WO2022107379A1

WO2022107379A1 - 車両攻撃イベント連続性判定方法、車両攻撃イベント連続性判定装置、および、プログラム

Info

Publication number: WO2022107379A1
Application number: PCT/JP2021/025103
Authority: WO
Inventors: 貴志牛尾; 崇光佐々木
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2020-11-20
Filing date: 2021-07-02
Publication date: 2022-05-27
Also published as: US20230269258A1; JPWO2022107379A1; EP4250152A4; CN116368441A; EP4250152A1

Abstract

車両攻撃イベント連続性判定方法は、車載ネットワーク（２０）において発生した第１の車両攻撃イベントに係る第１の車両攻撃イベント情報と、車載ネットワーク（２０）において、第１の車両攻撃イベントより過去に発生した第２の車両攻撃イベントに係る第２の車両攻撃イベント情報と、車載ネットワーク（２０）の構成を示す車載ネットワーク情報とを取得する取得ステップと、第１の車両攻撃イベント情報と、第２の車両攻撃イベント情報と、車載ネットワーク情報とに基づいて、第１の車両攻撃イベントと、第２の車両攻撃イベントとの連続性を判定する判定ステップと、判定した結果を出力する出力ステップと、を含む。

Description

車両攻撃イベント連続性判定方法、車両攻撃イベント連続性判定装置、および、プログラム

　ネットワークに対するサイバー攻撃を解析する方法に関する。

　従来、車両に搭載する車載ネットワークに対するサイバー攻撃（以下、単に「攻撃」とも称する）を解析する技術が知られている（例えば、特許文献１参照）。

特開２０１５－０２６２５２号公報

　車載ネットワークに対する攻撃の中には、車載ネットワークへの侵入時刻と、攻撃ターゲットへの攻撃時刻との時間間隔が比較的大きい攻撃（以下、このような攻撃のことを「潜伏攻撃」と称する）がある。

　従来、１つの潜伏攻撃に対して、攻撃ターゲットへの攻撃時刻近傍の時間帯に発生した第１の車両攻撃イベントと、第１の攻撃イベントより過去に発生した、車載ネットワークへの侵入時刻近傍の時間帯に発生した第２の車両攻撃イベントとの、互いに異なる２つの車両攻撃イベントが発生したと判定してしまうことがある。

　このため、潜伏攻撃の解析を正しく行うことができない場合がある。

　このような場合であっても、第１の車両攻撃イベントの攻撃経路と第２の車両攻撃イベントの攻撃経路との連続性を判定することができれば、１つの潜伏攻撃に対して判定された第１の車両攻撃イベントと第２の車両攻撃イベントとを１つの車両攻撃イベントとみなして、その車両攻撃イベントの攻撃を解析することができるようになる。

　そこで、本開示は、車載ネットワークにおいて発生した、第１の車両攻撃イベントと、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定することができる車両攻撃イベント連続性判定方法等を提供することを目的とする。

　本開示の一態様に係る車両攻撃イベント連続性判定方法は、車載ネットワークにおいて発生した第１の車両攻撃イベントに係る第１の車両攻撃イベント情報と、前記車載ネットワークにおいて、前記第１の車両攻撃イベントより過去に発生した第２の車両攻撃イベントに係る第２の車両攻撃イベント情報と、前記車載ネットワークの構成を示す車載ネットワーク情報とを取得する取得ステップと、前記第１の車両攻撃イベント情報と、前記第２の車両攻撃イベント情報と、前記車載ネットワーク情報とに基づいて、前記第１の車両攻撃イベントと、前記第２の車両攻撃イベントとの連続性を判定する判定ステップと、判定した結果を出力する出力ステップと、を含む。

　本開示の一態様に係る車両攻撃イベント連続性判定装置は、車載ネットワークにおいて発生した第１の車両攻撃イベントに係る第１の車両攻撃イベント情報と、前記車載ネットワークにおいて、前記第１の車両攻撃イベントより過去に発生した第２の車両攻撃イベントに係る第２の車両攻撃イベント情報と、前記車載ネットワークの構成を示す車載ネットワーク情報とを取得する取得部と、前記第１の車両攻撃イベント情報と、前記第２の車両攻撃イベント情報と、前記車載ネットワーク情報とに基づいて、前記第１の車両攻撃イベントと、前記第２の車両攻撃イベントとの連続性を判定する判定部と、判定した結果を出力する出力部と、を備える。

　本開示の一態様に係るプログラムは、コンピュータに車両攻撃イベント連続性判定処理を実行させるためのプログラムであって、前記車両攻撃イベント連続性判定処理は、車載ネットワークにおいて発生した第１の車両攻撃イベントに係る第１の車両攻撃イベント情報と、前記車載ネットワークにおいて、前記第１の車両攻撃イベントより過去に発生した第２の車両攻撃イベントに係る第２の車両攻撃イベント情報と、前記車載ネットワークの構成を示す車載ネットワーク情報とを取得する取得ステップと、前記第１の車両攻撃イベント情報と、前記第２の車両攻撃イベント情報と、前記車載ネットワーク情報とに基づいて、前記第１の車両攻撃イベントと、前記第２の車両攻撃イベントとの連続性を判定する判定ステップと、判定した結果を出力する出力ステップと、を含む。

　本開示の一態様に係る車両攻撃イベント連続性判定方法等によれば、車載ネットワークにおいて発生した、第１の車両攻撃イベントと、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定することができる。

図１は、実施の形態１に係る攻撃監視システムの構成の一例を示すブロック図である。図２は、実施の形態１に係る車載ネットワークの構成の一例を示すブロック図である。図３は、実施の形態１に係る異常検知部が異常を検知する様子の一例を示す模式図である。図４は、実施の形態１に係る車両攻撃イベント情報の一例を示す模式図である。図５は、実施の形態１に係る車両機能イベント情報の一例を示す模式図である。図６は、実施の形態１に係る車両攻撃イベント連続性判定装置の構成の一例を示すブロック図である。図７は、実施の形態１に係る車両攻撃イベント履歴の一例を示す模式図である。図８は、実施の形態１に係る車両機能イベント履歴の一例を示す模式図である。図９は、実施の形態１に係る車載ネットワーク情報の一例を示す模式図である。図１０は、実施の形態１に係る第１の車両攻撃イベント連続性判定処理のフローチャートである。図１１は、実施の形態１に係るイベント探索範囲算出処理のフローチャートである。図１２は、実施の形態１に係るエンジン起動イベント探索範囲算出処理のフローチャートである。図１３は、実施の形態１に係る自動運転起動イベント探索範囲算出処理のフローチャートである。図１４は、実施の形態１に係る高速走行イベント探索範囲算出処理のフローチャートである。図１５は、実施の形態１に係るソフトウエア更新イベント探索範囲算出処理のフローチャートである。図１６Ａは、実施の形態１に係る第１の事象が発生した様子を示す模式図である。図１６Ｂは、実施の形態１に係る第２の事象が発生した様子を示す模式図である。図１６Ｃは、実施の形態１に係る第３の事象が発生した様子を示す模式図である。図１６Ｄは、実施の形態１に係る第４の事象が発生した様子を示す模式図である。図１７は、車両機能イベントの利用状況を示す模式図である。図１８は、実施の形態２に係る車両攻撃イベント連続性判定装置の構成の一例を示すブロック図である。図１９は、実施の形態２に係る画像表示装置が表示する画像の一例を示す模式図である。図２０は、実施の形態２に係る第２の車両攻撃イベント連続性判定処理のフローチャートである。

