Read about Public Key Certificate x.509 its applications & benefits in automotive cyber security. Click here to learn all you need to know about x.509!
- Published: 2020-05-06
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/public-key-certificate-x-509/
- Categories: Standards and Compliance
- Tags: Cyber Research, Encryption
- Translation Priorities: Optional
Status: Final Published Date: May 2008, more revisions and alterations implemented Region: United States Document: Link Background The X. 509 standard defines the format of public key certificates for the public key infrastructure (PKI) used, including for the Transport Layer Secure (TLS)/Secure Sockets Layer (SSL), which secure the majority of the HTTPS. Over its lifetime, the x. 509 and its alternative models were developed through the collaboration of multiple entities, including the ITU, the Network Working Group (NWG), and the Internet Engineering Task Force (IETF), and has undergone further examination by organizations like the NIST, key technology vendors like Microsoft and Entrust Datacard, and CAs like GlobalSign. The current version is x. 509 V3 and has been further enhanced by ISO/IEC, ITU-T, and ANSI X9. Summary Brief introduction to PKI: Different entities make use of PKI to securely encrypt, decrypt, and authenticate the identity of messages from other parties, thus increasing confidence in the value chain that the entity sending a message “is who they claim to be. ” The x. 509 in PKI: Successfully deploying a digital certificate is the most critical function outlined in x. 509 and the standard mentions the programming parameters required to achieve that task. x. 509 certificates enable parties to securely authenticate the entities (and their subsequent services) that hold a private encryption key, thus allowing the exchange of information. External third-party CAs serve the vital function of overseeing and expediting this process on top of distributing digital certificates. While online servers, gateway/router applications,...
---
### Execution Environment (EE) Architecture
> The Confidentiality and Integrity Algorithms for GSM and GPRS (specifically the A5/3, A5/4, GEA43, and GEA4) are tied to patents held by the Mitsubishi Electric Corporation Japan
- Published: 2020-05-06
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/execution-environment-ee-architecture/
- Categories: Standards and Compliance
- Tags: Compliance, Functional Safety
- Translation Priorities: Optional
This chapter focuses on security and safety practices to secure the electronic / electric architecture of ground vehicles. ISO 26262 on the functional safety of road vehicles is reviewed under this section. The most recent revision includes cybersecurity as part of the overall safety management and technical safety concept phase, an important consideration that was absent from previous iterations. This inclusion is a testament to the automotive industry’s understanding of the inherent link between functional safety and cybersecurity, which has been shown vulnerable by the security research industry in the last few years. This state of affairs has further led to the development of a cybersecurity-focused standard for the automotive industry (ISO/SAE CD 21434 covered in the section below).
---
### Open Web Application Security Project Mobile AppSec Verification Standard 1.1.4
> Read about the Open Web Application Security project mobile AppSec verification standard 1.1.4 and its applications. Click here to learn all you need to know
- Published: 2020-05-06
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/open-web-application-security-project-mobile-appsec-verification-standard-1-1-4/
- Categories: Standards and Compliance
- Tags: Compliance, Mobile Communications
- Translation Priorities: Optional
Status: Final Published Date: July 2019 Region: Global Document: Link Background The OWASP Mobile Application Security Verification Standard (MASVS) has been developed by the Open Web Application Security Project to standardize development practices and requirements to ensure the secure correct handling, storage, and protection of sensitive data in smartphones. The development of this standard was motivated by two factors: Distinction between Desktop and Smartphone OS: While software security practices for desktop devices are mature, they are not always relevant to the typical smartphone OS or to smartphone applications, which differ both in their design and in their dissemination. Smartphone Hardware Heterogeneity: Smartphones vary in their hardware configurations, and thus in their level of hardware-backed security features. Therefore, MASVS sets out software development requirements, common testing standards, verification methods, and use case-specific recommendations for three different levels of applications security: MASVS-L1: Provides a “base-line” standard for application security of mobile devices. Therefore, this standard applies to all mobile applications, providing standards for handling sensitive data and secure interfaces. MASVS-L2: Builds upon MASVS-L1 to include methods for defense-in-depth, intended for use in the development for security-specific applications created with reference to a pre-defined threat model. This standard is relevant for applications that handle sensitive data, such as payment and online banking or healthcare applications. MASVS-R: Protects against threats originating from the client side, preventing reverse engineering and IP theft. MASVS is directly applicable to a number of automotive use cases, notably for the development of navigation systems, engine management diagnostics and tools,...
---
### Over-the-Air Update Security
> Read about Over-the-Air (OTA) update security and its benefits for automotive cyber security. Click here to learn all you need to know about it!
- Published: 2020-05-06
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/over-the-air-update-security/
- Categories: Standards and Compliance
- Tags: Compliance, Security Lifecycle Management
- Translation Priorities: Optional
Vehicle OTA will see the secure internal vehicle infrastructure opened up to the outside world. Although vehicle OTA will provide a means to patch faulty software or potential vulnerabilities, the OTA process will need to be provided in a secure manner. OTA updates provide OEMs with the ability to provide security patches to any potential hack in a swift manner. OTA in itself is not a protective measure but an impact mitigation technique to cybersecurity. This domain covers two processes for secure software updates, the Uptane Standard for Design and Implementation and the UNECE Recommendation on Software Update Processes. Uptane aims to provide secure software updates for ground vehicles. The UNECE Recommendation proposes a secure and standardized manner for OTA updates to take place for connected vehicles. Further, the x. 509 standard for public key infrastructure certificates is also included in this chapter, as it is being leveraged by the automotive industry to secure OTA connections, recommended by both Uptane and the UNECE Recommendation.
---
### Webinar Recording: What Can Vehicle Cyber Security Teams Learn from Other Industries
> Vehicle cyber security teams can gain valuable insights from other industries for their own operations. Watch this webinar to learn what you've been missing!
