WO2021038869A1

WO2021038869A1 - 車両監視装置および車両監視方法

Info

Publication number: WO2021038869A1
Application number: PCT/JP2019/034263
Authority: WO
Inventors: 剛岸川; 平野　亮; 良浩氏家; 芳賀　智之
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2019-08-30
Filing date: 2019-08-30
Publication date: 2021-03-04
Also published as: US20210349977A1; US11995181B2; WO2021039523A1; CN113348683A; EP4024250A1; JPWO2021039523A1; EP4024250A4

Abstract

本開示によれば、車載ネットワークを流れるフレームから、攻撃者によるリバースエンジニアリング活動が疑われる不審な挙動を検知し、信用スコアを算出する。さらに信用スコアに基づいて監視レベルを決定することで不審な車両を重点的に監視することを可能とする。

Description

車両監視装置および車両監視方法

　本開示は、車載ネットワークシステムに流れるフレームに基づいて、攻撃者がリバースエンジニアリングを実施することによる車両挙動の不正度を表す信用スコアを算出し、算出した信用スコアに応じて車両の監視機能を変更する車載ネットワークセキュリティ技術に関する。

　近年、自動車の中のシステムには、電子制御ユニット（以下、ＥＣＵ）と呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在するが、その中でも最も主流な車載ネットワークの一つに、Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（以降、ＣＡＮ）という規格が存在し、さらに、自動運転やコネクテッドカーの普及に伴い、車載ネットワークのトラフィックの増大に対応するため車載Ｅｔｈｅｒｎｅｔの普及が進んでいる。

　一方で、車載ネットワークに侵入し、車両を不正制御する脅威も報告されている。このような脅威に対して、従来のＩｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ（ＩＰ）通信で用いられてきた、非特許文献１のような、暗号通信を用いて不正なノードの通信の不正制御を防ぐ方法や、特許文献１のような、車載ネットワークの異常な通信を検知し、不正なフレームを遮断する方法が開示されている。

特許第５６６４７９９号公報

ＲＦＣ５４０６：Ｇｕｉｄｅｌｉｎｅｓ　ｆｏｒ　Ｓｐｅｃｉｆｙｉｎｇ　ｔｈｅ　Ｕｓｅ　ｏｆ　ＩＰｓｅｃ　Ｖｅｒｓｉｏｎ２、２００９年２月

　しかしながら、非特許文献１の方法では、暗号通信を用いるため、送受信ノードによる暗号化・復号処理が必要となりオーバーヘッドが発生する。また暗号通信に用いる鍵管理が重要となり、ＥＣＵの制御を奪われ、正規の鍵を利用された場合に、不正なフレーム送信による不正制御が可能となってしまう。

　また、特許文献１の方法は、攻撃者によって不正なフレームを送信されたときの対処方法であり、攻撃の発生を未然に防ぐわけではない。

　一般に、車両の不正制御を試みる攻撃者は、車両の不正制御を引き起こすためのフレームの調査等の車載ネットワークのリバースエンジニアを事前に行うことで攻撃方法を確立させていく。

　車両の不正制御を実施する前の車載ネットワークの調査段階における、攻撃者の活動を把握することができれば、攻撃発生の予兆として、攻撃者によるリバースエンジニアリングの妨害や、対象車両の重点監視し、攻撃内容を未然に把握する等のアクションにつなげることができ、より車載ネットワークの安全性を高めることができる。

　そこで、本開示は、車載ネットワークにおけるフレームを監視し、攻撃者のリバースエンジニアによって発生する、通常とは異なる車両の挙動を捉え、車両がリバースエンジニアをされている可能性の高さを信用スコアとして算出し、信用スコアに基づいて車両の監視レベルを変更する車両監視方法を提供する。

　上記目的を達成するために、本開示の車両監視装置は、１以上の電子制御ユニットによって構成される車載ネットワークシステムにおける、車両監視装置であって、車両監視装置は、車載ネットワークに流れるフレームを受信する通信部と、信用スコア算出部と、から構成され、信用スコア算出部は、通信部で受信した前記フレームに基づいて、通常の運転とは異なる不審挙動を検知し、車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出することを特徴とする車両監視方法を提供する。

　本開示によれば、攻撃者による車載ネットワークに対するリバースエンジニアリング活動が疑われる不審な挙動を検知し、信用スコアを算出する。さらに信用スコアに基づいて、車両の監視レベルを変更することで車載ネットワークのセキュリティを維持することを可能とする。

図１は、実施の形態１における、車載ネットワークシステムの全体構成を示す図である。図２は、実施の形態１における、ＥＣＵの構成を示す図である。図３は、実施の形態１における、ゲートウェイの構成を示す図である。図４Ａは、実施の形態１における、信用スコアの一例を示す図である。図４Ｂは、実施の形態１における、車両データの一例を示す図である。図５は、実施の形態１における、転送ルールの一例を示す図である。図６は、実施の形態１における、ゲートウェイの処理を示すフローチャートである。図７は、実施の形態１における、ゲートウェイの信用スコア算出のフローチャートである。図８は、実施の形態１における、ゲートウェイの監視レベル変更のフローチャートである。図９は、実施の形態１における、ゲートウェイの動作シーケンスを示す図である。図１０は、実施の形態１における、ゲートウェイの動作シーケンスを示す図である。図１１Ａは、実施の形態１における、運転者へ通知する表示内容の一例を示す図である。図１１Ｂは、実施の形態１における、運転者へ通知する表示内容の別の一例を示す図である。図１２は、実施の形態２における、ゲートウェイの処理を示すフローチャートである。図１３は、実施の形態２における、ゲートウェイの不審スコア算出のフローチャートである。図１４は、実施の形態２における、ゲートウェイの監視レベル変更のフローチャートである。

　本開示の一実施態様の車両監視装置は、１以上の電子制御ユニットによって構成される車載ネットワークシステムにおける、車両監視装置であって、前記車両監視装置は、前記車載ネットワークに流れるフレームを受信する通信部と、信用スコア算出部と、から構成され、前記信用スコア算出部は、前記通信部で受信した前記フレームに基づいて、通常の運転とは異なる不審挙動を検知し、前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出することを特徴とする。

　これにより、車載ネットワークシステムをリバースエンジニアリングしている疑わしさを算出することが可能となり、より疑わしい車両を把握することができ効果的である。

　また、前記不審挙動は、監視装置接続、エラーフレーム、ネットワーク瞬断、バッテリー取り外しのいずれかが検知された場合に、パッシブモニタリング活動として検知され、前記信用スコア算出部は、前記パッシブモニタリング活動が観測された場合に、前記信用スコアを減少させるとしてもよい。

　これにより、攻撃者が、車載ネットワークシステムのログを取得しようとする試行を捉えることが可能となり、効果的である。

　また、前記不審挙動は、所定の時間内における、運転支援機能の発動回数、車内のボタンの押下回数、異常な運転挙動の検知回数、のいずれかが所定数以上である場合に、アクティブモニタリング活動として検知され、前記運転支援機能は、自動駐車支援、オートクルーズコントロール、緊急ブレーキ、レーンキープアシストのいずれかであり、前記異常な運転挙動は、アクセル開度、ブレーキ圧、所定時間内における操舵角の変化量が所定値以上であることであり、前記信用スコア算出部は、前記アクティブモニタリング活動が観測された場合に、前記信用スコアを減少させるとしてもよい。