　（本開示の一態様を得るに至った経緯）
　上述したように、従来、潜伏攻撃の解析を正しく行うことができない場合がある。

　このため、発明者らは、潜伏攻撃の解析を正しく行うための方法について、鋭意、検討、実験を重ねた。

　その結果、発明者らは、車載ネットワークにおいて発生した、第１の車両攻撃イベントと、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定することができれば、１つの潜伏攻撃に対して判定された第１の車両攻撃イベントと第２の車両攻撃イベントとを１つの車両攻撃イベントとみなして、その車両攻撃イベントの攻撃を解析することができるようになるとの知見を得た。

　そして、発明者らは、この知見を基に、更に検討、実験を重ね、下記本開示に係る車両攻撃イベント連続性判定方法、車両攻撃イベント連続性判定装置、および、プログラムに想到した。

　上記車両攻撃イベント連続性判定方法によると、車載ネットワークにおいて発生した、第１の車両攻撃イベントと、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定することができる。

　また、前記取得ステップでは、さらに、前記車載ネットワークにおいて、前記第２の車両攻撃イベントより過去に発生した第３の車両攻撃イベントに係る第３の車両攻撃イベント情報を取得し、前記判定ステップでは、前記連続性を、連続性ありと判定しなかった場合に、さらに、前記第１の車両攻撃イベント情報と、前記第３の車両攻撃イベント情報と、前記車載ネットワーク情報とに基づいて、前記第１の車両攻撃イベントと、前記第３の車両攻撃イベントとの連続性を判定するとしてもよい。

　また、前記車載ネットワークは、複数の異常検知部を備え、前記第１の車両攻撃イベント情報は、前記複数の異常検知部のうちの、前記第１の車両攻撃イベントにおいて異常を検知した１以上の第１の異常検知部を示す情報を含み、前記第２の車両攻撃イベント情報は、前記複数の異常検知部のうちの、前記第２の車両攻撃イベントにおいて異常を検知した１以上の第２の異常検知部を示す情報を含み、前記判定ステップでは、前記第１の車両攻撃イベントにおける攻撃経路を算出し、前記攻撃経路において前記１以上の第１の異常検知部よりも上流側に位置する、前記第１の攻撃イベントにおいて異常を検知しなかった未検知異常検知部を算出し、前記未検知異常検知部と、前記１以上の第２の異常検知部のうち、異常を検知した時刻が最も遅い終点異常検知部とが一致する場合に、前記連続性を、連続性ありと判定するとしてもよい。

　また、前記判定ステップでは、前記第１の車両攻撃イベントの発生時刻から第１の所定期間内に発生した前記第２の車両攻撃イベントを対象として、前記連続性を判定するとしてもよい。

　また、前記取得ステップでは、さらに、前記車載ネットワークを搭載する車両において発生した車両機能イベントに係る車両機能イベント情報を取得し、前記判定ステップでは、さらに、前記車両機能イベント情報にも基づいて、前記連続性を判定するとしてもよい。

　また、前記車両機能イベント情報は、前記１以上の第１の異常検知部が異常を検知した時刻のうちのもっとも早い第１の時刻から過去への第２の所定期間内に発生した車両機能イベントと同じ第１の車両機能イベントが、前記第１の時刻から過去への、前記第２の所定期間よりも長い第３の所定期間内に発生した回数または期間に係る車両機能利用率を含み、さらに、前記車両攻撃イベント連続性判定方法は、前記車両機能利用率に基づいて、前記第１の所定期間を更新する期間更新ステップを含み、前記判定ステップでは、前記期間更新ステップにより更新された前記第１の所定期間を利用して、前記連続性を判定するとしてもよい。

　また、前記期間更新ステップでは、（１）前記第１の時刻から過去への前記第３の所定の期間内に前記第１の車両機能イベントが発生していない場合に、前記第１の所定期間を変更しないように、（２）前記第１の時刻から過去への前記第３の所定の期間内に、前記第１の車両機能イベントが発生している、かつ、所定の閾値以上の回数または期間発生している場合に、前記第１の所定期間を短くするように、（３）前記第１の時刻から過去への前記第３の所定の期間内に、前記第１の車両機能イベントが発生している、かつ、所定の閾値未満の回数または期間発生している場合に、前記第１の所定期間を長くするように、前記第１の所定期間を更新するとしてもよい。

　また、前記第１の車両機能イベントは、前記車両のエンジンを起動しているエンジン起動イベントであるとしてもよい。

　また、前記第１の車両機能イベントは、前記車両の自動運転を起動している自動運転起動イベントであるとしてもよい。

　また、前記第１の車両機能イベントは、前記車両が高速走行を行う高速走行イベントであるとしてもよい。

　また、前記第１の車両機能イベントは、前記車両のソフトウエアを更新するソフトウエア更新イベントであるとしてもよい。

　また、さらに、前記判定ステップにおいて、前記連続性を、連続性ありと判定した場合に、前記第１の車両攻撃イベントと、前記第２の車両攻撃イベントとを結合する結合ステップを含むとしてもよい。

　また、さらに、前記結合ステップにおいて、前記第１の車両攻撃イベントと前記第２の車両攻撃イベントとを結合した場合に、前記第１の車両攻撃イベント情報と、前記第２の車両攻撃イベント情報とに基づいて、前記第１の車両攻撃イベントと前記第２の車両攻撃イベントとを結合して得られた結合後車両攻撃イベントの信頼度を算出する信頼度算出ステップを含み、前記出力ステップでは、さらに、前記信頼度を出力するとしてもよい。

　上記構成の車両攻撃イベント連続性判定装置によると、車載ネットワークにおいて発生した、第１の車両攻撃イベントと、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定することができる。

　上記プログラムによると、車載ネットワークにおいて発生した、第１の車両攻撃イベントと、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定することができる。

　以下、本開示の一態様に係る車両攻撃イベント連続性判定方法等の具体例について、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、形状、構成要素、構成要素の配置および接続形態、ならびに、ステップ（工程）およびステップの順序等は、一例であって本開示を限定する趣旨ではない。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。各図において、実質的に同一の構成に対しては同一の符号を付しており、重複する説明は省略または簡略化する。

　（実施の形態１）
　以下、実施の形態１に係る車両攻撃イベント連続性判定装置について説明する。この車両攻撃イベント連続性判定装置は、車両に搭載される車載ネットワークにおいて発生した、第１の車両攻撃イベントと、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定する装置である。

　＜構成＞
　図１は、実施の形態に係る車両攻撃イベント連続性判定装置１０を利用して、車両３０に搭載される車載ネットワーク２０に対する攻撃を監視する攻撃監視システム１の構成の一例を示すブロック図である。

　図１に示すように、攻撃監視システム１は、サーバ装置４０と、車両３０と、車載ネットワーク２０と、外部ネットワーク５０とを含んで構成される。

　サーバ装置４０は、いわゆるコンピュータ装置であって、プロセッサ（図示されず）と、メモリ（図示されず）と、通信インターフェース（図示されず）と、記憶装置（図示されず）と、ディスプレイ（図示されず）とを備える。

　サーバ装置４０は、メモリに記憶されたプログラムをプロセッサが実行することで、車両攻撃イベント連続性判定装置１０と表示装置４１とを実現する。

　車両３０は、通信機能を有し、車載ネットワーク２０を搭載する。車両３０は、例えば自動車である。

　外部ネットワーク５０は、インターネット等の広域ネットワークであって、その接続先に、車両攻撃イベント連続性判定装置１０と、車載ネットワーク２０とを含む。

　図２は、車載ネットワーク２０の構成の一例を示すブロック図である。

　図２に示すように、車載ネットワーク２０は、複数のＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）と、車両攻撃イベント管理部６０とを含んで構成される。

　ここで、図２において、複数のＥＣＵは、ＥＣＵ＿Ａ７０Ａ、ＥＣＵ＿Ｂ７０Ｂ、ＥＣＵ＿Ｃ７０Ｃ、ＥＣＵ＿Ｄ７０Ｄ、ＥＣＵ＿Ｅ７０Ｅが該当する。以下では、複数のＥＣＵのそれぞれのことを、ＥＣＵ７０と称することもある。