- Published: 2020-05-04
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/standards-and-compliance/regulations-compliance-webinar-wp29/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
The rise in cyberattacks against vehicles has led to multiple standards, best practices, and imminent regulations, such as UNECE WP. 29 that OEMs and Tier 1s may battle to comply with. Beyond the conventional issues facing automakers, such as investing in safety systems to avoid or mitigate collisions, compliance officers must now address another fundamental concern: monitoring, preventing, and responding to cyber attacks targeting their vehicles and fleets and integrating a “cyber security compliance” mindset throughout the organization. From a strategic standpoint, automakers are always trying to find the right balance between managing regulatory compliance and meeting consumer expectations. As automakers navigate through this complex landscape with regard to cyber security, we’ve decided to shed light on some of their concerns in last week’s Compliance Webinar Series: Part 1. Together with Andreas Herzig, Partner & Global Lead Automotive from Deloitte and Dr. Martin Weth, Founder & Managing Partner at Capitum Consulting, our very own Business Development & Compliance Manager, Jesse Sultanik discussed: The latest in the automotive cyber security regulatory landscape including insights from processes underway in the US, China, and UNECE How the automotive industry can leverage insights on compliance from aviation, banking, and corporates How the automotive industry should adapt to assure sound compliance from design, to homologation, and in the aftermarket phase of each vehicle Fill out the below form and watch the webinar!
---
### ETSI EN 303 613 V1.1.0
> The ETSI EN 303 613 standard concerns ITS and specifically a V2X access layer specification for ITS operating in the 5 GHz frequency band. Read more here!
- Published: 2020-04-07
- Modified: 2022-12-23
- URL: https://plaxidityx.com/blog/standards-and-compliance/etsi-en303-613/
- Categories: Standards and Compliance
- Tags: Communication Protocols, Compliance
- Translation Priorities: Optional
Status: Under Review Published Date: Scheduled to be published February 2020 Region: Europe Document: Link Background The ETSI EN 303 613 standard concerns Intelligent Transport Systems (ITS) and specifically an LTE-Vehicle-toEverything (V2X) access layer specification for ITS operating in the 5 Gigahertz (GHz) frequency band. It was first suggested by the ETSI Technical Committee ITS in October 2018 and is currently undergoing review and awaiting full approval in 2020. This ETSI document is quite technical in nature and much of the information is hidden behind the referencing of many other protocols without clear indication regarding their purpose as the reader is almost expected to be familiar with all ETSI, GSM, and GSMA specifications. Summary Focus on Complementary Protocols, Technical Specifications and Architecture: While the specification provides very little to no information regarding the thought process behind its development, technological evolution challenge, cost-benefit analysis, or even threat vectors, it does outline the technical components and architecture required to be successfully implemented. Multiple Referencing of Related ETSI Specifications: The ETSI includes an extensive list of dozens of specifications and outlines a number of other standards required for the proper application of the current document. These include different LTE specifications regarding the Evolved Universal Terrestrial Radio Access (E-UTRA), the Universal Mobile Telecommunications System (UMTS), the V2X services Management Object (MO), and Mitigation Techniques for ITS. The Introduction of an LTE-V2X Access Layer: A secondary, but still crucial key objective of the ETSI EN 303 613 standard is to provide additional tools and control...
---
### NIST SP 800-187 Guide to LTE Security
> The SP 800-187 standard from the NIST is focusing solely on 4G LTE. It outlines the capabilities, benefits, and challenges of deploying it. Click here for more
- Published: 2020-04-07
- Modified: 2024-12-02
- URL: https://plaxidityx.com/blog/standards-and-compliance/nist-sp800-187/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Background The SP 800-187 standard from the NIST is focusing solely on 4G LTE. It outlines the capabilities, benefits, and challenges of deploying LTE cellular technologies with the subsequent standards developed after the 3GPP. Contrary to traditional cellular technologies, LTE introduced packet switching (referring to data compression and processing), as opposed to circuit switching for previous cellular implementations. The use cases are not, however, described in the SP 800-187. Rather, the document focuses on covering the core technological documentation and description of LTE, followed by top-level intelligence, which can be used as the basis for every single LTE-enabled IoT project. Summary Harnessing Internet Protocol (IP) through LTE: The document places great emphasis on another key technology enabled by LTE networks: the IP. The power of IP-enabled technologies is a great bargaining chip used by Mobile Network Operators (MNOs) to solidify their presence across the IoT and became the basis for the development of Voice over LTE (VoLTE), similar to Voice over IP (VoIP), with North America currently enjoying widespread adoption. Additionally, LTE networks can consistently enable IP communication, enabling data network services between connected devices and MNOs, and maintaining connectivity in different points in the cellular infrastructure (i. e. , communication towers). The use of IP technologies, however, has introduced a host of new dangers for cellular implementations. Cyberattacks Analysis: Perhaps unsurprisingly, malware threats, eavesdropping, specific network or IP attacks (e. g. , replay attack), and radio jamming attacks are some of the key threats outlined. Malwarethreats mainly refer to...
---
### 3GPP Confidentiality and Integrity Algorithms for GSM and GPRS
> The Confidentiality and Integrity Algorithms for GSM and GPRS (A5/3, A5/4, GEA43 & GEA4) are tied to patents held by the Mitsubishi Electric Corporation Japan
- Published: 2020-04-07
- Modified: 2024-12-02
- URL: https://plaxidityx.com/blog/standards-and-compliance/3gpp-confidentiality-gsm-gprs/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Background The Confidentiality and Integrity Algorithms for GSM and GPRS (specifically the A5/3, A5/4, GEA43, and GEA4) are tied to patents held by the Mitsubishi Electric Corporation Japan, which, in turn, has made them available on a royalty-free basis provided that a license is secured from the company. Underneath the obvious objective of providing security specifications for cellular communications, the SP 800-187 also serves as a stepping stone for a much more vital and intricate purpose, especially when considering automotive applications: encryption and data security. Summary This specification addresses a copious amount of communication security elements indirectly versus directly. Rather than dealing with communication security on a grander scale of cellular-connected things, the standard instead focuses on the building blocks for other security services: the encryption algorithms. The key elements of this specification, along with the “confidentiality” and “integrity” parameters for cellular technologies can be broken down even further and include the following: Encryption Roadmap and Data Security: This refers to attempting to develop a well-rounded roadmap of a cellular encryption approach that addresses both data security in-transit (confidentiality over the transmission of information) and data security at-rest (integrity of data caches). (Mostly) Full-Spectrum Cellular: Another key element is safeguarding communication security for communication protocols 2G, 3G, and 4G. However, as will be discussed below, there are a number of issues to consider here regarding 2G and Narrowband-Internet of Things (NB-IoT). Interference Protection and Visibility: This assures that no external interference can disrupt connectivity, or at the very least that...