　これにより、攻撃者が、不正制御を行うためのヒントを得るための車載ネットワークログを積極的に取得しようとする活動を捉えることが可能となり効果的である。

　また、前記不審挙動は、所定の時間内における、フレームの受信量、診断コマンドの受信量のいずれかが所定数以上である場合に、インジェクション活動として検知され、前記信用スコア算出部は、前記インジェクション活動が観測された場合に、前記信用スコアを減少させるとしてもよい。

　これにより、攻撃者が、車載ネットワークに対して、何らかのフレーム注入を試行する活動を捉えることが可能となり効果的である。

　また、前記不審挙動は、所定の時間内における、アップデートコマンドの受信量、同一属性のフレームの受信量のいずれかが所定数以上である場合に、リファインメント活動として検知され、前記同一属性のフレームとは、前記フレームに含まれる識別子、ＩＰアドレス、ＭＡＣアドレス、ポート番号のいずれか、またはいずれか２つ以上の組み合わせが同一であるフレームであり、前記信用スコア算出部は、前記リファインメント活動が観測された場合に、前記信用スコアを減少させるとしてもよい。

　これにより、攻撃者が車両の不正制御を実現するために、より洗練された攻撃を試行していることを捉えることが可能となり効果的である。

　また、前記車両監視装置は、さらに、監視レベル変更部を備え、前記監視レベル変更部は、前記信用スコアが所定の値未満となった場合に、前記信用スコアの値に基づいて、前記車両の機能の制限と、運転者への注意喚起と、近隣車両またはサーバへの信用スコアの通知と、車載ネットワークの監視強化と、のいずれか１つ以上を実行するとしてもよい。

　これにより、攻撃者によるリバースエンジニアリング活動の疑わしさが高い車両を重点的に監視することが可能となり効率的である。

　また、前記不審挙動は、パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動、リファインメント活動のいずれかであり、前記パッシブモニタリング活動は、監視装置接続、エラーフレーム、ネットワーク瞬断、バッテリー取り外しのいずれかが検知された場合に、パッシブモニタリング活動として検知され、前記アクティブモニタリング活動は、所定の時間内における、運転支援機能の発動回数、車内のボタンの押下回数、異常な運転挙動の検知回数、のいずれかが所定数以上である場合に検知され、前記インジェクション活動は、所定の時間内における、フレームの受信量、診断コマンドの受信量のいずれかが所定数以上である場合に検知され、前記リファインメント活動は、所定の時間内における、アップデートコマンドの受信量、同一属性のフレームの受信量のいずれかが所定数以上である場合に検知され、前記信用スコア算出部は、前記不審挙動の種類ごとに信用スコアを算出するとしてもよい。

　これにより、攻撃者のリバースエンジニアリング活動のフェーズごとに不審挙動の疑わしさを把握することが可能となり、効果的である。

　また、前記車両監視装置は、さらに、監視レベル変更部を備え、前記監視レベル変更部は、前記不審挙動の種類と、前記不審挙動の種類に対応する信用スコアの値に基づいて、前記車両の一部機能の制限と、運転者への注意喚起と、近隣車両またはサーバへの信用スコアの通知と、のいずれか１つ以上を実行するとしてもよい。

　これにより、攻撃者のリバースエンジニアリング活動のフェーズに応じた対応が可能となり、車載ネットワークの安全性向上に効果的である。

　また本開示の一実施態様の車両監視方法は、１以上の電子制御ユニットによって構成される車載ネットワークシステムにおける、車両監視方法であって、前記車両監視方法は、前記車載ネットワークに流れるフレームを受信する通信ステップと、信用スコア算出ステップと、から構成され、前記信用スコア算出ステップは、前記通信部で受信した前記フレームに基づいて、通常の運転とは異なる不審挙動を検知し、前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出することを特徴とする。

　以下、図面を参照しながら、本開示の実施の形態に関わる車載ネットワーク異常検知システムについて説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態１）
　以下、複数の電子制御ユニット（ＥＣＵ）が通信する車載ネットワーク（車載ネットワークシステム）を搭載した車両における、車両監視方法について説明する。

　［１．１　車載ネットワークシステムの全体構成］
　図１は、本実施の形態に関わる車載ネットワークシステムの全体構成を示す図である。車載ネットワークシステムは、ＥＣＵ１０、１１、２０、２１、３０、３１、４０、４１と、診断ポート５０と、ゲートウェイ６０とから構成される。

　ＥＣＵ１０とＥＣＵ１１はバス１に接続し、ＥＣＵ２０とＥＣＵ２１はバス２に接続し、ＥＣＵ３０とＥＣＵ３１は、バス３に接続し、ＥＣＵ４０とＥＣＵ４１は、バス４に接続している。また診断ポート５０はバス５に接続している。ゲートウェイ６０は、全てのバスに接続している。

　各ＥＣＵは、互いにＣｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（ＣＡＮ）で接続されており、フレームの通信を行う。各バスは例えば車両の機能ごとにドメイン分離されており、例えばバス１は、パワートレイン系のＥＣＵが配置されており、エンジンの制御等に関わる通信が行われ、バス２はシャシー系のＥＣＵが配置されており、ステアリングの制御や、ブレーキ制御を実現するための通信が行われ、バス３は、情報系のＥＣＵが配置されており、カーナビやインフォテインメント系の通信が行われ、バス４は、ボディ系のＥＣＵが配置され、搭乗者のボタン押下によるエアコン制御や、パワーウインドウ等の制御を行うための通信が行われる。

　ゲートウェイ６０は、全てのバスの情報を受信し、必要であれば受信したフレームを、他のバスへ転送する処理を行う。例えばバス５に、診断用のフレームが流れていた場合には、当該フレームをバス１～４に転送する処理等を行う。

　なお、本実施の形態では、各バスはＣＡＮで実現されているとしたが、通信プロトコルはこれに限らない。例えば、ＣＡＮ－ＦＤ、ＦｌｅｘＲａｙ、Ｅｔｈｅｒｎｅｔであってもよいし、バスごとに通信プロトコルが異なっていても構わない。

　［１．２　ＥＣＵ１０の構成］
　図２は、ＥＣＵ１０の構成図である。なお、ＥＣＵ１１、ＥＣＵ２０、ＥＣＵ２１、ＥＣＵ３０、ＥＣＵ３１、ＥＣＵ４０、ＥＣＵ４１も同様の構成であるが、それぞれ接続されるセンサやアクチュエータが異なり、実現する機能が異なる。