　複数のＥＣＵ７０には、例えば、車両３０のエンジンを制御するＥＣＵ、車両３０の自動運転を制御するＥＣＵ、車両３０に搭載されたエアコンを制御するＥＣＵ等が含まれる。

　ＥＣＵ７０のそれぞれは、ＥＣＵ７０の異常を検知する異常検知部を備える。ここでは、ＥＣＵ＿Ａ７０Ａが異常検知部＿Ａ７１Ａを備え、ＥＣＵ＿Ｂ７０Ｂが異常検知部＿Ｂ７１Ｂを備え、ＥＣＵ＿Ｃ７０Ｃが異常検知部＿Ｃ７１Ｃを備え、ＥＣＵ＿Ｄ７０Ｄが異常検知部＿Ｄ７１Ｄを備え、ＥＣＵ＿Ｅ７０Ｅが異常検知部＿Ｅ７１Ｅを備える。以下では、ＥＣＵ７０のそれぞれが備える異常検知部のことを、異常検知部７１と称することもある。

　ここでは、異常検知部７１による、ＥＣＵ７０の異常の検知の種別には、ＥＣＵ７０における異常動作の検知（以下、「ＩＤＳ」とも称する）と、ＥＣＵ７０への攻撃に対する防御エラー（以下、「ＲＯＢ」とも称する）とが含まれるとして説明する。

　異常検知部７１は、ＥＣＵ７０の異常を検知すると、異常検知情報を車両攻撃イベント管理部６０に送信する。ここで、異常検知情報は、異常の種別を示す異常検知種別と、異常を検知した時刻を示す検知時刻と、異常の検知対象となるＥＣＵ７０を示すＥＣＵ名とを含む情報である。

　図３は、車載ネットワーク２０に対する攻撃があった場合において、複数の異常検知部７１が、対応するＥＣＵ７０の異常を検知する様子の一例を示す模式図である。

　図３における「→（矢印）」は、車載ネットワーク２０におけるＥＣＵ７０間の接続関係を示す。また、図３における「深度」は、検知した異常に起因して生じ得る、車両３０への悪影響の度合を示す。ここでは、階層が深い程（階層の数字が大きい程）、悪影響の度合いが大きいことを示す。

　図３に示す例は、ＥＣＵ＿Ａ７０Ａに対する攻撃が行われた後に、ＥＣＵ＿Ａ７０Ａの接続先であるＥＣＵ＿Ｃ７０Ｃに対する攻撃が行われ、さらにその後にＥＣＵ＿Ｃ７０Ｃの接続先であるＥＣＵ＿Ｄ７０Ｄに対する攻撃が行われた場合において、（１）異常検知部＿Ａ７１Ａが、ＥＣＵ＿Ａ７０Ａへの攻撃に対するＲＯＢを、時刻ＹＹ１（年）：ＭＭ１（月）／ＤＤ１（日）：ＨＨ１（時）：ＭＭ１（分）：ＳＳ１（秒）に検知し、その後、（２）異常検知部＿Ａ７１Ａが、ＥＣＵ＿Ａ７０Ａへの攻撃に対するＩＤＳを、時刻ＹＹ２（年）：ＭＭ２（月）／ＤＤ２（日）：ＨＨ２（時）：ＭＭ２（分）：ＳＳ２（秒）に検知し、その後、（３）異常検知部＿Ｃ７１Ｃが、ＥＣＵ＿Ｃ７０Ｃへの攻撃に対するＩＤＳを、時刻ＹＹ３（年）：ＭＭ３（月）／ＤＤ３（日）：ＨＨ３（時）：ＭＭ３（分）：ＳＳ３（秒）に検知し、その後、（４）異常検知部＿Ｄ７１Ｄが、ＥＣＵ＿Ｄ７０Ｄへの攻撃に対するＲＯＢを、時刻ＹＹ４（年）：ＭＭ４（月）／ＤＤ４（日）：ＨＨ４（時）：ＭＭ４（分）：ＳＳ４（秒）に検知した場合の例となっている。

　再び図２に戻って、車載ネットワーク２０の説明を続ける。

　車両攻撃イベント管理部６０は、異常検知部７１から送信された異常検知情報を受信する。

　車両攻撃イベント管理部６０は、検知時刻の差が所定期間ＴＡ（例えば、５分）以内となる複数の異常検知情報を受信した場合に、車載ネットワーク２０において、それら複数の異常検知情報により示されるＥＣＵ７０の異常の検知からなる車両攻撃イベントが発生したと判定する。そして、車両攻撃イベント管理部６０は、それら複数の異常検知情報に基づいて、車両攻撃イベント情報を生成する。

　図４は、車両攻撃イベント管理部６０が生成する車両攻撃イベント情報の一例を示す模式図である。

　図４に示すように、車両攻撃イベント情報は、１つの車両攻撃イベントに含まれるＥＣＵ７０の異常の検知のそれぞれについて、異常検知種別と、検知時刻と、ＥＣＵ名と、その異常の検知を特定する検知番号とが対応付けられて構成される情報である。

　図４に例示される車両攻撃イベント情報からは、車両攻撃イベント情報が示す車両攻撃イベントは、ＥＣＵ＿Ｃ７０Ｃにおいて検知時刻２０２０年４月１日１２時００分３６秒に検知された、異常検知種別がＩＤＳとなる異常の検知と、ＥＣＵ＿Ｄ７０Ｄにおいて検知時刻２０２０年４月１日１２時００分３７秒に検知された、異常検知種別がＲＯＢとなる異常の検知とからなるイベントであることが読み取れる。

　車両攻撃イベント管理部６０は、車両攻撃イベント情報を生成すると、生成した車両攻撃イベント情報に含まれる検知時刻のうちの一番早い第１の時刻から過去への所定期間ＴＢ（例えば、１０分）内に車両３０において発生した車両機能イベントを調べる。ここで、車両機能イベントとは、車両３０が有する機能のうちのいずれかの機能が実行される事象のことをいう。例えば、車両機能イベントには、車両３０のエンジンが起動している状態を示すエンジン起動イベント、車両３０のエンジンを始動するエンジン始動イベント、車両３０の自動運転が起動している状態を示す自動運転起動イベント、車両３０の自動運転を開始する自動運転開始イベント、車両３０が高速走行をしている状態を示す高速走行イベント、車両３０が高速走行を開始する高速走行開始イベント、車両３０にインストールされたソフトウエアが更新されるソフトウエア更新イベント等が含まれる。

　そして、車両攻撃イベント管理部６０は、該当する車両機能イベントがある場合に、その車両機能イベントと同じ車両機能イベントが、第１の時刻から過去への所定期間ＴＣ（例えば、１週間）内に発生した回数または期間に係る車両機能利用率を算出する。

　車両機能利用率は、例えば、車両機能イベントがエンジン起動イベントである場合には、所定期間ＴＢに対する、エンジンが起動している期間の割合を示すエンジン起動利用率であってもよいし、エンジンの連続起動時間であってもよいし、例えば、車両機能イベントがエンジン始動イベントである場合には、所定期間ＴＢにおいてエンジンが始動された回数を示すエンジン始動頻度であってもよいし、例えば、車両機能イベントが自動運転起動イベントである場合には、所定期間ＴＢに対する、自動運転が起動している期間の割合を示す自動運転起動利用率であってもよいし、自動運転の連続起動時間であってもよいし、例えば、車両機能イベントが自動運転開始イベントである場合には、所定期間ＴＢにおいて自動運転が開始された回数を示す自動運転開始頻度であってもよいし、例えば、車両機能イベントが高速走行イベントである場合には、所定期間ＴＢに対する、高速走行をしている期間の割合を示す高速走行利用率であってもよいし、連続高速走行時間であってもよいし、例えば車両機能イベントが、高速走行開始イベントである場合には、所定期間ＴＢにおいて高速走行が開始された回数を示す高速走行開始頻度であってもよいし、例えば、車両機能イベントが、ソフトウエア更新イベントである場合には、所定期間ＴＢにおいてソフトウエアが更新された回数を示すソフトウエア更新頻度であってもよい。