---
### 自動車サイバーセキュリティを担う自動車CISOが直面する最も重大な10の課題
> もし、最高情報セキュリティ責任者(CISO)全員に共通していることと問われれば、1つは、「わからない」ことに対する怖れです
- Published: 2020-03-31
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/automotive-security-10-biggest-challenges-facing-oem-cisos/
- Categories: Cyber Security Blog
- Tags: Compliance, VSOC
- Translation Priorities: Optional
もし、最高情報セキュリティ責任者(CISO)全員に共通していることと問われれば、1つは、「わからない」ことに対する怖れです。 自分たちのネットワークにマルウェアが存在しているか、わからない。ハッカーたちがこちらでは把握していない脆弱性を発見しているかどうか、わからない。次に対応することになるセキュリティの問題がわからない。平均的な金融企業や商社では1か月に複数回の攻撃を受けていますが、そうした企業がデータ侵害を検知するまでに6か月以上かかるのが実情です。 そう聞くと、CISOの仕事は特別ストレスフルでもないと思われる方もいるかもしれません。しかし、こと自動車業界のCISOについて言えば、現在新たな、そして自動車業界に特有の数多くの困難な課題に直面しているのです。 言い換えると、昨日の自動車業界CISOの責務が会社のITシステムの保全だったとして(これはこれで大変な仕事ですが)、今日の彼らは、昨日までの責務と同等のレベルでコネクテッドカーや車両データサービスに対する責任を負っています。そしてこれは、乗員の安全や人命の保護に関わる問題と言えます。 では、これらの課題は正確にはどういうものなのでしょう?そして、それらは従来のIT業界の課題とどう違うのでしょうか? 自動車業界に特有の10の課題 新たなエコシステム 1. 複雑な製品&サプライチェーン 自動車は非常に複雑な製品です。ECU数の急激な増加を受け、今日の車両ソフトウェアは1億行ものコードを実行していますが、コーディング規約が不十分になりがちで、脆弱性が発生しやすくなっています。さらに、さまざまなサードパーティーサプライヤーが3万にものぼる部品を製造しており、このことが、保護しなければならないエンドポイントに大きな影響を及ぼしています。このサプライチェーンの状況により、数多くのサイバーセキュリティリスクが生じ、それらを管理する必要があります。例えば、1つのECUに脆弱性が発見された場合、フリート全体に影響が及ぶ可能性があるのです。 2. 自動車技術 自動車業界には、従来のITシステムが対応していない特有の技術があります。例えば、自動車はVINによって識別されるのに対し、サーバーはホスト名で識別されます。また別の例としては、ITではTCP/IPが使用されていますが、自動車のネットワークにはCAN-BUSが使用されています。 3. 新たな規制 自動車業界は多くの規制が設けられている業界であり、自動車メーカーは新規の規制、ガイドライン、義務要件に対して綿密な注意を払うことが求められます。例えば、国連欧州経済委員会 (UNECE)は、自動車サイバーセキュリティとソフトウェアの更新に関する「WP. 29」を、米国では国家道路交通安全局 (NHTSA) が自動車サイバーセキュリティに関するガイドラインを発表しています。 4. 自動車の製品寿命の長さ 自動車は実際に販売されるまで、約2 ~5年かけて設計されています。つまり、工場から出荷される頃には、その車両に搭載されたサイバーセキュリティソリューションが時代遅れになっている可能性があります。さらに、製品寿命が長くても6年ほどのITデバイスと異なり、自動車の製品寿命は最大15年ほどにおよびます。そのため、自動車は量産の段階において、より長期にわたるサイバーセキュリティ保護が必要となります。これは、CISOが対応しなければならないもう1つの重要な課題です。 5. スケーラビリティに関する懸念 以前にも述べたように、平均的なOEMのフリートは2000万台におよびます。これは何百万ものエンドポイントを保護しなければならず、何千ものアラートに対応しなければならないということを意味します。現状では、IT SOCチームはこれほど大容量のデータとセキュリティイベントに対応できない恐れがあります。 セキュリティ業界でよく知られたもう1つの問題は、機械学習に関するものです。汎用型機械学習アルゴリズムは膨大な数の異常や誤検知をしてしまい、その結果SOCチームに非常に多くの的はずれなアラートが押し寄せることになります。一方、自動車に特有の異常を検知するよう設計された機械学習アルゴリズムでは誤検知の数が減り、その結果アラート数も減少します。 6. 位置情報データ 自動車は、車輪のついたデータセンターと言えます。そしてそこで収集されるデータの1つが位置情報です。これはサーバーが移動しないIT業界ではまったく馴染みのない性質のデータです。例えば、自動車がある位置でデータの送受信ができなくなることがあり、その場合、自動車からSOCチームへのデータ送信に遅延が生じる可能性があります。位置情報に関するもう1つの一般的な問題は、攻撃者が自動車の近くにいる場合、自動車のBluetooth接続をハッキングしやすいことです。 SOCの能力 7. 専門知識の欠如 自動車を保護するためには、SOCチームは自動車サイバーセキュリティを深く理解するだけでなく、自動車に関連する分類体系、業界の変化、規制、テクノロジーについての知識も最新の状態に保つ必要があります。現在、IT SOCを運用しているチームにはこの分野での専門知識が欠如しており、そのため調査プロセスに多くの時間がかかったり、OEMが長時間にわたって攻撃のリスクにさらされたりする可能性があります。 8. 定められたプロセスとツールの欠如 IT SOCが直面する別の課題は、自動車のセキュリティ状態を監視するためにデザインされた専用のプロセスとツールの欠如です。現在、脅威が特定された場合、OEMは顧客に新しい部品を取り付けてもらうか、自動車を修理ショップに持っていってもらわなくてはいけないという大きな課題を抱えています。また既存の技術に関して言えば、従来のIT SOCツールはこれほど大容量のデータを持つ何百万というエンドポイントを管理できるようには設計されていない、という問題があります。 攻撃の影響 9. ダメージレベルの大きさ 現在、大企業では1社で何十万台ものコンピューターを所有しているわけですが、OEMフリートは1社で、路上を走行する2000万台以上の自動車を抱えており、自動車には保護しなければならないドライバーや同乗者が乗っています。車載ECUの一般的な脆弱性を標的にしたサイバー攻撃があった場合、人命、資産、ブランドイメージの毀損コストを考えると、想定される影響は破滅的と言える程大きなものになります。 10. 緩和にかかる時間&複雑性 IT SOCが脅威を検知した場合、エンジニアは直ちに脅威を緩和するため必要なものすべてにアクセスすることができます。しかし自動車セキュリティの場合、ECUに脆弱性が検知された際には、緩和は複雑でより時間がかかり、ティア1のサポートと無線経由(OTA)でのアップデートが必要になります(下記の図を参照)。 フローチャート: 自動車におけるソフトウェア更新プロセス 課題解決に向けた取り組み ハッカーの手法がより洗練されたものになっている昨今、これらの様々な課題に取り組むために、OEMには経験豊富な人材や、専用のプロセスおよびツールが特に必要です。 残念ながら、従来のIT SOCには、ツールキット、ノウハウ、車両やフリートに対する効果的でスケーラブルな保護を提供するのに必要なフレームワークが欠如しています。これに対応するため、自動車業界のCISOは業界のニーズにあった新たな解決策を検討しています。そうした解決策の中には、「車両SOC(VSOC)」を含む形でのセキュリティオペレーションの拡大が挙げられます。今後のVSOCに関するブログ記事も参照ください。 著者:Sapir SegalPlaxidityX(旧アルガス)、プロダクトマーケティングマネージャー
---
### 10 Biggest Challenges Facing Automotive CISOs Tasked with Vehicle Cyber Security
> A CISO's biggest fear is not knowing. In this article, we discuss the rising challenges facing automotive CISOs tasked with vehicle cyber security.
