By Ling Cheng (Senior Product Marketing Manager)
ニュース報道で自動車メーカーやサプライヤーが「ゼロクリックで遠隔操作を可能にする脆弱性」の被害に遭ったと報じられた場合、それが何を意味するのか疑問に思ったことはありますか?気がかりな話ではあり、自社の製品もリスクにさらされている可能性があるのではないかと不安になるかもしれません。
実際、このような事態に万が一陥った場合には、製品セキュリティインシデント対応チーム(PSIRT)は、脅威レポートの確認、攻撃技法の分析、脆弱性の分析、潜在的な影響の評価などに、多くの時間とリソースを費やすことになります。この骨の折れるプロセスが、自社製品が同様の脅威に直面する可能があるか否かを判断するうえでの基礎となります。
攻撃経路とは何でしょうか?また、それを特定することがなぜそれほど難しいのでしょうか?
この作業の鍵となるのが攻撃経路(アタックパス)の概念です。攻撃経路とは、悪意のある行為者が車両システム、ネットワーク、または機密情報に不正にアクセスするために実行する一連の手順や手法を指します。PSIRTにとって、これらの経路を理解し分析することは、問題の根本原因を特定し潜在的なリスクに対処するために不可欠です。これは、ISO/SAE 21434の第15.6項「攻撃経路分析」でも明記されています。
図1. 攻撃経路の一例。悪意のある行為者が実行する一連の手順または技法
攻撃経路を追跡するには、PSIRTは疑わしいデータを追跡し、異なるデータポイントの潜在的な影響を比較し、攻撃がどのように発生したかの全体像を徐々に組み立てていく必要があります。しかし実際には、攻撃経路の特定は、想像以上に困難な場合が少なくありません。このプロセスには、いくつかの煩雑な作業が伴います。
- 手動による脅威情報の収集:ダークウェブやディープウェブからの情報収集は、その複雑さから人間の専門知識が必要であり、AIによる支援が可能な範囲は限定的で、非常に時間がかかります。
- 車両のコンポーネントと脆弱性とのマッピング:脅威データを分析し、インシデント、攻撃者の手順、具体的な車両コンポーネントとの関連性を特定する作業が必要です。
- 不審な行動や攻撃経路の分析:専門家がハッキングの試みに関連する行動や異常な行動を鑑定し、潜在的な脅威を予測・監視します。
- 正確性を期するための相互参照:複数のデータソースにわたるデータの照合は、特に自動車メーカーやサプライヤーによって使用される命名規則が異なることを考えると、一貫性を確保するために不可欠かつ極めて煩雑な作業となります。
- 車両関連の脅威マトリックスの統合:疑わしい動作は、Auto-ISACの車両関連の脅威マトリックス(ATM)を通じてMITREの戦術、技法、手順(TTP)にマッピングされることで、攻撃者の戦略が明らかになります。
しかし、課題はそれだけではありません。異なる車種モデルが同じ設計やコンポーネントを共有している場合も多く、PSIRTはどの製品またはコンポーネントが影響を受けるかを特定する必要があります。これには、影響を受ける製品部門を特定し、影響評価、リソースの割り当て、顧客への通知を行うために適切なチームやサプライヤーと調整することが含まれます。
従来、このプロセス全体は手動で行われており、非効率的でした。さらに、VicOneの脅威情報モニタリングによると、車両関連のサイバー攻撃はわずか4年間で600%も急増しています。攻撃の増加と脅威の状況の複雑化に伴い、人手による処理ではもはや増大する課題に対応が追いつかないことは明らかです。
図2. 脆弱性管理および製品セキュリティリスク評価プロセスは、多岐にわたるチームやサプライヤーの協力が必要であり、大部分が手作業に依存している
攻撃経路に関する鍵となる知見が手元で得られるとしたらどうでしょうか?
VicOneの脆弱性管理システムであるxZETAを使用すれば、検出と評価のフェーズにおける効率性を高め、手作業を減らすことができます。関連ニュースが流れた際には、クリックするだけで悪用可能な脆弱性を即座に特定し、攻撃経路をマッピングし、影響を被るシステムやサプライヤー、顧客を特定することができるようになります。
VicOne xZETAは、脆弱性データベースを車両の脅威情報と結びつけ、AIを活用して、脆弱性データと現実のインシデントを自動的に相関解析します。これにより、以下のような重要な質問に迅速に回答することが可能になります。
- 残存リスクを最小限に抑えるために、欠陥を是正する最善の方法は?
- コード変更を必要とするか、あるいは別のソフトウェアパッケージを検討すべきか?
- どの車種や顧客が影響を受けるのか?
- これらの欠陥は、特定のTier-1サプライヤーによって引き起こされたものなのか?
- これらの欠陥は新しいものなのか、それともファームウェア特有のものなのか、あるいはすでに路上を走っている他の車両についても気にしなければならないのか?
図3. xZETAは、悪用可能な脆弱性を即座に特定し、攻撃経路をマッピングし、修正の優先順位付けを行う
xZETAがどのように攻撃経路分析を簡素化し、数時間かかっていたプロセスを数秒に短縮するのか、導入事例をぜひご覧ください。