　車両攻撃イベント管理部６０は、車両機能利用率を算出すると、該当する車両機能イベントと、生成した車両機能利用率とに基づいて、車両機能イベント情報を生成する。

　図５は、車両攻撃イベント管理部６０が生成する車両機能イベント情報の一例を示す模式図である。

　図５に示すように、車両機能イベント情報は、該当する車両機能イベントと、その車両機能イベントの車両機能利用率とを対応付けて構成される情報である。

　図５に例示される車両機能イベント情報からは、該当する車両機能イベントがエンジン起動イベントであって、所定期間ＴＢに対する、エンジンが起動している期間の割合が６０％であることが読み取れる。

　車両攻撃イベント管理部６０は、車両攻撃イベント情報と、車両機能イベント情報とを生成すると、生成した車両攻撃イベント情報と、生成した車両機能イベント情報とを、車両攻撃イベント連続性判定装置１０に送信する。

　車両攻撃イベント管理部６０は、例えば、車載ネットワーク２０を構成するプロセッサ（図示されず）が、車載ネットワーク２０を構成するメモリ（図示されず）に記憶されるプログラムを実行することで実現される。

　図６は、車両攻撃イベント連続性判定装置１０の構成の一例を示すブロック図である。

　図６に示すように、車両攻撃イベント連続性判定装置１０は、取得部１１と、判定部１２と、結合部１３と、出力部１４と、期間更新部１５と、攻撃経路算出部１６と、未検知異常検知部算出部１７と、記憶部１８とを備える。

　取得部１１は、車両攻撃イベント管理部６０から送信される、車両攻撃イベント情報と、車両機能イベント情報とを取得する。

　取得部１１は、新たな車両攻撃イベント情報を取得すると、記憶部１８が記憶する車両攻撃イベント履歴を更新する。

　図７は、記憶部１８が記憶する車両攻撃イベント履歴の一例を示す模式図である。

　図７に示すように、車両攻撃イベント履歴は、取得部１１が過去に取得した車両攻撃イベント情報のそれぞれについて、車両攻撃イベント情報と、その車両攻撃イベント情報を受信した時刻を示す車両攻撃イベント情報受信時刻と、その車両攻撃イベント情報を送信した車両攻撃イベント管理部６０を含む車両３０を特定する車両番号と、その車両攻撃イベント情報を特定する車両攻撃イベント番号とが対応付けられて構成される情報である。

　ここでは、車両攻撃イベント連続性判定装置１０を構成する各構成要素は、取得部１１が車両攻撃イベント情報を受信した車両攻撃イベント受信時刻を、その車両攻撃イベント情報により示される車両攻撃イベントの発生時刻として各種処理を行う。

　再び図６に戻って、車両攻撃イベント連続性判定装置１０の説明を続ける。

　取得部１１は、新たな車両機能イベント情報を取得すると、記憶部１８が記憶する車両機能イベント履歴を更新する。

　図８は、記憶部１８が記憶する車両機能イベント履歴の一例を示す模式図である。

　図８に示すように、車両機能イベント履歴は、取得部１１が過去に取得した車両機能イベント情報のそれぞれについて、車両機能イベント情報と、その車両機能イベント情報を受信した時刻を示す車両機能イベント情報受信時刻と、その車両機能イベント情報を送信した車両攻撃イベント管理部６０を有する車両３０を特定する車両番号と、その車両機能イベント情報に対応する車両攻撃イベントを特定する車両攻撃イベント番号とが対応付けられて構成される情報である。

　記憶部１８は、車両攻撃イベント履歴と、車両機能イベント履歴とに加えて、車載ネットワーク２０の構成を示す車載ネットワーク情報を記憶する。

　図９は、記憶部１８が記憶する車載ネットワーク情報の一例を示す模式図である。

　図９において、接続元ＥＣＵのエントリーポイントフラグとは、接続元ＥＣＵがエントリーポイントになるＥＣＵである場合には「Ｔｒｕｅ（例えば、論理値１）」となり、接続元ＥＣＵがエントリーポイントになるＥＣＵでない場合には「Ｆａｓｅ（例えば論理値０）」となるフラグである。ここで、エントリーポイントとは、車載ネットワーク２０に対する攻撃において、その攻撃の車載ネットワーク２０への侵入地点のことをいう。

　記憶部１８は、例えば、車載ネットワーク情報を予め記憶するとしてもよいし、記憶部１８は、例えば、車両攻撃イベント管理部６０から送信される車載ネットワーク情報を取得部１１が取得し、取得部１１によって取得された車載ネットワーク情報を記憶するとしてもよい。

　攻撃経路算出部１６は、記憶部１８が記憶する車両攻撃イベント履歴に含まれる車両攻撃イベントを対象として、その車両攻撃イベントの攻撃のエントリーポイントと、その攻撃の攻撃ターゲットとを含む攻撃経路を算出する。ここで、攻撃ターゲットとは、車載ネットワーク２０に対する攻撃において、その攻撃の攻撃対象のことをいう。

　より具体的には、攻撃経路算出部１６は、記憶部１８が記憶する車載ネットワーク情報を参照して、車載ネットワーク２０において、エントリーポイントとなり得るエントリーポイント群から、攻撃ターゲットとなり得る攻撃ターゲット群までの接続可能な経路を算出し、算出した経路のうち、対象とする車両攻撃イベントにおいて異常を検知しなかった異常検知部７１の数が最も少なくなる経路を、攻撃経路と算出する。

　未検知異常検知部算出部１７は、攻撃経路算出部１６が算出した攻撃経路を対象として、その攻撃経路において、異常を検知した異常検知部７１よりも上流側に位置する、異常を検知しなかった未検知異常検知部を算出する。

　判定部１２は、記憶部１８が記憶する車両攻撃イベント履歴に含まれる、第１の車両攻撃イベント情報により示される第１の車両攻撃イベントと、第２の車両攻撃イベント情報により示される、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定する。

　より具体的には、判定部１２は、第１の車両攻撃イベントにおける未検知異常検知部と、第２の車両攻撃イベントにおいて異常を検知した異常検知部７１のうちの、異常を検知した時刻が最も遅い異常検知部７１とが一致する場合に、第１の車両攻撃イベントと第２の車両攻撃イベントとの連続性を、連続性ありと判定し、一致しない場合に、連続性なしと判定する。

　この際、判定部１２は、第１の車両攻撃イベントの発生時刻から、所定期間Ｔ１内に発生した第２の車両攻撃イベントを対象として、上記連続性を判定するとしてもよい。

　また、判定部１２は、第１の車両攻撃イベントと、第２の車両攻撃イベントとの連続性を、連続性なしと判定した場合には、さらに、記憶部１８が記憶する車両攻撃イベント履歴に含まれる、第１の車両攻撃イベント情報により示される第１の車両攻撃イベントと、第３の車両攻撃イベント情報により示される、第２の車両攻撃イベントよりも過去に発生した第３の車両攻撃イベントとの連続性を判定するとしてもよい。

　期間更新部１５は、記憶部１８が記憶する車両機能イベント履歴に含まれる車両機能イベントのうち、第１の車両攻撃イベントに対応する車両機能イベント情報に含まれる車両機能利用率に基づいて、所定期間Ｔ１を更新する。