- Published: 2020-03-31
- Modified: 2025-04-26
- URL: https://plaxidityx.com/blog/cyber-security-blog/automotive-security-10-biggest-challenges-facing-oem-cisos/
- Categories: Cyber Security Blog
- Tags: Compliance, VSOC
- Translation Priorities: Optional
If there’s one thing common to all Chief Information Security Officers (CISOs), it’s fear of the unknown. Not knowing if there’s malware in their networks. Not knowing if hackers discovered a vulnerability before they did. Not knowing what the next security challenge may be. In fact, the average financial or commercial company faces multiple attacks per month, yet it takes companies over six months to detect data breaches. So in case you thought their job wasn’t stressful enough, automotive CISOs are now faced with a new, broad set of seemingly harder challenges, unique to the automotive domain. In other words - if yesterday’s automotive CISO was responsible for securing the organization’s IT systems (one hell of a job), today they are equally responsible for securing connected fleets and vehicle data services. We’re talking about protecting passenger safety and human lives. So what are these challenges exactly? And how do they differ from those in the traditional IT world? 10 Challenges Unique to the Automotive Industry NEW ECOSYSTEM 1. Complex Product & Supply Chain Vehicles are extremely complex products. Given the rising number of ECUs, today’s car software runs 100 million lines of code, which is prone to poor coding standards and vulnerabilities. On top of this, there are 30,000 parts manufactured by different third-party suppliers, creating a very dynamic relationship in terms of the various end-points that need to be protected. This supply chain introduces numerous cyber security risks that need to be managed; for example, if a vulnerability is...
---
### Welcome to PlaxidityX Automotive Cyber Security Standards and Compliance Blog
> Argus automotive cyber security experts are happy to bring you this dedicated automotive standards and compliance blog. Click here to catch up on the latest!
- Published: 2020-03-04
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/standards-and-compliance/plaxidityx-standards-compliance-blog/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Automotive cyber security experts need to be familiar with a wide range of topics and domains, in order to properly assess and design the security posture of their vehicles across an increasingly complex ecosystem. The continually increasing threat of cyber-attacks on vehicles has led to the release of multiple standards, best practices, and guidelines designed to assist OEMs and Tier 1s address these threats and align their cyber security strategies accordingly. PlaxidityX (formerly Argus Cyber Security) experts are happy to bring you this dedicated automotive standards and compliance blog, which will summarize standards and regulations from a broad range of global agencies, national regulatory bodies, and automotive safety institutions, such as: Alliance of Automobile Manufacturers (the Auto Alliance), the Association of Global Automakers, U. S. National Institute of Standards and Technology (NIST), the GSM Association (GSMA), the European Standards Organization (ETSI), the Uptane Alliance, the United Nations Economic Commission for Europe (UNECE), the Open Web Application Security Project (OWASP), the International Organization for Standardization (ISO), the International Electrotechnical Commission (IEC), Herstellerinitiative Software (HIS), the Trusted Computing Group (TCG), the E. U. E-safety Vehicle Intrusion proTected Applications project (EVITA), the Society of Automotive Engineers (SAE International), Global Platform, the U. S. Department of Transport National Highway Traffic Safety Administration (DOT NHTSA), the Automotive Information Sharing and Analysis Center (Auto-ISAC), the European Union Agency for Cybersecurity (ENISA), Japan’s Information Technology Promotion Agency (IPA), and the U. K. British Standards Institution. The blog will cover a list of current and pending standards...
---
### Incident Response Procedures
> Incident response is a relatively new area of security for the automotive sector, at least where it concerns connected vehicles. Click here to learn more!
- Published: 2020-02-27
- Modified: 2022-12-23
- URL: https://plaxidityx.com/blog/standards-and-compliance/iso-sae-cd-21434-2/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Incident Response Procedures - Summary Incident response is a relatively new area of security for the automotive sector, at least where it concerns connected vehicles. The industry is still focused primarily on preventing threats, and to a certain extent on detecting them, let alone responding to them. This pre-emptive effort has been recognized as important by the industry, but there are no automotive-specific guidelines or best practices in this area. This domain offers information on the current de facto standards leveraged by the cybersecurity industry generally, and these are applicable across sectors and markets. These three standards are global and developed by the ISO/IEC. They form part of internationally recognized information security standards, and as such should and can apply directly to the automotive industry. These are: SO/IEC 27035:2016 Information Technology, Security Techniques, and Information Security Incident Management, ISO/IEC 29147:2018 Information Technology — Security Techniques — Vulnerability Disclosure, and ISO/IEC 30111:2013 Information Technology — Security Techniques — Vulnerability Handling Processes.
---
### ISO/SAE 21434 Road Vehicles - Cybersecurity Engineering
> The ETSI Technical Committee Intelligent Transportation System (ITS) has published more than 269 specifications and standards on ITS security. Click for more!
