2026年2月3日|Jerold Camacho(自動車脅威リサーチャー)
自動車のメーターパネル(インストルメントクラスター)は、単なる表示装置ではありません。複数の車両システムからデータ(速度、RPM、警告、ステータスインジケーター等)を受け取る、CANバス接続されたECU(電子制御ユニット)です。車両の状態をドライバーへ直接伝えるため、CAN入力の操作・改ざんやデータの汚染が発生すると、誤解を招く情報や安全に関わる偽情報が表示される恐れがあります。
メーターパネルを単体で調査することは、車内ネットワークに組み込まれた機能的依存関係とセキュリティ上の前提(トラストモデル)の両方を解明する手がかりとなります。
CAN駆動型ECUのセキュリティ分析に不可欠な「ベンチテスト」の手法
ベンチテストを行うことで、実車に組み込むことなく、ECUへの電源供給、動作観察、信号入力が可能になります。本研究では、スズキ・ワゴンR MH55Sのメーターパネルを使用し、管理された環境下でテストを実施しました。これにより、実車の挙動を維持しつつ、実車上でのテストに伴うリスクを排除しています。
ここで得られた観察結果は、スズキ車特有のものではなく、多くのCANベースの自動車アーキテクチャに見られる共通の信頼前提を反映したものです。
このアプローチにより、制御された条件下でCANトラフィック、メッセージ依存性、ECUの応答を再現性のある形で分析できます。
実車外でメーターパネルを安全に動作させるため、電流制限機能を備えた安定化12V電源を使用しました。CAN通信はUSBベースのCANインターフェースを通じて行い、他の車両ECUが存在しない状態でもメッセージの注入とモニタリングを可能にしました。
図1:検証に使用したツールとインストルメントクラスター(左からWanptek製可変電源、12V電源アダプター、meatPi製USB Dual-CANアダプター、スズキ・ワゴンR MH55S)
ハードウェアの損傷を防ぎ、観察される挙動が確実にCAN入力のみに起因するようにするため、電源と信号を慎重に制御することが不可欠です。
CANトラフィックを導入する前に、マルチメーターを使用して電源、GND、CAN-H/CAN-Lピンを特定しました。クラスターに通電する前に各接続の極性が正しく、信号の完全性が保たれていることを検証しています。
通電後、クラスターは安定した動作状態に入り、CANメッセージへの応答を開始しました。これによりピンの特定が正しいことが確認されました。
検証済みの接続先
- 12V電源(VCC):15番ピン
- グランド(GND):3番ピン
- CAN-H / CAN-L:8番および20番ピン
図2:スズキ・ワゴンR MH55Sのメーターパネルに必要なピン配列(12V、GND、CAN-H、CAN-L)
信頼前提のネットワークに対する「CANファジング」の有効性
CANプロトコルには、送信者の認証、完全性チェック、送信元の検証といった仕組みが含まれていません。その結果、ECUは通常、バス上に流れる「形式が正しいメッセージ」であれば、無条件に信頼して受け入れてしまいます。
CANファジングは、この信頼モデルを悪用する手法です。ランダム化された、あるいは不正な形式のフレームを注入して予期しないECUの挙動を観察することで、メッセージ駆動型の機能や潜在的なセキュリティ上の弱点を効果的に特定します。
CANフレーム注入によるメーターパネルの挙動解析と脆弱性特定
車載セキュリティツール「caringcaribou」を使用し、通電したメーターパネルへランダム化されたCANフレームを注入しました。その結果、警告音の発生、インジケーターの点灯、RPM(回転数)表示の変化、画面表示の更新など、目に見える挙動が引き起こされました。
図3:ランダム化されたCANフレーム注入によるロジックギャップの特定
これらの反応は、メーターパネルが送信元や車両状態の文脈的な検証を行うことなく、未認証のメッセージを処理していることを示しています。
ファジング中に取得されたCANトラフィックを解析し、特定の挙動を引き起こすメッセージを特定しました。注入されたフレームとRPM表示の変化を相関させることで、エンジン回転数の表示を制御するCANフレームを切り分けました。
特定されたフレームをリプレイすることで、RPMの変化を安定して再現でき、メッセージと機能の紐付けが確認されました。
図4:ソフトウェア注入のみで誘発された偽のインジケーター表示と、それが招く危険な注意散漫シナリオ
信頼ベースのCAN通信が抱えるリスクとベンチテストに基づく緩和策
任意のCANメッセージ注入によって意味のあるECUの挙動を引き起こせるという事実は、CANベースの車載ネットワークが抱える構造的な弱点を露呈しています。多くのECUがいまだに従来の信頼前提――送信元や意図を検証せずに、形式が正しいメッセージを受け入れること――に依存しているため、ネットワークへの不正アクセスが成立すると、注入されたメッセージによってECU間の連携が乱されたり、ドライバーに偽情報が表示されたりするリスクがあります。これは、最新のゲートウェイやフィルタリングメカニズムを備えた車両であっても同様です。
ベンチレベルのECUテストは、このリスクを「理論」から「証拠」へと落とし込む安全かつ有効な手段です。制御された条件下でCANメッセージ注入に対するECUの挙動を単体で観察することで、信頼の境界がいかに容易に越えられ、一見正当に見えるトラフィックが予期せぬ結果を引き起こし得るかが明らかになります。これらの洞察は実車テストのみでは得難く、現実のセキュリティ上の制約を理解する上で極めて重要です。
効果的な緩和策は、これらの観察事実に基づいて設計することで成功率が高まります。暗黙の信頼を排し、ゼロトラスト通信モデルを採用することで、ECUはCANトラフィックを既定で受け入れるのではなく、メッセージの正当性と文脈を検証できるようになります。またネットワークレベルでは、ゲートウェイベースの異常検知によってコマンドの順序、タイミング、頻度の逸脱を特定し、これらの信号をTARA(脅威分析・リスクアセスメント)などの構造化されたリスク評価プロセスに反映させることが可能です。これらの対策を組み合わせることで、OEMは実害につながる脅威と無害な揺らぎを区別し、現在の車両ライフサイクルと将来のプラットフォーム設計の両方に適切な緩和策を適用できます。