　より具体的には、期間更新部１５は、第１の車両攻撃イベント情報に対応する車両機能イベント情報において、（１）第１の時刻から過去への所定期間ＴＢ内に発生した車両機能イベントと同じ車両機能イベントが、第１の時刻から過去への所定期間ＴＣ内に発生していない場合に、所定期間Ｔ１を変更しないように、（２）第１の時刻から過去への所定期間ＴＢ内に発生した車両機能イベントと同じ車両機能イベントが、第１の時刻から過去への所定期間ＴＣ内に発生している、かつ、所定の閾値以上の回数または期間発生している場合に、所定期間Ｔ１を短くするように、（３）第１の時刻から過去への所定期間ＴＢ内に発生した車両機能イベントと同じ車両機能イベントが、第１の時刻から過去への所定期間ＴＣ内に発生している、かつ、所定の閾値未満の回数または期間発生している場合に、所定期間Ｔ１を長くするように、所定期間Ｔ１を更新する。

　結合部１３は、判定部１２が、第１の車両攻撃イベントと第２の車両攻撃イベントとの連続性を、連続性ありと判定した場合に、第１の車両攻撃イベントと第２の車両攻撃イベントを結合する。

　出力部１４は、判定部１２による判定結果を出力する。より具体的には、出力部１４は、表示装置４１に対して、判定結果を含む第１の表示制御信号であって、判定結果を表示装置４１に表示させる第１の表示制御信号を出力する。

　＜動作＞
　以下、上記構成の車両攻撃イベント連続性判定装置１０が行う動作について図面を参照しながら説明する。

　図１０は、車両攻撃イベント連続性判定装置１０が行う第１の車両攻撃イベント連続性判定処理のフローチャートである。この第１の車両攻撃イベント連続性判定処理は、第１の車両攻撃イベントと、第１の車両攻撃イベントよりも過去に発生した第２の車両攻撃イベントとの連続性を判定する処理である。

　第１の車両攻撃イベント連続性判定処理は、例えば、車両攻撃イベント連続性判定装置１０を利用するユーザが、車両攻撃イベント連続性判定装置１０に対して、連続性の判定対象となる第１の車両攻撃イベントを指定して、第１の車両攻撃イベント連続性判定処理を実行する旨の操作を行うことで開始される。

　図１０に示すように、第１の車両攻撃イベント連続性判定処理が開始されると、攻撃経路算出部１６は、記憶部１８が記憶する車両攻撃イベント履歴の中から、第１の車両攻撃イベントを示す第１の車両攻撃イベント情報を取得する（ステップＳ１０）。

　攻撃経路算出部１６は、第１の車両攻撃イベント情報を取得すると、第１の車両攻撃イベントを対象として、その車両攻撃イベントの攻撃のエントリーポイントと、その攻撃の攻撃ターゲットとを含む攻撃経路を算出する（ステップＳ１５）。

　攻撃経路が算出されると、未検知異常検知部算出部１７は、その攻撃経路において、異常を検知した異常検知部７１よりも上流側に位置する、異常を検知しなかった未検知異常検知部を算出する（ステップＳ２０）。そして、未検知異常検知部算出部１７は、未検知異常検知部の算出において、未検知異常検知部があったかどうかを調べる（ステップＳ２５）。

　ステップＳ２５の処理において、未検知異常検知部があった場合（ステップＳ２５：Ｙｅｓ）、判定部１２は、記憶部１８が記憶する車両攻撃イベント履歴の中に、未取得の、第１の車両攻撃イベントよりも過去に発生した車両攻撃イベントを示す車両攻撃イベント情報（以下、「未取得車両攻撃イベント情報」とも称する）が存在するか否かを調べる（ステップＳ３０）。

　ここで、未取得車両攻撃イベント情報とは、ステップＳ３０の処理でＹｅｓに進み、後述のステップＳ４５の処理でＮｏに進むことで形成されるループ処理、および、ステップＳ３０の処理でＹｅｓに進み、後述のステップＳ４５の処理でＹｅｓに進み、さらに、後述のステップＳ６０の処理でＮｏに進むことで形成されるループ処理において、未だステップＳ３０の処理によって取得されたことがない、第１の車両攻撃イベントよりも過去に発生した車両攻撃イベントを示す車両攻撃イベント情報のことを言う。

　ステップＳ３０の処理において、未取得車両攻撃イベント情報が存在する場合（ステップＳ３０：Ｙｅｓ）、判定部１２は、記憶部１８が記憶する車両攻撃イベント履歴から、第１の車両攻撃イベント情報に含まれる受信時刻に最も近い受信時刻を含む未取得車両攻撃イベント情報（以下、「取得車両攻撃イベント情報」とも称する）を取得する（ステップＳ３５）。

　判定部１２は、取得車両攻撃イベント情報を取得すると、その取得車両攻撃イベント情報が示す車両攻撃イベント（以下、「取得車両攻撃イベント」とも称する）において異常を検知した異常検知部７１のうちの、異常を検知した時刻が最も遅い異常検知部７１である終点異常検知部を算出する（ステップＳ４０）。

　判定部１２は、終点異常検知部を算出すると、未検知異常検知部と終点異常検知部とが一致するか否かを調べる（ステップＳ４５）。

　ステップＳ４５の処理において、未検知異常検知部と終点異常検知部とが一致する場合に（ステップＳ４５：Ｙｅｓ）、判定部１２は、取得車両攻撃イベントの発生時刻（ここでは、取得車両攻撃イベント情報の受信時刻）から、第１の車両攻撃イベントの発生時刻（ここでは、第１の車両攻撃イベント情報の受信時刻）までの経過時間であるイベント間経過時間を算出する（ステップＳ５０）。

　イベント間経過時間が算出されると、期間更新部１５は、所定期間Ｔ１（以下、「イベント探索範囲」とも称する）を更新するイベント探索範囲算出処理を実行する（ステップＳ５５）。

　図１１は、期間更新部１５が実行するイベント探索範囲算出処理のフローチャートである。

　図１１に示すように、イベント探索範囲算出処理が開始されると、期間更新部１５は、記憶部１８が記憶する車両機能イベント履歴に含まれる車両機能イベントのうち、第１の車両攻撃イベントに対応する車両機能イベント情報を取得する（ステップＳ１００）。

　そして、期間更新部１５は、取得した車両機能イベント情報に、車両機能イベントが存在するか否かを調べる（ステップＳ１１０）。

　ステップＳ１１０の処理において、車両機能イベントが存在する場合に（ステップＳ１１０：Ｙｅｓ）、期間更新部１５は、取得した車両機能イベント情報に含まれる車両機能利用率が閾値以上であるか否かを調べる（ステップＳ１３０）。

　ステップＳ１３０の処理において、車両機能利用率が閾値以上である場合に（ステップＳ１３０：Ｙｅｓ）、期間更新部１５は、イベント探索範囲を増加させるようにイベント探索範囲を更新する（ステップＳ１４０）、すなわち、所定期間Ｔ１を長くするように所定期間Ｔ１を更新する。

　ステップＳ１３０の処理において、車両機能利用率が閾値以上でない場合に（ステップＳ１３０：Ｎｏ）、期間更新部１５は、イベント探索範囲を減少させるようにイベント探索範囲を更新する（ステップＳ１４０）、すなわち、所定期間Ｔ１を短くするように所定期間Ｔ１を更新する。

　ステップＳ１１０の処理において、車両機能イベントが存在しない場合に（ステップＳ１１０：Ｎｏ）、期間更新部１５は、イベント探索範囲を変更しないようにイベント探索範囲を更新する（ステップＳ１２０）、すなわち、所定期間Ｔ１を更新しないように所定期間Ｔ１を更新する。

　ステップＳ１２０の処理が終了した場合、ステップＳ１４０の処理が終了した場合、または、ステップＳ１５０の処理が終了した場合に、期間更新部１５は、そのイベント探索範囲算出処理を終了する。