- Published: 2020-02-27
- Modified: 2024-12-16
- URL: https://plaxidityx.com/blog/standards-and-compliance/iso-sae-21434/
- Categories: Standards and Compliance
- Tags: Compliance, ISO/SAE 21434
- Translation Priorities: Optional
Background In September 2016, the ISO and the SAE began a cooperation to develop joint standards related to automotive and ITS, with the first joint publication intended to govern automotive cybersecurity. The current working draft is the result of 2 years of drafting by 82 contributors, including OEMs, Tier Ones, semiconductor vendors, cybersecurity specialist companies, academic institutions, and others. The standard will help define cybersecurity management and risk-oriented approach to robustly define cybersecurity requirements for E/E systems, hardware and software components, and a life cycle management procedure, including cybersecurity monitoring and the handling of vulnerabilities after the vehicle has been deployed. Summary The goal of the standard is to manage cybersecurity threats of electrical and electronic systems in road vehicles, similar to how ISO 26262 manages functional safety requirements. General considerations are tackled in a first instance, which provides an overview of the vehicle ecosystem, threat landscape and vulnerable ecosystem interfaces, and the reasoning behind the need for cybersecurity implementation. The standard is then split into a number of sections, which are reviewed briefly below: Management of cybersecurity The objectives and the goals of cybersecurity management are provided in detail in this section. The idea is that cybersecurity becomes a mandatory requirement across the organizations involved in the lifecycle of road vehicles. This includes various steps such as defining objectives and a strategy (through governance), creating rules and processes to implement a cybersecurity strategy (including for the identification of vulnerabilities), assigning responsibilities, providing resources, fostering a cybersecurity culture on a...
---
### ETSI Intelligent Transport Systems; Security Standards Series
> The ETSI Technical Committee Intelligent Transportation System has published more than 269 specifications and standards on the topic of ITS, including security
- Published: 2020-02-27
- Modified: 2024-12-02
- URL: https://plaxidityx.com/blog/standards-and-compliance/etsi-intelligent-transport/
- Categories: Standards and Compliance
- Tags: Compliance, Encryption
- Translation Priorities: Optional
Background The ETSI Technical Committee Intelligent Transportation System (ITS) has published more than 269 specifications and standards on the topic of ITS, including the following specifically on ITS security: ETSI TS 102 731: ITS; Security; Security Services and Architecture ETSI TR 102 893; ITS; Security, Threat, Vulnerability and Risk Analysis ETSI TS 102 940: ITS; Security; ITS communications security architecture & security management ETSI TS 102 941: ITS; Security; Trust and Privacy Management ETSI TS 102 942: ITS; Security; Access control ETSI TS 102 943: ITS; Security; Confidentiality services ETSI TS 103 097: ITS; Security; Security header and certificate formats Of relevance are primarily ETSI TS 102 941 (trust and privacy management) and 943 (confidentiality services). ETSI’s 941 standard focuses on the secure distribution and maintenance (including revocation) of trust relationships through the use of enrollment credentials that provide third-party certificates of proof of identity, and notably through the use of public key certifications and Public Key Infrastructure (PKI) to establish and maintain trust between ITS stations (ITS-S, which includes vehicles and roadside units). In large part, the standard leverages the four key attributes related to privacy as outlined in ISO/IEC 15408-2 (which itself contains a comprehensive catalog of predefined security functional components that will meet most common security needs of the marketplace). These key attributes are anonymity; pseudonymity; unlinkability; and unobservability. ETSI’s 943 standard, on the other hand, looks at protecting the confidentiality of information sent to and from an ITS-S at a level that is acceptable to users....
---
### Uptane: Securing Software Updates for Automobiles
> Read about Uptane: securing software updates for automobiles and its applications in automotive cyber security. Click here to learn all you need to know!
- Published: 2020-01-03
- Modified: 2024-12-02
- URL: https://plaxidityx.com/blog/standards-and-compliance/uptane-securing-software-updates-for-automobiles/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Background Initially, based on the secure framework TUF (The Update Framework, originally introduced in 2010), Uptane is an open-source software update system designed to provide secure software updates for ground vehicles. It is considered the de facto standard for secure software updates for automotive. The Uptane Alliance was formally instituted to standardize the design. As a result, the Uptane Standard for Design and Implementation Volume 1. 0 was released by the IEEE/ISTO Federation in July 2019 (IEEE-ISTO 6100. 1. 0. 0). Currently, the Alliance joined with the Linux Foundation Joint Development Foundation to continue running the project. Summary The Uptane standard provides guidelines for implementing Uptane in most systems capable of updating software on connected units in ground vehicles, including passenger vehicles, light-duty trucks, heavy-duty trucks, and motorcycles. The standard starts with providing a number of illustrative use-cases for Uptane, such as initializing Update at the factory using software updates over-the-air, updating ECUs on demand, with a complete image or with multiple deltas. The second part of the standard looks at threat models and attack strategies, in order to provide insight into why systems should be designed in a resilient manner. Attacker goals, capabilities and a description of threats (eavesdropping, denying installation of updates, interfering with ECU functionality, and controlling an ECU or vehicle) provide the basis for this information. The last part focuses on the detailed design of the Uptane framework, without going into specific implementation details. At a high level, Uptane requires: Two software repositories: An Image repository...
---
### SAE J3061 Cyber Security Guidebook For Cyber-Physical Vehicle Systems
> Read about SAE J3061 and its applications in cyber-physical vehicle systems and connected fleets. Click here to learn all you need to know about it!
- Published: 2020-01-03
- Modified: 2024-12-02
- URL: https://plaxidityx.com/blog/standards-and-compliance/sae-j3061-cyber-security-guidebook-for-cyber-physical-vehicle-systems/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Background SAE J3061 Cybersecurity Guidebook for Cyber-Physical Vehicle Systems is a best practice by U. S. -based SAE International, a global standards development organization and professional association of engineers and technical experts in the aerospace, automotive, and commercial-vehicle industries. The guidebook was developed by the SAE’s Vehicle Cybersecurity Systems Engineering Committee, which is responsible for developing and maintaining recommended practices and information reports in the area of vehicle electrical systems’ security. J3061 is currently available for purchase. The stated goal is to provide a cybersecurity process framework and guidance to help organizations identify and assess cybersecurity threats and design cybersecurity into cyber-physical vehicle systems throughout the entire development life cycle process. The SAE recommends using J3061 for all automotive functions that are ASIL rated (as per ISO 26262) or that are associated with propulsion, braking, steering, security, and safety. As such, SAE J3061 can be considered as complementary to ISO 26262, providing the system cybersecurity guidance that the latter lacks. The guidebook also recommends using cybersecurity processes when PII is being handled. J3061 provides a comprehensive overview of cybersecurity implementation, from design to end of life. Not only does it offer basic guiding principles, but it also delivers a detailed step-by-step roadmap for process implementation (including potential milestones and reviews). It further provides guidelines on how to review the process implementation, through the set-up of a gate review team of technical experts (independent of the development process) that can report on the accuracy of cybersecurity implementation for each phase. Summary...