　ＥＣＵ１０は、例えばプロセッサ、メモリ、通信インタフェース等を備えるコンピュータにより実現され、通信部１００とホスト部１０１とから構成される。

　通信部１００は、バス１に接続し、バス１に流れるフレームの送受信を行う。通信部１００は通信コントローラや、トランシーバ等によって実現される。

　ホスト部１０１は、ＥＣＵ１０のメイン処理を行う部分であり、ＣＰＵとメモリによって実現される。ホスト部１０１は、通信部１００から受信した、フレームを解釈し、通信内容に応じた処理を実施する。例えばＥＣＵ１０は、エンジン制御を行うＥＣＵであり、クルーズコントロールの機能で、車両速度の増加要求フレームを他のＥＣＵから受信した場合に、所望の車両速度となるように、ホスト部１０１は、エンジン回転数を上昇させる制御等を行う。またエンジン回転数の情報を取得し、ホスト部１０１は、他のＥＣＵへ通知するためにフレームを送信する等の処理を行う。

　［１．３　ゲートウェイ６０の構成］
　図３は、ゲートウェイ６０の構成図である。ゲートウェイ６０は、例えばプロセッサ、メモリ、通信インタフェース等を備えるコンピュータにより実現される。

　ゲートウェイ６０は、フレーム送受信部６１、フレーム解釈部６２、信用スコア算出部６３と、監視制御部６４と、転送制御部６５と、フレーム生成部６６とサーバ通信部６７と信用スコア保持部６８と、転送ルール保持部６９と、から構成される。

　フレーム送受信部６１は、バス１～５との通信インタフェースであり、通信コントローラや、トランシーバ等によって実現される。フレーム送受信部６１は各バスで受信したフレームをフレーム解釈部６２へ転送する。また、フレーム生成部６６からの送信要求に従って、フレーム送受信部６１はフレームの送信を行う。

　フレーム解釈部６２は、フレーム送受信部６１から転送されたフレームの解釈を行い、フレームに応じた処理を行う。また、フレーム送受信部６１は、受信したフレームを、信用スコア算出部６３へ通知する。

　信用スコア算出部６３は、フレーム解釈部６２から通知されたフレームと、信用スコア保持部６８に保持されている車両情報に基づき、車両の信用スコアを算出し、信用スコア保持部６８に格納されている車両の信用スコアおよび、車両情報を更新する。

　信用スコア算出部６３は、車両が通常とは異なる利用をされている度合いを信用スコアとして、算出する。特に攻撃者が車両をリバースエンジニアリングする目的で活動している兆候を捉えるように信用スコアを算出する。

　例えば、イグニッションがかかっている時間に対して、停車している時間の割合が高いことは、停車中の車両に対して、何らかの調査を行っている兆候とも考えられるため、信用スコア算出部６３は、信用スコアを減少させる。

　また、数秒から数分といった短時間で、車両の運転支援機能（緊急ブレーキ、クルーズコントロール、自動駐車）が繰り返し利用される場合も、攻撃者により、不正制御を引き起こすフレームを解析するために、車載ネットワークのログ取得がされている可能性があるので、信用スコア算出部６３は、信用スコアを減じる。

　また、車両の極端な運転状態（急アクセル、急ブレーキ、急ハンドル）の検知間隔が短い場合や、エアコンや、ライト等のボディ系を制御するための車内に配置されたボタンが繰り返し押下されている場合も、攻撃者により、車載ネットワーク解析のためのログ取得がされている可能性があるので、信用スコア算出部６３は、信用スコアを減じる。

　また、車載ネットワークにおいてエラーフレームが発生する間隔が短い場合も、攻撃者によって不正なデバイスが接続されている影響が表れているので、信用スコア算出部６３は、信用スコアを減じる。

　また、車載ネットワークのフレームが瞬断される時間が、数秒程度発生する場合も、攻撃者によって、車載ネットワークをロギングするためのデバイスや、不正なフレームを注入するためのデバイスを接続する作業が行われている可能性があるので、信用スコア算出部６３は、信用スコアを減じる。

　また、車載ネットワークに流れる診断コマンドが所定量以上である場合は、攻撃者によって、診断コマンド注入時の車両への影響調査や、攻撃試行の影響で生じた故障コードの消去作業が繰り返し行われている可能性があるので、信用スコア算出部６３は、信用スコアを減じる。

　他にも、アップデートを行うためのフレーム数や、バッテリーの取り外しが行われる頻度、通常観測されないＩＰアドレスや、ポート番号を含むパケット数などに応じても、信用スコア算出部６３は、信用スコアを減少させうる。

　上記の信用スコアを減じる状況は、必ずしも攻撃者による活動とは限らないため、信用スコアは不揮発メモリに保持しておき、信用スコア算出部６３は、例えば１日おきに１ずつ上昇させるように、信用スコアを回復させる処理も行うことで、信用スコアを減少させる活動が、繰り返し観測される車両を適切に検出するようにしてもよい。

　信用スコア算出部６３は、受信したフレームを監視制御部６４に通知する。

　監視制御部６４は、信用スコア保持部６８に保持されている信用スコアに基づいて、通知されたフレームに対する処理を決定する。

　信用スコアが、所定の閾値よりも高い場合は、特に何も行わず、信用スコア算出部６３は、通知されたフレームを転送制御部６５へ通知する。

　信用スコアが、所定の閾値以下の場合は、縮退モードに入るために、監視制御部６４は、通知されたフレームの破棄や、他のＥＣＵへ、縮退モードに入るため通知を行うためのフレームを送信するために、縮退モード通知フレームを転送制御部６５へ通知する。また、信用スコアが減少してきたことを通知するために、監視制御部６４は、車両ログと信用スコアをサーバ通信部６７へ通知する。ここで、車両ログは、車載ネットワークで観測されたフレームの情報を含みうる。

　転送制御部６５は、通知されたフレームを転送ルール保持部６９に保持されている転送ルールに基づいて、転送を行うように、フレーム生成部６６へ通知する。

　フレーム生成部６６は、転送制御部６５から通知されたフレームについての送信要求をフレーム送受信部６１に対して行う。

　サーバ通信部６７は、監視制御部６４から通知された内容をサーバへ通知し、サーバからの通知を受け、監視制御部６４へ内容を通知する。

　信用スコア保持部６８は、車両の信用スコアと、信用スコアを算出するためのデータが格納されている。図４Ａ、図４Ｂは、信用スコア保持部６８に格納される情報の一例を示す図であり、詳細は後述する。

　転送ルール保持部６９は、フレームの転送に用いるルールが格納されている。図５は転送ルール保持部６９に格納される転送ルールの一例を示す図であり、詳細は後述する。

　［１．４　信用スコア保持部６８に格納される信用スコアと車両データの一例］
　図４Ａは、信用スコア保持部６８に格納される信用スコアの一例を示す図であり、図４Ｂは、信用スコア保持部６８に格納される、信用スコアの算出に用いられる車両データの一例を示す図である。