　再び図１０に戻って、第１の車両攻撃イベント連続性判定処理の説明を続ける。

　イベント探索範囲算出処理が終了すると、判定部１２は、イベント間経過時間が、イベント探索範囲内であるか否かを調べる（ステップＳ６０）、すなわち、イベント間経過時間が、所定期間Ｔ１以下であるか否かを調べる。

　ステップＳ６０の処理において、イベント間経過時間がイベント探索範囲内である場合に（ステップＳ６０：Ｙｅｓ）、すなわち、イベント間経過時間が所定期間Ｔ１以下である場合に、判定部１２は、第１の車両攻撃イベントと、取得車両攻撃イベントとの連続性を、連続性ありと判定する（ステップＳ６５）。

　第１の車両攻撃イベントと、取得車両攻撃イベントとの連続性が、連続性ありと判定されると、結合部１３は、第１の車両攻撃イベントと取得車両攻撃イベントとを結合する（ステップＳ７０）。

　ステップＳ４５の処理において、未検知異常検知部と終点異常検知部とが一致しない場合（ステップＳ４５：Ｎｏ）と、ステップＳ６０の処理において、イベント間経過時間がイベント探索範囲内でない場合（ステップＳ６０：Ｙｅｓ）とに、判定部１２は、第１の車両攻撃イベントと、取得車両攻撃イベントとの連続性を、連続性なしと判定する（ステップＳ７５）。そして、第１の車両攻撃イベント連続性判定処理は、ステップＳ３０の処理に進む。

　ステップＳ２５の処理において、未検知異常検知部がなかった場合（ステップＳ２５：Ｎｏ）と、ステップＳ３０の処理において、未取得車両攻撃イベント情報が存在しない場合（ステップＳ３０：Ｎｏ）と、ステップＳ７０の処理が終了した場合とに、車両攻撃イベント連続性判定装置１０は、その第１の車両攻撃イベント連続性判定処理を終了する。

　なお、第１の車両攻撃イベント連続性判定処理は、ステップＳ５５のイベント探索範囲算出処理の替わりに、以下で説明する、エンジン起動イベント探索範囲算出処理、自動運転起動イベント探索範囲算出処理、高速走行イベント探索範囲算出処理、または、ソフトウエア更新イベント探索範囲算出処理を実行するとしてもよい。

　図１２は、期間更新部１５が実行するエンジン起動イベント探索範囲算出処理のフローチャートである。

　図１２に示すように、エンジン起動イベント探索範囲算出処理は、図１１に示すイベント探索範囲算出処理から、ステップＳ１１０の処理がステップＳ２１０の処理に変更され、ステップＳ１３０の処理がステップＳ２３０の処理に変更された処理である。このため、ここでは、ステップＳ２１０の処理とステップＳ２３０の処理を中心に説明する。

　ステップＳ１００の処理が終了すると、期間更新部１５は、取得した車両機能イベント情報に、エンジン起動イベントが存在するか否かを調べる（ステップＳ２１０）。

　ステップＳ２１０の処理において、エンジン起動イベントが存在する場合に（ステップＳ２１０：Ｙｅｓ）、期間更新部１５は、取得した車両機能イベント情報に含まれる車両機能利用率、すなわち、エンジン起動利用率が閾値以上であるか否かを調べる（ステップＳ２３０）。

　ステップＳ２３０の処理において、エンジン起動利用率が閾値以上である場合に（ステップＳ２３０：Ｙｅｓ）、ステップＳ１４０の処理に進む。

　ステップＳ２３０の処理において、エンジン起動利用率が閾値以上でない場合に（ステップＳ２３０：Ｎｏ）、ステップＳ１５０の処理に進む。

　ステップＳ２１０の処理において、エンジン起動イベントが存在しない場合に（ステップＳ２１０：Ｎｏ）、ステップＳ１２０の処理に進む。

　ステップＳ１２０の処理が終了した場合、ステップＳ１４０の処理が終了した場合、または、ステップＳ１５０の処理が終了した場合に、期間更新部１５は、そのエンジン起動イベント探索範囲算出処理を終了する。

　図１３は、期間更新部１５が実行する自動運転起動イベント探索範囲算出処理のフローチャートである。

　図１３に示すように、自動運転起動イベント探索範囲算出処理は、図１１に示すイベント探索範囲算出処理から、ステップＳ１１０の処理がステップＳ３１０の処理に変更され、ステップＳ１３０の処理がステップＳ３３０の処理に変更された処理である。このため、ここでは、ステップＳ３１０の処理とステップＳ３３０の処理を中心に説明する。

　ステップＳ１００の処理が終了すると、期間更新部１５は、取得した車両機能イベント情報に、自動運転起動イベントが存在するか否かを調べる（ステップＳ３１０）。

　ステップＳ３１０の処理において、自動運転起動イベントが存在する場合に（ステップＳ３１０：Ｙｅｓ）、期間更新部１５は、取得した車両機能イベント情報に含まれる車両機能利用率、すなわち、自動運転起動利用率が閾値以上であるか否かを調べる（ステップＳ３３０）。

　ステップＳ３３０の処理において、自動運転起動利用率が閾値以上である場合に（ステップＳ３３０：Ｙｅｓ）、ステップＳ１４０の処理に進む。

　ステップＳ３３０の処理において、自動運転起動利用率が閾値以上でない場合に（ステップＳ３３０：Ｎｏ）、ステップＳ１５０の処理に進む。

　ステップＳ３１０の処理において、自動運転起動イベントが存在しない場合に（ステップＳ３１０：Ｎｏ）、ステップＳ１２０の処理に進む。

　ステップＳ１２０の処理が終了した場合、ステップＳ１４０の処理が終了した場合、または、ステップＳ１５０の処理が終了した場合に、期間更新部１５は、自動運転起動イベント探索範囲算出処理を終了する。

　図１４は、期間更新部１５が実行する高速走行イベント探索範囲算出処理のフローチャートである。

　図１４に示すように、高速走行イベント探索範囲算出処理は、図１１に示すイベント探索範囲算出処理から、ステップＳ１１０の処理がステップＳ４１０の処理に変更され、ステップＳ１３０の処理がステップＳ４３０の処理に変更された処理である。このため、ここでは、ステップＳ４１０の処理とステップＳ４３０の処理を中心に説明する。

　ステップＳ１００の処理が終了すると、期間更新部１５は、取得した車両機能イベント情報に、高速走行イベントが存在するか否かを調べる（ステップＳ４１０）。

　ステップＳ４１０の処理において、高速走行イベントが存在する場合に（ステップＳ４１０：Ｙｅｓ）、期間更新部１５は、取得した車両機能イベント情報に含まれる車両機能利用率、すなわち、高速走行利用率が閾値以上であるか否かを調べる（ステップＳ４３０）。

　ステップＳ４３０の処理において、高速走行利用率が閾値以上である場合に（ステップＳ４３０：Ｙｅｓ）、ステップＳ１４０の処理に進む。

　ステップＳ４３０の処理において、高速走行利用率が閾値以上でない場合に（ステップＳ４３０：Ｎｏ）、ステップＳ１５０の処理に進む。

　ステップＳ４１０の処理において、高速走行イベントが存在しない場合に（ステップＳ４１０：Ｎｏ）、ステップＳ１２０の処理に進む。

　ステップＳ１２０の処理が終了した場合、ステップＳ１４０の処理が終了した場合、または、ステップＳ１５０の処理が終了した場合に、期間更新部１５は、その高速走行イベント探索範囲算出処理を終了する。

　図１５は、期間更新部１５が実行するソフトウエア更新イベント探索範囲算出処理のフローチャートである。

　図１５に示すように、ソフトウエア更新イベント探索範囲算出処理は、図１１に示すイベント探索範囲算出処理から、ステップＳ１１０の処理がステップＳ５１０の処理に変更され、ステップＳ１３０の処理がステップＳ５３０の処理に変更された処理である。このため、ここでは、ステップＳ５１０の処理とステップＳ５３０の処理を中心に説明する。