---
### Hersteller Initiative Software (HIS) Security Hardware Extension (SHE)
> Read about Hersteller Initiative Software Security Hardware Extension & what are the cyber security advantages of it. Click here to learn all you need to know!
- Published: 2020-01-03
- Modified: 2022-12-23
- URL: https://plaxidityx.com/blog/standards-and-compliance/hersteller-initiative-software-his-security-hardware-extension-she/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Status: Final PublishedDate: April 2009 Public ReleaseRegion: Global Background The HIS consortium was founded in 2004 and consists of members from Audi, BMW, Daimler, Porsche, and Volkswagen to address activities and develop common standards related to automotive manufacturing. In 2006, HIS published a document describing the requirements for an HIS Security Module standard that incorporated mechanisms for error detection, authorization, and authenticity. This was further developed by ESCRYPT in partnership with OEMs Audi and BMW, and semiconductor vendors, such as Freescale (now NXP) into an open standard, publicly released in April 2009. The resulting SHE specification outlines how a secure zone can be created within any ECU via an on-chip extension within a Microcontroller Unit (MCU), providing cryptographic services at the application layer, and isolating the storage of secret keys from the remainder of the MCU’s resources. Although the standard originated within the German automotive industry at the OEM level, it has since become an open standard accepted at the global level. Summary The specification defines a set of functions and an API model that allows a secure zone to coexist within any ECU. The secure zone’s most significant features are the storage and management of security keys, plus the encapsulation of authentication, encryption, and decryption algorithms that can be accessed through an API. The building blocks of SHE include an MCU with a secure zone, data storage (volatile and non-volatile for keys and MAC), and access control via a defined command interface. The specification requires the use of Advanced...
---
### NIST SP 800 121 Guide to Bluetooth Security
> The SP 800 121 standard from the NIST is focusing solely on bluetooth security. It outlines the capabilities, benefits, and challenges of it. Click for more!
- Published: 2020-01-03
- Modified: 2022-12-23
- URL: https://plaxidityx.com/blog/standards-and-compliance/nist-sp-800-121-guide-to-bluetooth-security/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Status: Final Published Date: May 2017 Region: United States Document: Link Background The NIST’s Guide to Bluetooth Security is a standard that takes into account multiple other security standards and guidelines proposed by the NIST and the U. S. Department of Commerce (i. e. , it is expected not to contradict other standards). The target document is the second revision to the SP 800 121. Summary Version Support: The standard was developed to cover the following Bluetooth versions: 1. 1, 1. 2, 2. 0 + Enhanced Data Rate (EDR), 2. 1 + EDR, 3. 0 + High Speed (HS), 4. 0, 4. 1, and 4. 2, as well as to provide support for the low energy feature, Bluetooth Low Energy (BLE). This current iteration of the SP 800 121 (NIST, 2017) provides a thorough approach focusing on safety concerns regarding short-range RF communication used to establish Wireless Personal Area Networks (WPANs). Bluetooth Technical Capabilities, Architecture, and Specification Compliance: The document provides a brief examination of the benefits of Bluetooth and a more elaborate analysis of the architecture and technical capabilities of different versions. This includes the following: Technical specifications, including data rate, range, power, and RF physical channels, and the exact technical capabilities for different Bluetooth Device authentication and encryption algorithms. The most important ones for the scope of this research are the AES-CCM, E0/SAFER+, E1/SAFER, and HMAC-SHA-256 algorithms. The latter, along with Federal Information Processing Standards (FIPS)-approved algorithms, are outlined in the Bluetooth security mode features section. Specification compliances...
---
### NIST Special Publication 800-163 Vetting The Security of Mobile Applications
> The NIST Special Publication 800-163 is focusing on vetting the security of mobile applications. It outlines the capabilities, benefits & challenges. Click here
- Published: 2020-01-03
- Modified: 2025-01-06
- URL: https://plaxidityx.com/blog/standards-and-compliance/nist-special-publication-800-163-vetting-the-security-of-mobile-applications/
- Categories: Standards and Compliance
- Tags: Compliance
- Translation Priorities: Optional
Status: Final Published Date: April 2019 Region: United States Document: Link Background NIST Special Publication 800-163 is intended for use by organizations intending to disseminate applications on employee end devices. SP 800-163 encompasses standards and best practices for secure app development (in accordance with their intended use case), as well as the formulation of procedures to vet those applications. Guidance is given on the selection of appropriate tools to assess and validate application security, as well as methods for assessing whether an application can be securely deployed on the end-user organization’s hardware. The primary motivation of the standard is app security verification, which the document recognizes can take place during application development, post-development but prior to deployment, and during the dissemination of an application on an organization’s smartphones. Therefore, the application development requirements detailed have been chosen as part of a broader verification strategy, with robust development practices giving confidence in the deployed application, as well as the testing methods and tools employed before and during application dissemination. Summary A combination of general and specific application development requirements are stated by SP 800-163. General development standards referenced by SP 800-163 are National Information Assurance Partnership Protection Profiles (NIAP PPs), OWASP Mobile Risks, Controls, and App Testing, MITRE App Evaluation Criteria and NIST SP 800-53. These standards are selected either due to the universality of their scope, or their flexibility, allowing sufficient customization to the end-user developer’s/deployer’s need. Guidance is also given to support the formulation of organization-specific app development requirements,...
---
### PlaxidityX teams up with Riscure to develop automotive-focused challenges for this year’s Riscure Hack Me competition
> We team up with Riscure to develop automotive-focused challenges for this year’s Riscure Hack Me competition. Click here to learn more about the project!