　図４Ａにおいて、信用スコアは８０であることを示している。信用スコアは、０～１００の値をとり、初期値は１００である。

　また、図４Ｂの車両データにおいて、イグニッションがＯＮされてからのデータとして、今回値と前回値が格納されている前回値は、前回にイグニッションがＯＮされてからＯＦＦとなった時のデータが格納されている。車両データとして、車両の速度が時速０キロである割合を示す停車時間割合、緊急ブレーキがＯＮになってから、次に緊急ブレーキがＯＮとなる間隔を示す緊急ブレーキ発動間隔、クルーズコントロール発動間隔、自動駐車支援発動間隔、アクセル開度が１００％を示すフレームを受信した間隔を示す急アクセル検知間隔、急ブレーキ検知間隔、急ハンドル検知間隔、エラーフレームを受信した間隔を示すエラーフレーム発生間隔、メッセージ瞬断時間、バッテリー電圧低下有無、診断コマンド受信回数、アップデートコマンド受信回数、車内に存在する、エアコンやライト等を制御するボタンが単位時間内（例えば１分間）に押された回数を示すボタン連続押下回数が格納されている。

　図４Ｂでは、格納されている車両データとして、停車時間割合が今回は７０％であるのに対して、前回は５０％であったことを示している。また、緊急ブレーキ発動間隔は、今回が６０秒であるのに対して、前回は、「ー」であり、緊急ブレーキが２回以上発動していないことを示している。同様にクルーズコントロールの発動間隔は、今回は、「ー」であり、２回以上発動していないことを示しているのに対して、前回は１０００秒間隔で発動していることを示しており、自動駐車支援発動間隔は、今回が３０秒間隔で発動しているのに対して、前回は、「ー」であり、２回以上自動駐車支援が発動していないことを示している。

　急アクセル検知間隔は、今回、前回ともに、「ー」であり、２回以上の急アクセルを検知していないことを示している。同様に、急ブレーキ検知間隔、急ハンドル検知間隔についても、前回、今回ともに「ー」であり、２回以上の該当フレームを受信していないことを示している。

　エラーフレーム発生間隔は、今回は１秒間隔であり、前回は「ー」であり、２回以上の該当フレームを受信していないことを示している。メッセージ瞬断時間は、今回は３秒であり、前回は、０秒（つまり１秒未満）であったことを示している。

　バッテリー電圧低下有無については、今回はバッテリー電圧低下を検知しており、前回はバッテリー電圧低下を検知していないことを示している。診断コマンド受信回数と、アップデートコマンド受信回数は前回、今回ともに０回であったことを示している。

　ボタン連続押下回数については、今回は３０回押されたのに対して、前回は３回であったことを示している。

　なお、本実施の形態では、信用スコアおよび車両データは平文で保持されているが、暗号化されて保持されていてもよい。

　［１．５　転送ルール保持部に格納される転送ルールの一例］
　図５は、転送ルール保持部６９に格納される転送ルールの一例である。同図に示すようにＩＤごとに、転送元、転送先が格納されたテーブルを保持している。

　図５ではＩＤが０ｘ１００のフレームの転送元はバス１であり、当該フレームは、バス２、３、４に転送されることを示している。同様にＩＤが０ｘ２００のフレームの転送元はバス２であり、バス３に転送されることを示しており、ＩＤが０ｘ２５０のフレームの転送元はバス２であり、バス４に転送されることを示しており、ＩＤが０ｘ３００のフレームの転送元はバス３であり、バス１に転送されることを示している。

　［１．６　ゲートウェイ６０の処理フローチャート］
　図６は、ゲートウェイ６０の処理フローチャートである。

　ゲートウェイ６０は、フレーム受信しているか否かを判断する（ステップＳ１０）。

　フレームを受信している場合は、ゲートウェイ６０は、信用スコアを算出する（ステップＳ１１）。フレームを受信していない場合は、ゲートウェイ６０は、フレームを受信するまで待機する。

　ゲートウェイ６０は、信用スコアを算出後、算出した信用スコアが所定値以下であるか否かを確認する（ステップＳ１２）。

　信用スコアが所定値以下である場合は、ゲートウェイ６０は、監視レベルを変更し（ステップＳ１３）、転送処理を実行し（ステップＳ１４）、終了する。

　信用スコアが所定値よりも大きい場合は、ゲートウェイ６０は、転送処理を実行し、処理を終了する。

　［１．７　ゲートウェイ６０の信用スコア算出フローチャート］
　図７は、ゲートウェイ６０の処理フローチャートのステップＳ１１の信用スコア算出処理のフローチャートである。

　ゲートウェイ６０は、受信したフレームが診断コマンドまたは、アップデートコマンドであるか否かを確認する（ステップＳ１１０１）。

　受信したフレームが、診断コマンドまたは、アップデートコマンドである場合は、該当コマンドの受信数を更新する（ステップＳ１１０２）。

　次にゲートウェイ６０は、該当コマンドの受信数が所定値以上（例えば１００回以上）であるか否かを判断する（ステップＳ１１０３）。

　該当コマンドの受信数が所定値以上である場合は、ゲートウェイ６０は、信用スコアを１デクリメントして終了する（ステップＳ１２を実行する）。該当コマンドの受信数が所定値よりも小さい場合は、ゲートウェイ６０は、処理を終了する。

　ステップＳ１１０１にて、受信したフレームが診断コマンドまたは、アップデートコマンドでない場合は、ゲートウェイ６０は、受信したフレームが、運転支援機能がＯＮとなるコマンドであるか否かを確認する（ステップＳ１１０５）。

　受信したフレームが運転支援機能ＯＮコマンドである場合は、ゲートウェイ６０は、該当機能について前回に機能がＯＮとなった時刻からの経過時間を更新する（ステップＳ１１０６）。

　次にゲートウェイ６０は、更新した経過時間が所定値未満（例えば５分未満）であるか否かを確認する（ステップＳ１１０７）。

　経過時間が所定値未満であった場合は、ゲートウェイ６０は、信用スコアを１デクリメントし（ステップＳ１１０４）、終了する。

　経過時間が所定値以上であった場合は、ゲートウェイ６０は、特に何もせずに処理を終了する。

　ステップＳ１１０５において、受信したフレームが運転支援機能ＯＮコマンドでない場合は、ゲートウェイ６０は、受信したフレームから、急ブレーキ、急ハンドル、急アクセルのいずれかが検知されるか否かを判断する（ステップＳ１１０８）。

　急ブレーキ、急ハンドル、急アクセルのいずれも検知されない場合は、ゲートウェイ６０は、特に何もせずに処理を終了する。

　急ブレーキ、急ハンドル、急アクセルのいずれかが検知される場合は、ゲートウェイ６０は、前回の検知時刻からの経過時間を更新する（ステップＳ１１０９）。

　ゲートウェイ６０は、経過時間が、所定値未満（例えば５分）であるかを判断する（ステップＳ１１１０）。

　経過時間が、所定値未満である場合は、ゲートウェイ６０は、信用スコアを１デクリメントし（ステップＳ１１０４）、終了する。

　経過時間が、所定値よりも大きい場合は、ゲートウェイ６０は、何もせずに終了する。

　［１．８　ゲートウェイ６０の監視レベル変更フローチャート］
　図８は、ゲートウェイ６０の処理フローチャートステップＳ１３の監視レベル変更処理のフローチャートである。