　ステップＳ１００の処理が終了すると、期間更新部１５は、取得した車両機能イベント情報に、ソフトウエア更新イベントが存在するか否かを調べる（ステップＳ５１０）。

　ステップＳ５１０の処理において、ソフトウエア更新イベントが存在する場合に（ステップＳ５１０：Ｙｅｓ）、期間更新部１５は、取得した車両機能イベント情報に含まれる車両機能利用率、すなわち、ソフトウエア更新頻度が閾値以上であるか否かを調べる（ステップＳ５３０）。

　ステップＳ５３０の処理において、ソフトウエア更新頻度が閾値以上である場合に（ステップＳ５３０：Ｙｅｓ）、ステップＳ１４０の処理に進む。

　ステップＳ５３０の処理において、ソフトウエア更新頻度が閾値以上でない場合に（ステップＳ５３０：Ｎｏ）、ステップＳ１５０の処理に進む。

　ステップＳ５１０の処理において、ソフトウエア更新イベントが存在しない場合に（ステップＳ５１０：Ｎｏ）、ステップＳ１２０の処理に進む。

　ステップＳ１２０の処理が終了した場合、ステップＳ１４０の処理が終了した場合、または、ステップＳ１５０の処理が終了した場合に、期間更新部１５は、そのソフトウエア更新イベント探索範囲算出処理を終了する。

　＜考察＞
　図１６Ａは、ＥＣＵ＿Ａ７０ＡからＥＣＵ＿Ｃ７０Ｃへの接続関係がある車載ネットワーク２０において、ＥＣＵ＿Ｃ７０Ｃの異常検知部＿Ｃ７１ＣによるＩＤＳの検知と、その後のＥＣＵ＿Ｄ７０Ｄの異常検知部＿Ｄ７１ＤによるＲＯＢの検知とからなる第１の車両攻撃イベントと、ＥＣＵ＿Ａ７０Ａの異常検知部＿Ａ７１ＡによるＩＤＳの検知からなる第２の車両攻撃イベントとが発生した第１の事象が発生した様子を示す模式図である。

　このとき、車両攻撃イベント連続性判定装置１０は、（１）異常検知部Ａ＿７１Ａが、第１の車両攻撃イベントの未検知異常検知部であり、かつ、第２の車両攻撃イベントの終点異常検知部であり、さらに、（２）第１の車両攻撃イベントと第２の車両攻撃イベントとのイベント間経過時間がイベント探索範囲内である場合に、第１の車両攻撃イベントと第２の車両攻撃イベントとの連続性を、連続性ありと判定する。

　このように連続性ありとの判定がなされた場合、車両攻撃イベント連続性判定装置１０を利用するユーザは、第１の事象に対して、第１の車両攻撃イベントと第２の車両攻撃イベントとからなる潜伏攻撃を１つの車両攻撃イベントとみなして、その車両攻撃イベントの攻撃を解析することができるようになる。

　図１６Ｂは、ＥＣＵ＿Ｅ７０ＥからＥＣＵ＿Ｃ７０Ｃへの接続関係がない車載ネットワーク２０において、ＥＣＵ＿Ｃ７０Ｃの異常検知部＿Ｃ７１ＣによるＩＤＳの検知と、その後のＥＣＵ＿Ｄ７０Ｄの異常検知部＿Ｄ７１ＤによるＲＯＢの検知とからなる第１の車両攻撃イベントと、ＥＣＵ＿Ｅ７０Ｅの異常検知部＿Ｅ７１ＥによるＩＤＳの検知からなる第２の車両攻撃イベントとが発生した第２の事象が発生した様子を示す模式図である。

　このとき、車両攻撃イベント連続性判定装置１０は、異常検知部Ｅ＿７１Ｅを、第１の車両攻撃イベントの未検知異常検知部と算出することはなく、したがって、第１の車両攻撃イベントと第２の車両攻撃イベントとの連続性を、連続性なしと判定する。

　この連続性なしとの判定により、車両攻撃イベント連続性判定装置１０を利用するユーザは、第２の事象に対して、第１の車両攻撃イベントと第２の車両攻撃イベントとを１つの潜伏攻撃とみなすことなく、それら第１の車両攻撃イベントと第２の車両攻撃イベントとを解析することができるようになる。

　図１６Ｃは、ＥＣＵ＿Ａ７０ＡからＥＣＵ＿Ｃ７０Ｃへの接続関係があるが、ＥＣＵ＿Ｂ７０ＢからＥＣＵ＿Ｃ７０Ｃへの接続関係がない車載ネットワーク２０において、ＥＣＵ＿Ｃ７０Ｃの異常検知部＿Ｃ７１ＣによるＩＤＳの検知と、その後のＥＣＵ＿Ｄ７０Ｄの異常検知部＿Ｄ７１ＤによるＲＯＢの検知とからなる第１の車両攻撃イベントと、ＥＣＵ＿Ａ７０Ａの異常検知部＿Ａ７１ＡによるＩＤＳの検知と、その後のＥＣＵ＿Ｂ７０Ｂの異常検知部＿Ｂ７１ＢによるＩＤＳの検知からなる第２の車両攻撃イベントとが発生した第３の事象が発生した様子を示す模式図である。

　このとき、車両攻撃イベント連続性判定装置１０は、第２の車両攻撃イベントの終点異常検知部であるＥＣＵ＿Ｂ７０Ｂを、第１の車両攻撃イベントの未検知異常検知部と算出することはなく、したがって、第１の車両攻撃イベントと第２の車両攻撃イベントとの連続性を、連続性なしと判定する。

　この連続性なしとの判定により、車両攻撃イベント連続性判定装置１０を利用するユーザは、第３の事象に対して、１の車両攻撃イベントと第２の車両攻撃イベントとを１つの潜伏攻撃とみなすことなく、それら第１の車両攻撃イベントと第２の車両攻撃イベントとを解析することができるようになる。

　図１６Ｄは、ＥＣＵ＿Ａ７０ＡからＥＣＵ＿Ｃ７０Ｃへの接続関係がある車載ネットワーク２０において、ＥＣＵ＿Ｃ７０Ｃの異常検知部＿Ｃ７１ＣによるＩＤＳの検知と、その後のＥＣＵ＿Ｄ７０Ｄの異常検知部＿Ｄ７１ＤによるＲＯＢの検知とからなる第１の車両攻撃イベントと、ＥＣＵ＿Ａ７０Ａの異常検知部＿Ａ７１ＡによるＩＤＳの検知からなる第２の車両攻撃イベントであって、第１の車両攻撃イベントと第２の車両攻撃イベントとのイベント間経過時間がイベント探索範囲外である第２の車両攻撃イベントとが発生した第４の事象が発生した様子を示す模式図である。

　このとき、車両攻撃イベント連続性判定装置１０は、第１の車両攻撃イベントと第２の車両攻撃イベントとのイベント間経過時間がイベント探索範囲外であるため、第１の車両攻撃イベントと第２の車両攻撃イベントとの連続性を、連続性なしと判定する。

　この連続性なしとの判定により、車両攻撃イベント連続性判定装置１０を利用するユーザは、第４の事象に対して、１の車両攻撃イベントと第２の車両攻撃イベントとを１つの潜伏攻撃とみなすことなく、それら第１の車両攻撃イベントと第２の車両攻撃イベントとを解析することができるようになる。

　図１７は、第１の車両攻撃イベントにおける一番早い検知時刻である第１の時刻から過去への所定期間ＴＢ内に発生した車両機能イベント（以下、「直近開始車両機能イベント」とも称する）と同じ車両機能イベントの利用状況を示す模式図である。

