オーバー・ザ・エア接続による迅速な更新、しかし新たなセキュリティ課題が生じる

投稿日 2017/05/15, 月曜日
更新日 2020/03/16, 月曜日

Update button on keyboard

車両システムのコンピュータ化が加速するにつれて、制御ファームウェアの更新とセキュリティの確保は自動車メーカーにとって新たな責任となりました。オーバーザエア接続により、特にセキュリティホールを閉じる重要なパッチを、ユーザーの介入なしに何千台もの車に静かにプッシュすることができます。ただし、オーバーザエアソリューションは二刃の剣であることを認識することが重要です。適切に実装されていない場合、車両のハードウェアシステムが攻撃にさらされる可能性があります。アップデートシステム自体が安全であることはもちろん、使用される設計アプローチが本質的に回復力があることを確実にすることが絶対に重要です。

想像してみてください。あなたが車を運転しているところを。それはあなたがちょうど買ったばかりの新型車で、今のところあなたはそれをとても気に入っています。高速道路を通勤中、ステレオからはお気に入りの音楽が流れ、エアコンの温度もちょうど良い。突然、ステレオが消えます。おかしいな、と思います。ボタンを押してしまったのでしょうか。それからエアコンが止まり、ベントからは熱風が全力で吹き出します。一体何が起こっているのでしょうか?調べているうちに、急にブレーキが全力で効きます。後ろの車が激しくクラクションを鳴らし、ギリギリで追突を避けます。恐怖に震えながら、あなたは何とか路肩に寄せることに成功します。しかし、あなたの車がなぜこんな反乱を起こしたのか、どうしても理解できません。自動車メーカーにとっては、公共の関係上の災難です。

Thief hacking car from laptop
誰もが最悪の悪夢、自分が乗っている車が外部から乗っ取られることです!

避けられる問題

この神経を逆なでする状況は、遠い話のように思えるかもしれませんが、一群のコンピューターハッカーがそれが全く可能であることを示しました。ワイヤードマガジン によって文書化されたように、新型ジープ・チェロキーの主要システムのほとんどが遠隔で制御可能でした。SUVの「UConnect」システムにある脆弱性が、フィアット・クライスラー・オートモービルズの全ラインナップに共有され、システムの内蔵セル接続を介したインターネットベースの攻撃を可能にしました。チェロキーのほぼすべての機能が電子的に制御されているため、2トンの車両が栄光のRCおもちゃに変わりました。ハッキング実験を知った後、フィアット・クライスラーは大きな費用をかけて140万台の同様の装備を持つ車をリコールすることを余儀なくされました。しかし、この騒動は、オーバー・ザ・エアアップデートを使用することで簡単に解決できたかもしれません。

解決策:オーバー・ザ・エアアップデート

車両システムのコンピュータ化が加速するにつれて、制御ファームウェアの更新とセキュリティの確保は自動車メーカーにとって新たな責任となりました。オーバーザエア接続により、特にセキュリティの穴を塞ぐ重要なパッチを、ユーザーの介入なしに数千台の車に静かに配信できます。ただし、オーバーザエアソリューションは二刃の剣であることを認識することが重要です。適切に実装されていない場合、車両のハードウェアシステムが攻撃にさらされる可能性があります。更新システム自体が安全であるだけでなく、使用される設計アプローチが本質的に回復力があることを確実にすることが絶対に重要です。

オーバーザエア更新のベストプラクティスはまだ進化していますが、簡単にまとめることができます:物事を分離してください。重要な車両システムに追加されるレイヤー、難読化、サンドボックスが多ければ多いほど良いです。実際には、これはエンジン制御ユニットやコントローラエリアネットワークなどのターゲット資産を、インフォテインメントおよび電話ハードウェアからファイアウォールで保護し、別々に更新することを意味します。統合設計アプローチのコスト削減の利点は魅力的ですが、層別化されたアプローチははるかに回復力があります。

組み込みハードウェアの設計者は、業界標準のオペレーティングシステムを実行する既製のソリューションをより多く使用することも検討すべきです。これにより開発コストを抑えることができるだけでなく、社内でのアプローチではセキュリティ上の潜在的な問題に十分な注意を払えないかもしれません。最終的に、絶対的なセキュリティを確保するためには、最も重要なシステムをオーバーザエア更新プログラムの外に置くことを検討してください。例えば、マスターECUやエアバッグコントローラーは、ディーラー訪問や技術サービス情報で更新できます。

Yellow sign saying “Work In Progress”
OTAアップデートを完全に安全にすることはまだ進行中の作業です

妥協せずにセキュリティを確保する:オーバーザエアマネージャー

最後のポイントは逃げのように思えるかもしれませんが、そうである必要はありません。すべての車両システムを安全に更新し続けることは可能ですが、新しいアプローチを通じて少し考え方を変えることが求められます。独立したオーバーザエアマネージャー、またはアップデートを担当する軽量コンピューターを使用することで最大限のセキュリティを確保できます。このユニットは、実際の通信機器から重要なシステムをファイアウォールで保護し、入ってくるファームウェアアップデートの「パスポートコントロール」として機能します。

組み込みの暗号化/復号化または暗号チェッカーを使用して、オーバーザエアマネージャーは更新ファイルの真正性を確認します。ファームウェアが改ざんされているか偽物である場合、オーバーザエアマネージャーはそのファイルを拒否します。TLSなどの通信セキュリティと併用することで、このシステムは理論上万全です。重要なハードウェア制御は隔離されたままであり、ファームウェアの更新を心配することなく配布できます。

自動車メーカーは、現代の車両システムが生み出す新たな責任とセキュリティの役割に徐々に対応しています。一見すると、安全で堅牢なソリューションは、開発者により高いコストとオーバーヘッドを強いるように思えるかもしれません。しかし、そうである必要はありません。Altium TASKING®のような現代のセキュリティ意識の高い開発ツールを使用することで、高いレベルの回復力を持つことが頭痛の種になることはありません。組み込みシステム用の統合開発環境を提供し、自動車アプリケーションのユニークなニーズを念頭に置いて設計されています。

MISRA CおよびCERT Cに準拠しており、信頼性やセキュリティを犠牲にすることなく、階層化されたハードウェアユニットの迅速な開発を可能にします。コスト効果的にオーバーザエアアップデートを実現し、ターゲットファームウェア開発とサポートされるハードウェアソリューションの長いリストを提供します。最も重要なことは、脆弱性や攻撃に対して非常に強靭で、コンパイルが速く、影響が少ないコードを作成することをより簡単かつシンプルにすることです。

今日Altiumにお問い合わせください。あなたの特定の自動車アプリケーションに対して何ができるかを詳しく学びましょう。

関連リソース

ホームに戻る
Thank you, you are now subscribed to updates.