　ゲートウェイ６０は、ステップＳ１２において、信用スコアが所定値以下であった場合に、信用スコアが３０以下であるか否かを判断する（ステップＳ１３０１）。

　信用スコアが３０以下の場合は、ゲートウェイ６０は、縮退モードへ移行する（ステップＳ１３０２）。縮退モードでは、運転支援機能を一部またはすべて無効化する処理を行うために、ゲートウェイ６０は、他のＥＣＵへ通知を行ったり、機能を無効化したことを運転者に通知する表示を行ったり、ゲートウェイ６０で、一部のフレームの転送を止めたりする。その後、ゲートウェイ６０は、処理を終了する。

　信用スコアが３０より大きい場合は、ゲートウェイ６０は、信用スコアが５０以下であるか否かを判断する（ステップＳ１３０３）。

　信用スコアが、５０以下である場合は、ゲートウェイ６０は、運転者に注意喚起を行うためのフレームを、例えばインストルメントクラスタ等のディスプレイの制御を行うＥＣＵへ送信することで、運転者への注意喚起を行うとともに、サーバへ信用スコアや車両ログを通知し（ステップＳ１３０４）、処理を終了する。

　信用スコアが５０より大きい場合は、ゲートウェイ６０は、信用スコアが８０以下であるか否かを確認する（ステップＳ１３０５）。

　信用スコアが８０以下である場合は、ゲートウェイ６０は、サーバへ信用スコアを通知する（ステップＳ１３０６）。

　信用スコアが８０より大きい場合は、ゲートウェイ６０は、何もせずに処理を終了する。

　［１．９　ゲートウェイ動作シーケンス（信用スコアが５０以下となった場合）］
　図９は、ゲートウェイ６０における信用スコアが５１であった時に、不審な運転挙動によって信用スコアが５０以下となった場合の動作シーケンスを示す図である。ＥＣＵ２０は、緊急ブレーキを指示するフレームを送信するＥＣＵであり、ＥＣＵ３０はディスプレイの制御を行うＥＣＵである。

　ＥＣＵ２０は緊急ブレーキＯＮを要求するフレームを送信し（Ｓ１００）、ゲートウェイ６０は、送信された緊急ブレーキＯＮを要求するフレームを受信する。なお、ブレーキを制御するＥＣＵも送信された緊急ブレーキＯＮを要求するフレームを受信し、緊急ブレーキを発動させるが、図示を省略する。

　次にＥＣＵ２０は、緊急ブレーキＯＮのフレームの送信完了後に、緊急ブレーキＯＦＦを要求するフレームを送信し（Ｓ１０１）、ゲートウェイ６０は、送信された緊急ブレーキＯＦＦを要求するフレームを受信する。

　その後、ＥＣＵ２０は、再度、緊急ブレーキＯＮを要求するフレームを送信し（Ｓ１０２）、ゲートウェイ６０は送信された緊急ブレーキＯＮを要求するフレームを受信する。

　ゲートウェイ６０は、Ｓ１００における緊急ブレーキＯＮを要求するフレームの受信から、Ｓ１０２における緊急ブレーキＯＮを要求するフレームの受信までの時間が所定値（例えば５分）より短かったため、信用スコアを１減少させる（Ｓ１０３）。

　ゲートウェイ６０は、信用スコアを１減少させた結果、現在の信用スコアが５０になったため、ドライバに注意喚起表示を行うためのフレームを送信する（Ｓ１０４）。

　ＥＣＵ３０は、送信されたドライバへ注意喚起表示を行うためのフレームを受信し、ディスプレイに注意喚起表示を行う（Ｓ１０５）。ディスプレイへの表示内容は例えば、図１１Ａのような表示である。

　ゲートウェイ６０は、サーバに対して信用スコアを含む車両ログを通知する（Ｓ１０６）。

　［１．１０　ゲートウェイ動作シーケンス（信用スコアが３０以下となった場合）］
　図１０は、ゲートウェイ６０における信用スコアが３１であった時に、不審な運転挙動によって信用スコアが３０以下となった場合の動作シーケンスである。ＥＣＵ２０と、ＥＣＵ３０は、図９で説明した役割と同様である。

　ＥＣＵ２０は、緊急ブレーキＯＮを要求するフレームを送信し（Ｓ１１０）、ゲートウェイ６０は、送信された緊急ブレーキＯＮを要求するフレームを受信する。

　次に、ＥＣＵ２０は、緊急ブレーキＯＮのフレームの送信完了後に、緊急ブレーキＯＦＦを要求するフレームを送信し（Ｓ１１１）、ゲートウェイ６０は、送信された緊急ブレーキＯＦＦを要求するフレームを受信する。

　その後、ＥＣＵ２０は、再度、緊急ブレーキＯＮを要求するフレームを送信し（Ｓ１１２）、ゲートウェイ６０は、送信された緊急ブレーキＯＮを要求するフレームを受信する。

　ゲートウェイ６０は、Ｓ１１０における緊急ブレーキＯＮを要求するフレームの受信から、Ｓ１１２における緊急ブレーキＯＮを要求するフレームの受信までの時間が所定値（例えば５分）より短かったため、信用スコアを１減少させる（Ｓ１１３）。

　ゲートウェイ６０は、信用スコアを１減少させた結果、現在の信用スコアが３０以下となったため、縮退モードへ移行するためのフレームを送信する（Ｓ１１４）。

　ＥＣＵ２０は、送信された縮退モード要求フレームを受信し、以降の緊急ブレーキＯＮを要求するフレームの送信を無効にする（Ｓ１１５）。

　ＥＣＵ３０は、送信された縮退モード要求フレームを受信し、ディスプレイに機能制限していることを通知するための表示を行う（Ｓ１１６）。ディスプレイの表示内容は、例えば図１１Ｂのような表示である。

　［１．１１　実施の形態１の効果］
　実施の形態１に係る車両監視装置では、攻撃者による車載ネットワークシステムのリバースエンジニアリング活動が疑われる活動に対して、信用スコアを算出する。さらに信用スコアに基づいて、対応を決定することによって、疑わしい車両を把握し、重点的な監視対象とすることや、より疑わしい車両に対しては車両の機能を一部制限することでリバースエンジニアリング活動を妨害することが可能となる。これにより車載ネットワークシステムの安全性を高めることができる。

　（実施の形態２）
　以下、複数の電子制御ユニット（ＥＣＵ）が通信する車載ネットワーク（車載ネットワークシステム）を搭載した車両における、車両監視方法について説明する。なお、本実施の形態は、実施の形態１と同様の車載ネットワークシステム構成のため、図を省略し、実施の形態１と異なるゲートウェイの処理フローチャートのみを説明する。