- Published: 2017-08-09
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/argus-teams-riscure-develop-automotive-focused-challenges-years-riscure-hack-competition/
- Categories: Cyber Security Blog
- Tags: Cyber Research, Embedded Systems
- Translation Priorities: Optional
This year’s RHme Capture The Flag (CTF) competition will feature several automotive-themed challenges developed by the PlaxidityX (formerly Argus Cyber Security) research team in addition to the hardware and software challenges the RHme CTF has become known for over the last two years. These challenges will run on a custom printed circuit board developed by Riscure specifically for the competition. Last year’s competition consisted of five different sections: some of the challenges required primarily software reverse engineering skills, where you had to recover the secret flag through binary analysis techniques. Other challenges had the researchers attempt to exploit vulnerabilities in software, often with difficult constraints such as a very limited ability to observe (let alone debug) the vulnerable code. Still others required an understanding of cryptography and its mathematical underpinnings in order to find and exploit the weaknesses intentionally left behind in the challenges. The last two sets of challenges RHme is known for, side channel analysis and fault injection, are two families of hardware exploitation techniques that require an understanding of the connection between the lowest layer of hardware and high-level concepts like code flow and cryptographic operations. Since these techniques require challenge participants to operate directly on hardware, last year Riscure provided a competition board, an Arduino with a unique bootloader, to each participant in the competition. This year, to support the automotive focus of some of the challenges, Riscure developed a custom board that they will send to every registered participant. This year’s automotive challenges will feature...
---
### REDUCING ATTACK SURFACES, HARDENING CYBERSECURITY
> Read how to reduce attack surfaces and harden cyber security for connected & autonomous vehicles and fleets. Click here to learn all you need to know!
- Published: 2017-05-28
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/11016-2/
- Categories: Cyber Security Blog
- Tags: Compliance, Ransomware Archives
- Translation Priorities: Optional
With the WannaCry ransomware still lingering, the threat of a car held for ransom has begun to receive widespread attention beyond the automotive cyber security community. Ransomware attacks provide thieves easy money, and connected cars are potentially lucrative targets. Could it happen? Yes, surmised an EE Times article, “Your Money or Your Brakes,” per expert analysis from Andy Davis, transport assurance practice director at NCC Group, and a member of the FASTR℠ Technical Steering Committee. And, indeed, the conclusion was affirmed by ransomware attacks at European car plants this month. It’s important to temper concerns—even founded ones, like the threat of ransomware—with understanding of the real-world advances that are being made today toward realization of tomorrow’s “organically secure” vehicles, however. While there always will be cybersecurity threats, tomorrow’s vehicles are being engineered to be systematically more able to deal with those threats in a safe and predictable manner and, ultimately, to self-heal. The FASTR nonprofit research consortium is marshaling collaboration among the vanguard of the world’s leading R&D organizations working to reduce attack surfaces and harden cybersecurity capabilities: Reducing the number of remote end points and strengthening authentication across threat surfaces (e. g. , On-Star, software over the air (OTA), infotainment/navigation and add-ons such as insurance on-board diagnostics (“ODB”) Decreasing access points for physical attacks and making access harder across ODB, short-range radios, car networking and electronic control units (ECUs) Reducing the number of places across the supply chain (component MFG, assembly, transit, integration, etc. ) where security must be...
---
### A Remote Attack on the Bosch Drivelog Connector Dongle
> A remote attack on the Bosch Drivelog Connector dongle is a serious automotive cyber security vulnerability. Click here to learn all you need to know!
- Published: 2017-04-13
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/remote-attack-bosch-drivelog-connector-dongle/
- Categories: Cyber Security Blog
- Tags: Cyber Research
- Translation Priorities: Optional
Background In this blog post, I discuss the vulnerabilities of the Bosch Drivelog Connector OBD-II dongle found by the PlaxidityX (formerly Argus Cyber Security) Research Team. The vulnerabilities allowed us to stop the engine of a moving vehicle using the Drivelog platform. On February 20th, 2017, in accordance with Argus’ responsible disclosure policy, upon uncovering the vulnerabilities we informed Bosch of our findings. On February 21st, 2017, Bosch’s Product Security Incident Response Team (PSIRT) contacted PlaxidityX and began addressing the issue. In summary, the following two vulnerabilities were found: An information leak in the authentication process between the Drivelog Connector Dongle and the Drivelog Connect smart phone application. Security holes in the message filter in the Drivelog Connector dongle. The information leak allowed us to quickly brute-force the secret PIN offline and connect to the dongle via Bluetooth. Once connected to the dongle, security holes in the message filter of the dongle enabled us to inject malicious messages into the vehicle CAN bus. In our research, we were able to turn off the engine of a moving car while within Bluetooth range. As troubling as that is, in a more general sense, since we can use the dongle to inject malicious messages into the CAN bus, we may have been able to manipulate other ECUs on the network. If an attacker were to implement this attack method in the wild, we estimate that he could cause physical effects on most vehicles on the road today. This post describes the basic...
---
### Collaborative Reverse Engineering with PSIDA
> Read why and how you should employ collaborative reverse engineering with PSIDA for automotive cyber security. Click here to learn all you need to know!
- Published: 2017-02-15
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/engineering-blog/collaborative-reverse-engineering-psida/
- Categories: Engineering Blog
- Tags: Cyber Research, Penetration Testing
- Translation Priorities: Optional
Introducing Python Scripts for IDA. Making collaborative reverse-engineering possible for Interactive DisAssembler (IDA)! As a member of the PlaxidityX (formerly Argus Cyber Security) Research Team one of my main responsibilities is penetration-testing embedded automotive components, reversing the binaries of embedded components to find potential exploits and misconfigurations. Reversing embedded binaries can take a lot of time and effort (mainly due to lack of helpful hints like strings and OS API) so we try to tackle these tasks as a team, which has its own challenges. Our weapon of choice – IDA Pro – is not made with teamwork in mind; having several team members working on the same binary means you need a way to keep each other in sync. Usually, every team member reverses a different mechanism within the binary, and we take care to avoid repeating each other’s work (this still happens sometimes and can be a major waste of time). So to save time we developed PSIDA (short for Python Scripts for IDA) - a collection of tools designed to share our work and prevent reversing the same code twice. After some thought we identified two different ways of how people collaborate – one is offline collaboration, where people update each other periodically (say, once a week), and one is online collaboration, where people receive updates in real time. Let’s Talk About Progress Just a quick side note before we get going: We need to define what “reverse engineering progress” is. Ideally, you would share every single...
---
### Monitoring Apache Spark (Streaming) with Prometheus
> Read how you can monitor Apache Spark (streaming) with Prometheus and what are the cyber security advantages of it. Click here to learn all you need to know!