　［２．１　ゲートウェイの処理フローチャート］
　図１２は、ゲートウェイ６０の処理フローチャートである。

　ゲートウェイ６０は、フレームを受信しているか否かを判断する（ステップＳ２０）。

　フレームを受信している場合は、ゲートウェイ６０は、各種不審スコアを算出する（ステップＳ２１）。フレームを受信していない場合は、ゲートウェイ６０は、フレームを受信するまで待機する。

　ゲートウェイ６０は、不審スコア算出後に、算出した不審スコアのうち、いずれかの不審スコアが所定値以上であるかを判断する（ステップＳ２２）。

　いずれかの不審スコアが所定値以上である場合は、ゲートウェイ６０は、監視レベルを変更する（ステップＳ２３）。

　全ての不審スコアが所定値未満である場合は、ゲートウェイ６０は、転送処理を行って（ステップＳ２４）、処理を終了する。

　［２．２　ゲートウェイにおける不審スコア算出フローチャート］
　図１３は、図１２のゲートウェイ６０の処理フローチャートのステップＳ２１の不審スコア算出処理の詳細フローチャートである。

　ゲートウェイ６０は、フレームを受信した時点で、診断ポートにサードパーティ装置の接続検知、エラーフレームの検知、ネットワークの瞬断検知、バッテリー外しの検知のいずれかが発生しているか否かを判断する（ステップＳ２１０１）。

　いずれかが検知された場合は、ゲートウェイ６０は、パッシブモニタリングスコアを１増加させ（ステップＳ２１０２）、処理を終了する。

　いずれも検知されなかった場合は、ゲートウェイ６０は、緊急ブレーキ等の運転支援機能のＯＮ、または、急ブレーキ等の異常動作が繰り返し検知されたか否かを判断する（Ｓ２１０３）。

　いずれかが検知された場合は、ゲートウェイ６０は、アクティブモニタリングスコアを１増加させ（ステップＳ２１０４）、処理を終了する。

　いずれも検知されなかった場合は、ゲートウェイ６０は、フレームの受信量または、診断コマンドの受信量が所定の閾値より大きいか否かを判断する（ステップＳ２１０５）。

　いずれかの受信量が所定の閾値より大きい場合は、攻撃者による不正なフレームの注入試行が行われているとして、ゲートウェイ６０は、インジェクションスコアを１増加させ（ステップＳ２１０６）、処理を終了する。

　どちらの受信量も閾値以下の場合は、ゲートウェイ６０は、アップデートコマンドあるいは同一ＩＤフレームの受信量が、所定の閾値を超えるか否かを判断する（ステップＳ２１０７）。

　アップデートコマンドあるいは同一ＩＤフレームの受信量が所定の閾値を超える場合は、攻撃者の攻撃内容が洗練されてきたと判断して、ゲートウェイ６０は、リファインメントスコアを１増加させ（ステップＳ２１０８）、処理を終了する。

　ここで、サードパーティ装置の接続検知は、診断ポートから特定の診断コマンドが流れることから検知されうる。エラーフレームの検知は、ゲートウェイのエラーカウンタや、エラー割込み処理によって検知されうる。ネットワークの瞬断検知は、フレームの受信時刻を常に保持しておき、フレーム受信時に、前回フレームを受信した時刻と現在の時刻の差分が所定の閾値を超えた場合に検知されうる。バッテリー外しの検知は、ゲートウェイへの電源供給が遮断され、再度電源が供給されたときに、前回電源供給が遮断されたことを検知することで検知されうる。

　［２．３　ゲートウェイにおける監視レベル変更フローチャート］
　図１４は、図１２のゲートウェイ６０の処理フローチャートのステップＳ２３の監視レベル変更処理の詳細フローチャートである。

　ゲートウェイ６０は、パッシブモニタリングスコアが３より大きいか否かを判断する（ステップＳ２３０１）。

　パッシブモニタリングスコアが３より大きい場合は、ゲートウェイ６０は、各不審スコアを含む車両データを、サーバへ通知して（ステップＳ２３０２）、処理を終了する。

　パッシブモニタリングスコアが３以下である場合は、ゲートウェイ６０は、アクティブモニタリングスコアが３より大きいか否かを判断する（ステップＳ２３０３）。

　アクティブモニタリングスコアが３より大きい場合は、ゲートウェイ６０は、運転者への注意喚起を行うフレームの送信と、各不審スコアを含む車両データを、サーバへ通知して（ステップＳ２３０４）、処理を終了する。

　アクティブモニタリングスコアが３以下である場合は、ゲートウェイ６０は、インジェクションスコアが３より大きいか否かを判断する（ステップＳ２３０５）。

　インジェクションスコアが３より大きい場合は、ゲートウェイ６０は、車両の一部機能を制限し、各不審スコアを含む車両データを、サーバへ通知して（ステップＳ２３０６）、処理を終了する。

　インジェクションスコアが３以下である場合は、ゲートウェイ６０は、リファインメントスコアが３より大きいか否かを判断する（ステップＳ２３０７）。

　リファインメントスコアが３より大きい場合は、ゲートウェイ６０は、縮退モードへ移行する要求フレームを送信し、各不審スコアを含む車両データを、サーバへ通知して（ステップＳ２３０８）、処理を終了する。

　［２．４　実施の形態２の効果］
　実施の形態２に係る車両監視装置では、攻撃者による車載ネットワークシステムのリバースエンジニアリング活動が疑われる活動に対して、活動のフェーズに応じて不審スコアを算出する。さらに各種不審スコアの値に基づいて対応方法を決定することで、より攻撃フェーズの進んだことが疑われる車両に対して、より重点的な監視を行うことが可能となり、これにより車載ネットワークシステムの安全性を高めることができる。

　［その他変形例］
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、バスはＣＡＮであったが、通信プロトコルはＣＡＮに限らない、例えばＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、ＦｌｅｘＲａｙ、Ｅｔｈｅｒｎｅｔであってもよい。

　（２）上記の実施の形態では、サーバ通信部がゲートウェイの構成要素として存在したが、サーバ通信部は、ゲートウェイの必須の構成要素でなくてもよい。例えば、サーバと通信を行う装置が他に存在してもよく、ゲートウェイは当該装置を介して通知を行ってもよい。

　（３）上記の実施の形態では、信用スコア算出部は、ゲートウェイの構成要素であるが、必ずしもゲートウェイの構成要素となる必要はない。例えば、別のＥＣＵの構成要素としてもよいし、仮想マシン上のアプリケーションとして信用スコア算出部が機能してもよい。

　（４）上記の実施の形態では、信用スコアが０～１００の値をとりうるとしたが、信用スコアの取りうる値はこれに限らない、例えば０～１０の１０段階としてもよいし、リバースエンジニアリングの疑わしさのレベルが段階的に示されるものであれば、何でもよい。

　（５）上記の実施の形態では、信用スコアの初期値が１００として、疑わしい挙動を観測した場合に、信用スコアが減少していく例を示したが、信用スコアである必要はなく、不審スコアとして、疑わしい挙動の観測時にスコアが上昇してもよい。リバースエンジニアリングの疑わしさのレベルが段階的に示されるものであれば、何でもよい。