- Published: 2015-12-08
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/engineering-blog/monitoring-spark-prometheus/
- Categories: Engineering Blog
- Tags: Security Development Tools
- Translation Priorities: Optional
Introduction As part of our efforts of establishing a robust back-end, one important part of it is monitoring the environment, hosts and services. Lately, we decided to give a try to Prometheus. Prometheus is an “open-source service monitoring system and time series database”, created by SoundCloud. It is a relatively young project, but it’s quickly gaining popularity, already adopted by some big players (e. g Outbrain). It is very modular, and lets you easily hook into your existing monitoring/instrumentation systems. This can be done using "exporters". In this case, we need to monitor our Spark application. Finding no evidence of how to do that using Prometheus online (shouting a little bit on Twitter, talking with some guys in the IRC channel... ), I decided to write this post / walk-through guide. Spark already has its own monitoring capabilities, including a very nice web UI and a REST API. However, we need to find a way to scrape it into Prometheus' DB, where our monitoring metrics are collected and analyzed. I was about to write an "exporter", but then Brian Brazil (@bbrazil), one of Prometheus contributors and the creator of Prometheus JMX Exporter, opened my eyes and suggested to take advantage of Spark's configurable metrics system and Prometheus' jmx_exporter, rather than creating a new exporter. Prometheus JMX Exporter is a JMX to Prometheus bridge. It exposes MBeans of a JMX target (either locally as a Java Agent, or a remote JVM) via an HTTP endpoint, in Prometheus format, to be scraped by Prometheus...
---
### Car Hacking Now Taking Center Stage
> Read why car hacking is now taking center stage in the automotive cyber security industry, especially in connected vehicles. Click here to learn more!
- Published: 2015-02-15
- Modified: 2025-04-10
- URL: https://plaxidityx.com/blog/cyber-security-blog/car-hacking-now-taking-center-stage/
- Categories: Cyber Security Blog
- Tags: Cyber Research, IDPS
- Translation Priorities: Optional
The threat is real. Passengers’ safety is at risk from remote cyber attacks. During the last month, two major OEMs had their vehicles remotely hacked. At the same time, a leading aftermarket product was compromised. The PlaxidityX (formerly Argus Cyber Security) Intrusion Prevention System (IPS) could have prevented these hacks. SO WHAT’S MAKING THE HEADLINES? Sen. Ed Markey’s office released today a report stating that millions of cars and trucks are vulnerable to hacking through wireless, remote technologies that could jeopardize driver safety and privacy. The report came right after last night’s CBS News’ “60 Minutes” story showing how a leading vehicle brand was subject to remote hacking. Earlier this month, researchers working for the German Automotive Association reported cyber security vulnerabilities, putting 2. 2 million vehicles of a different OEM at risk. If that was not enough, an independent researcher reported lately that he could hack and exploit Progressive’s Snapshot, an OBD-II device used for insurance purposes, possibly affecting more than 2 million cars. This comes a few months after PlaxidityX researchers were the first to alert the industry on these risks. PlaxidityX promoted passengers safety by responsibly disclosing security vulnerabilities to a leading aftermarket vendor. ARGUS IPS – PREVENTION IS BETTER THAN CURE As a tested and field-proven solution for automotive cyber security, the PlaxidityX IPS detects hacking attempts and prevents them from affecting a vehicle’s mission-critical systems. It also notifies car manufacturers in real-time when these attempts are happening, as was also demonstrated last month at CES....
---
### BMW’s ConnectedDrive Cyber Security Flaw
> Read about BMW’s ConnectedDrive cyber security flaw to make sure your automotive cyber security operation is not compromised. Click here so you don't miss out!
- Published: 2015-02-08
- Modified: 2025-04-15
- URL: https://plaxidityx.com/blog/cyber-security-blog/bmws-connecteddrive-cyber-security-flaw/
- Categories: Cyber Security Blog
- Tags: Cyber Research, IDPS
- Translation Priorities: Optional
What's the news? Researchers working for the German Automotive Association (ADAC) found these vulnerabilities and were able to remotely attack BMW cars. This was reported to BMW in a responsible disclosure manner, and the company announced it fixed the problem and upgraded its software remotely Over The Air. What does it mean? In this case no passengers were harmed and a massive cyber recall was luckily prevented. The affected services and the associated impact included the following: Remote Services: Unauthorized execution of remote functions such as unlocking the car doors. Real Time Traffic Information (RTTI): Eavesdropping to current vehicle locations and speeds driven. BMW Online: Remote monitoring of e-mail correspondence. Intelligent Emergency Call: Emergency call numbers could be changed. PlaxidityX IPS - Prevention is better than cure Had the PlaxidityX Intrusion Prevention System (IPS) been installed in these vehicles, this unfortunate event would have averted in the first place. The IPS would have detected and blocked this kind of attacks, and it would have notified the car manufacturer in real-time that the attempts were carried out. For example, the PlaxidityX (formerly Argus Cyber Security) Secure Remote Access feature, based on our proprietary digital signature mechanism, would have prevented an attacker from unlocking the car doors. Furthermore, Argus’ Cyber Security Vulnerability Assessment Services, which include Red Team penetration testing, architecture design review and code review, would have pointed out these vulnerabilities in their inception.
---
### A remote attack on an aftermarket telematics service
> A remote cyber attack on the Zubie aftermarket telematics service is a serious automotive cyber security vulnerability. Click here to learn all you need to know
- Published: 2014-11-07
- Modified: 2025-01-20
- URL: https://plaxidityx.com/blog/cyber-security-blog/remote-attack-aftermarket-telematics-service/
- Categories: Cyber Security Blog
- Tags: Cyber Research, Telematics
- Translation Priorities: Optional
Introduction As a part of our ongoing research we decided to study the quickly evolving aftermarket telematics technology. During this study, led by our researchers Ron Ofir and Ofer Kapota, we stumbled upon a substantial cyber security vulnerability in the Zubie connected car service. This finding could allow an attacker to wirelessly and remotely influence a vehicle’s mission critical components such as the engine, brakes steering and others. Before we dive into the details of our findings and discuss the possible attack scenario we’d like to assure you that we’ve duly approached Zubie and shared our findings with them according to our responsible disclosure policy. In the end - people’s safety is paramount! We’re happy that Zubie has seriously addressed this matter and took care of the problem. We were very impressed by Zubie's professional attitude and concrete steps to address the issue. Zubie is a leading connected car service that allows you, among other things, to track your driving habits, detect possible malfunctions in the vehicle and share your location with friends using a very intuitive mobile application. All this is made possible by hooking the Zubie device into the OBD-II port of your car. This device is communicating with the internal network of the vehicle and it also has a mobile GPRS modem that connects it to the Zubie cloud. Hacking the device The device is based on a Telit GE865 chip that provides the cellular connectivity and also provides a Python interpreter that enables users to run...
---
---