　（６）上記の実施の形態では、信用スコアが減少する条件を示したが、信用スコアが上昇する条件も存在してよい。例えば、１日経過ごとに信用スコアが上昇してもよいし、イグニッションのＯＮ時に、信用スコアが上昇してもよいし、診断コマンドによって、信用スコアがリセットされてもよいし、サーバからの通知に基づいて信用スコアをリセットしてもよい。これにより、正規の運転者が、疑わしいとされる挙動を偶然に繰り返した結果、信用スコアが低下してしまった場合でも、正常な信用スコアに回復することが可能となる。

　（７）上記の実施の形態では、信用スコアが減少する条件に合致した場合に、信用スコアが１減少したが、信用スコアの減少量は１に限らない。例えば、観測された不審な挙動に応じて減少量を変化させてもよいし、不審な挙動が繰り返し観測されることによって減少量を大きくしていってもよい。これにより、通常の利用において観測される可能性が低い不審な挙動に対しては、信用スコアをより大きく減少させることができ、不審な車両を特定しやすくなり効果的である。

　（８）上記の実施の形態では、信用スコアを減少させる条件は同様に扱ったが、フェーズを分類し、フェーズごとに信用スコアを算出してもよい。例えば、攻撃者が単に車載ネットワークのログを取得しようとするパッシブモニタリングと、攻撃者が車両の特定機能動作中や特定状況における車載ネットワークのログを取得しようとするアクティブモニタリングと、攻撃者が車載ネットワークログに対してフレーム注入を試行するインジェクションと、攻撃者がより洗練された攻撃を試行するリファインメントと、に段階分けをしてもよい。これにより、攻撃者のリバースエンジニアリングのフェーズを把握することが可能となり、フェーズの進んだ攻撃者に対して重点的な監視ができ効率的である。パッシブモニタリングは例えば、診断ポートへサードパーティデバイスの接続の検知や、モニタリング装置接続するための、ネットワークの瞬断や、バッテリーの取り外し、エラーフレームの検知回数、検知間隔に基づいて判断されうる。アクティブモニタリングは、例えば、運転支援機能の利用間隔や利用量や、車内に配置されるボタンの単位時間当たりの押下量や、極端なアクセル、ブレーキ、ハンドル操作が観測される頻度に基づいて判断されうる。インジェクションは、フレームの受信量や受信間隔、診断コマンドの受信量や受信間隔によって判断されうる。リファインメントは、同一のＩＤのフレームに対する受信量の増加や、受信間隔の変化や、アップデートコマンドの受信量や受信間隔によって判断されうる。

　（９）上記の実施の形態では、信用スコア保持部に、信用スコア算出に用いる車両データの今回値と前回値が保持されているが、前回値でなく、過去に信用スコアを減少させた実績を保存してもよい。例えば過去１週間において、スコアが減点された量を保持していてもよく、過去にスコアが減点された実績がある場合に、不審な挙動を観測したときの信用スコアの減少量を大きくしてもよい。これにより不審な挙動が繰り返し観測されている時に、よりリバースエンジニアリングが実施されている可能性が高いと判断することができ効果的である。

　（１０）上記の実施の形態では、信用スコアをサーバへ通知していたが、通知先はサーバだけに限らず、近隣車両や路側機に対してＶ２Ｘ通信により信用スコアを通知してもよい。これにより、インターネット接続が遮断され信用スコアをサーバへ通知できない車両についても不審な車両を発見することが可能となり、セキュリティの向上に効果的である。

　（１１）上記の実施の形態では、信用スコアを、車載ネットワークフレームのログに基づいて算出していたが、近隣車両の信用スコアを自車両信用スコアの算出に用いてもよい。例えば、信用スコアが所定値以下の複数の車両が、所定期間存在する場合に、自車両も解析ターゲット用車両とされている可能性が高いとして、信用スコアを減少してもよい。

　（１２）上記の実施の形態２では、不審スコアの算出時に、パッシブモニタリングスコア、アクティブモニタリングスコア、インジェクションスコア、リファインメントスコアの順で、スコア算出を行っていたが、処理の順番を限定するものではない。同様に監視レベル変更時における各不審スコアの判定処理の順番を限定するものではない。例えば、処理の順番を逆にしてもよいし、すべての判定処理を実行してから、スコア算出、監視レベルの変更を行ってもよい。

　（１３）上記の実施の形態１、２では、信用スコア（不審スコア）が所定の閾値を下回った（上回った）場合に、サーバ通知を行っているが、サーバ通知を行うタイミングはこれに限らない。例えば定期的にサーバへ車両ログを通知していてもよく、信用スコア（不審スコア）の値に応じて、サーバへの通知頻度や通知量を変更するという対応であってもよい。これにより、疑わしい車両からより詳細な車両ログを通知することで、重点的な監視を実現でき効果的である。また車両ログは、車両の信用スコア（不審スコア）だけでなく、車載ネットワークシステムに流れるフレームから取得される情報を含んでもよい。例えば車両の速度や、ステアリング角度、といった車両のセンサ情報であってもよいし、信用スコアを変化させた根拠となる、信用スコア保持部に格納されている車両データを含んでもよい。

　（１４）上記の実施の形態では、フレーム受信時に、スコア算出を行っていたが、フレーム受信時に行わなくてもよい。例えば、内蔵タイマによって定期的にスコア算出を行ってもよい。

　（１５）上記の実施の形態では、監視レベル変更時にスコアの閾値を設定しているが、閾値は本実施の形態で示した値に限らない。疑わしい車両の検知・対応の感度を高めるために閾値を高く（または低く）設定してもよいし、感度を下げるように設定してもよい。また状況に応じて閾値が動的に変更されてもよい。

　（１６）上記の実施の形態２では、同一ＩＤフレームの受信量に基づいてリファインメントスコアを上昇させていたが、Ｅｔｈｅｒｎｅｔにおいては、同一ポート番号や、同一ＩＰアドレス、ＭＡＣアドレスのフレームの受信量としてもよい。あるいは、これらのヘッダ情報の組み合わせで定義される同一フローの受信量としてもよい。また、受信量は受信パケット数でも、受信データサイズのいずれでもよい。

　（１７）上記の実施の形態１、２では、信用スコア（不審スコア）の算出条件や、スコアに応じた処理内容を別途ルールとして保持していてもよい。

　（１８）上記の実施の形態１、２では、信用スコア（不審スコア）は不揮発メモリに保存され、イグニッションＯＦＦとなった後でも保持されるとしたが、不揮発メモリに保持されず、イグニッションごとにリセットされてもよい。これにより不揮発メモリが不要となり、低コストで車両監視装置を実現することができる。

　（１９）上記の実施の形態では、信用スコア（不審スコア）の値に応じて、サーバ通知、車両の機能制限、運転者への通知、の対応を行っていたが、対応方法はこれらに限らない。例えば、車載ネットワークに侵入検知システムが存在し、侵入検知システムを有効化するとしてもよい。これにより、通常時は侵入検知システムを動作させる必要なく、省電力となり効果的である。あるいは、車載ネットワークログ保存を開始するとしてもよい。これにより疑わしい挙動発生時の車載ネットワークログを保持しておくことが可能となり、メモリ使用量削減に効果的である。あるいは、サーバへの車載ネットワークログの通知量、通知頻度を変更してもよい。これにより、疑わしい車両からより多くの情報を取得し、通常の車両からは少ない情報の取得で済むため、通信量の削減に効果的である。あるいは、コールセンターへ通話するとしてもよい。これにより、攻撃者の活動を牽制し、リバースエンジニアリングを抑止することに効果的である。

　（２０）上記の実施の形態では、特に信用スコアを算出される時にモードを設定しなかったが、信用スコアを算出するモードが存在してもよい。例えば、衝突実験を繰り返すテスト車両において、信用スコアが低く算出されるのを抑えるためにテストモードを設けてもよい。テストモードでは、異常な挙動に対して信用スコアが減少しにくく設定される。テストモードは、サーバとの認証によってアクティベートされ、テストモードの車両は、サーバで把握されるとしてもよい。

　（２１）上記の実施の形態では、自動車に搭載される車載ネットワークにおけるセキュリティ対策として説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。

　すなわち、モビリティネットワークおよびモビリティネットワークシステムにおけるサイバーセキュリティ対策として適用可能である。

　また、工場やビルなどの産業制御システムで利用される通信ネットワークや、組込みデバイスを制御するための通信ネットワークに適用してもよい。

　（２２）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２３）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（２４）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたはモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたはモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（２５）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。

　また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（２６）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、車載ネットワークを流れるフレームから、攻撃者によるリバースエンジニアリング活動が疑われる不審な挙動を検知し、信用スコアを算出する。さらに信用スコアに基づいて監視レベルを決定することで不審な車両を重点的に監視することを可能とする。

　１、２、３、４、５　バス
　１０、１１、２０、２１、３０、３１、４０、４１　ＥＣＵ
　５０　診断ポート
　６０　ゲートウェイ
　６１　フレーム送受信部
　６２　フレーム解釈部
　６３　信用スコア算出部
　６４　監視制御部
　６５　転送制御部
　６６　フレーム生成部
　６７　サーバ通信部
　６８　信用スコア保持部
　６９　転送ルール保持部
　１００　通信部
　１０１　ホスト部

Claims

　１以上の電子制御ユニットによって構成される車載ネットワークシステムにおける、車両監視装置であって、
　前記車両監視装置は、前記車載ネットワークシステムに流れるフレームを受信する通信部と、信用スコア算出部と、から構成され、
　前記信用スコア算出部は、前記通信部で受信した前記フレームに基づいて、通常の運転とは異なる不審挙動を検知し、前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する、
　ことを特徴とする車両監視装置。
　前記不審挙動は、監視装置接続、エラーフレーム、ネットワーク瞬断、バッテリー取り外しのいずれかが検知された場合に、パッシブモニタリング活動として検知され、
　前記信用スコア算出部は、前記パッシブモニタリング活動が観測された場合に、前記信用スコアを減少させる、
　ことを特徴とする請求項１記載の車両監視装置。
　前記不審挙動は、所定の時間内における、運転支援機能の発動回数、車内のボタンの押下回数、異常な運転挙動の検知回数、のいずれかが所定数以上である場合に、アクティブモニタリング活動として検知され、
　前記運転支援機能は、自動駐車支援、オートクルーズコントロール、緊急ブレーキ、レーンキープアシストのいずれかであり、
　前記異常な運転挙動は、アクセル開度、ブレーキ圧、所定時間内における操舵角の変化量が所定値以上であることであり、
　前記信用スコア算出部は、前記アクティブモニタリング活動が観測された場合に、前記信用スコアを減少させる、
　ことを特徴とする請求項１または２記載の車両監視装置。
　前記不審挙動は、所定の時間内における、フレームの受信量、診断コマンドの受信量のいずれかが所定数以上である場合に、インジェクション活動として検知され、
　前記信用スコア算出部は、前記インジェクション活動が観測された場合に、前記信用スコアを減少させる、
　ことを特徴とする請求項１～３のいずれか１項記載の車両監視装置。
　前記不審挙動は、所定の時間内における、アップデートコマンドの受信量、同一属性のフレームの受信量のいずれかが所定数以上である場合に、リファインメント活動として検知され、
　前記同一属性のフレームとは、前記フレームに含まれる識別子、ＩＰアドレス、ＭＡＣアドレス、ポート番号のいずれか、またはいずれか２つ以上の組み合わせが同一であるフレームであり、
　前記信用スコア算出部は、前記リファインメント活動が観測された場合に、前記信用スコアを減少させる、
　ことを特徴とする請求項１～４のいずれか１項記載の車両監視装置。
　前記車両監視装置は、さらに、監視レベル変更部を備え、
　前記監視レベル変更部は、前記信用スコアが所定の値未満となった場合に、前記信用スコアの値に基づいて、前記車両の機能の制限と、運転者への注意喚起と、近隣車両またはサーバへの信用スコアの通知と、車載ネットワークの監視強化と、のいずれか１つ以上を実行する、
　ことを特徴とする請求項１～５のいずれか１項記載の車両監視装置。
　前記不審挙動は、パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動、リファインメント活動のいずれかであり、
　前記パッシブモニタリング活動は、監視装置接続、エラーフレーム、ネットワーク瞬断、バッテリー取り外しのいずれかが検知された場合に、パッシブモニタリング活動として検知され、
　前記アクティブモニタリング活動は、所定の時間内における、運転支援機能の発動回数、車内のボタンの押下回数、異常な運転挙動の検知回数、のいずれかが所定数以上である場合に検知され、
　前記インジェクション活動は、所定の時間内における、フレームの受信量、診断コマンドの受信量のいずれかが所定数以上である場合に検知され、
　前記リファインメント活動は、所定の時間内における、アップデートコマンドの受信量、同一属性のフレームの受信量のいずれかが所定数以上である場合に検知され、
　前記信用スコア算出部は、前記不審挙動の種類ごとに信用スコアを算出する、
　ことを特徴とする請求項１記載の車両監視装置。
　前記車両監視装置は、さらに、監視レベル変更部を備え、
　前記監視レベル変更部は、前記不審挙動の種類と、前記不審挙動の種類に対応する信用スコアの値に基づいて、前記車両の一部機能の制限と、運転者への注意喚起と、近隣車両またはサーバへの信用スコアの通知と、のいずれか１つ以上を実行する、
　ことを特徴とする請求項７記載の車両監視装置。
　１以上の電子制御ユニットによって構成される車載ネットワークシステムにおける、車両監視方法であって、
　前記車両監視方法は、前記車載ネットワークシステムに流れるフレームを受信する通信ステップと、信用スコア算出ステップと、から構成され、
　前記信用スコア算出ステップは、前記通信ステップで受信した前記フレームに基づいて、通常の運転とは異なる不審挙動を検知し、前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する、
　ことを特徴とする車両監視方法。