　一般に、潜伏攻撃において、なんらかの車両機能イベントの開始をトリガーとして、その潜伏期間を終了して攻撃活動が再開される事象が知られている。

　このため、図１７の（ａ）に示されるように、直近開始車両機能イベントと同じ車両機能イベントの利用率が比較的高い場合には、１つの潜伏攻撃における潜伏前の攻撃と、その潜伏後の攻撃との期間は、比較的短い可能性が高いと考えられる。

　そこで、期間更新部１５は、第１の時刻から過去への所定期間ＴＢ内に発生した車両機能イベントと同じ車両機能イベントが、第１の時刻から過去への所定期間ＴＣ内に発生している、かつ、所定の閾値以上の回数または期間発生している場合に、所定期間Ｔ１を短くするように、所定期間Ｔ１を更新する。

　これにより、車両攻撃イベント連続性判定装置１０は、比較的効率よく、かつ、比較的効果的に、第１の車両攻撃イベントと第２の車両攻撃イベントとの連続性を判定することができる。

　また、逆に、図１７の（ｂ）に示されるように、直近開始車両機能イベントと同じ車両機能イベントの利用率が比較的低い場合には、１つの潜伏攻撃における潜伏前の攻撃と、その潜伏後の攻撃との期間は、比較的長い可能性が高いと考えられる。

　そこで、期間更新部１５は、第１の時刻から過去への所定期間ＴＢ内に発生した車両機能イベントと同じ車両機能イベントが、第１の時刻から過去への所定期間ＴＣ内に発生している、かつ、所定の閾値未満の回数または期間発生している場合に、所定期間Ｔ１を長くするように、所定期間Ｔ１を更新する。

　（実施の形態２）
　以下、実施の形態１に係る車両攻撃イベント連続性判定装置１０から、その機能の一部が変更されて構成される実施の形態２に係る車両攻撃イベント連続性判定装置について説明する。ここでは、実施の形態２に係る車両攻撃イベント連続性判定装置について、車両攻撃イベント連続性判定装置１０と同様の構成要素については、既に説明済みであるとして同じ符号を振ってその詳細な説明を省略し、車両攻撃イベント連続性判定装置１０との相違点を中心に説明する。

　＜構成＞
　図１８は、実施の形態２に係る車両攻撃イベント連続性判定装置１０Ａの構成の一例を示すブロック図である。

　図１８に示すように、車両攻撃イベント連続性判定装置１０Ａは、実施の形態１に係る車両攻撃イベント連続性判定装置１０から、信頼度算出部１９が追加され、出力部１４が出力部１４Ａに変更されて構成される。

　信頼度算出部１９は、結合部１３が、第１の車両攻撃イベントと第２の車両攻撃イベントを結合した場合に、第１の車両攻撃イベントを示す第１の車両攻撃イベント情報と、第２の車両攻撃イベントを示す第２の車両攻撃イベント情報とに基づいて、第１の車両攻撃イベントと第２の車両攻撃イベントとを結合して得られた結合後車両攻撃イベントの信頼度を算出する。

　信頼度算出部１９は、例えば、攻撃経路算出部１６により第１の車両攻撃イベントを対象として算出された攻撃経路において、その攻撃経路に存在する異常検知部７１に対する、第１の車両攻撃イベントおよび第２の車両攻撃イベントにおいて異常を検知した異常検知部７１の一致率を、信頼度として算出してもよい。

　例えば、攻撃経路に存在する異常検知部７１が、異常検知部＿Ａ７１Ａ、異常検知部＿Ｂ７１Ｂ、異常検知部＿Ｃ７１Ｃ、および、異常検知部＿Ｄ７１Ｄである場合において、第１の車両攻撃イベントおよび第２の車両攻撃イベントにおいて異常を検知した異常検知部７１が、異常検知部＿Ａ７１Ａ、異常検知部＿Ｂ７１Ｂ、および、異常検知部＿Ｃ７１Ｃであるときには、信頼度算出部１９は、信頼度を、３／４＝０．７５と算出してもよい。

　また、信頼度算出部１９は、例えば、攻撃経路算出部１６により第１の車両攻撃イベントを対象として算出された攻撃経路において、その攻撃経路に存在する異常検知部７１が検知する異常検知種別と、第１の車両攻撃イベントおよび第２の車両攻撃イベントにおいて異常を検知した異常検知部７１により検知された異常検知種別との一致率を、信頼度として算出してもよい。

　例えば、攻撃経路に存在する異常検知部７１が検知する異常検知種別が、異常検知部＿Ａ＿Ａｂｎｏｒｍａｌｉｔｙ１、異常検知部＿Ｂ＿Ａｂｎｏｒｍａｌｉｔｙ２、異常検知部＿Ｃ＿Ａｂｎｏｒｍａｌｉｔｙ３、異常検知部＿Ｄ＿Ａｂｎｏｒｍａｌｉｔｙ４、および、異常検知部＿Ｄ＿Ａｂｎｏｒｍａｌｉｔｙ５である場合において、第１の車両攻撃イベントおよび第２の車両攻撃イベントにおいて異常を検知した異常検知部７１により検知された異常検知種別が、異常検知部＿Ａ＿Ａｂｎｏｒｍａｌｉｔｙ１、異常検知部＿Ｂ＿Ａｂｎｏｒｍａｌｉｔｙ２、および、異常検知部＿Ｃ＿Ａｂｎｏｒｍａｌｉｔｙ３であるときには、信頼度算出部１９は、信頼度を、３／５＝０．６０と算出してもよい。

　出力部１４Ａは、判定部１２による判定結果と、信頼度算出部１９により算出された信頼度とを出力する。より具体的には、出力部１４Ａは、表示装置４１に対して、判定結果と信頼度とを含む第２の表示制御信号であって、判定結果と信頼度とを表示装置４１に表示させる第２の表示制御信号を出力する。

　図１９は、出力部１４Ａから出力された第２の表示制御信号を受信した表示装置４１が、受信した第２の表示制御信号に基づいて表示する画像の一例を示す模式図である。

　図１９に例示するように、出力部１４Ａから出力された第２の表示制御信号を受信した表示装置４１は、判定部１２による判定結果と、信頼度算出部１９により算出された信頼度とを表示する。

　＜動作＞
　以下、上記構成の車両攻撃イベント連続性判定装置１０Ａが行う動作について図面を参照しながら説明する。

　車両攻撃イベント連続性判定装置１０Ａは、車両攻撃イベント連続性判定装置１０が行う第１の車両攻撃イベント連続性判定処理から、その一部の処理が変更された第２の車両攻撃イベント連続性判定処理を行う。

　図２０は、車両攻撃イベント連続性判定装置１０Ａが行う第２の車両攻撃イベント連続性判定処理のフローチャートである。

　図２０に示すように、第２の車両攻撃イベント連続性判定処理は、第１の車両攻撃イベント連続性判定処理から、ステップＳ６８０の処理が追加され、ステップＳ２５の処理において、未検知異常検知部がなかった場合（ステップＳ２５：Ｎｏ）と、ステップＳ３０の処理において、未取得車両攻撃イベント情報が存在しない場合（ステップＳ３０：Ｎｏ）とに、第２の車両攻撃イベント連続性判定処理が終了されるように変更された処理である。

　このため、ここでは、ステップＳ６８０の処理を中心に説明する。

　ステップＳ７０の処理が終了すると、信頼度算出部１９は、第１の車両攻撃イベントを示す第１の車両攻撃イベント情報と、取得車両攻撃イベントを示す車両攻撃イベント情報とに基づいて、第１の攻撃イベントと取得車両攻撃イベントとを結合して得られた結合後車両攻撃イベントの信頼度を算出する（ステップＳ６８０）。

　ステップＳ６８０の処理が終了すると、第２の車両攻撃イベント連続性判定処理は、ステップＳ３０の処理に進む。

　＜考察＞
　上記構成の車両攻撃イベント連続性判定装置１０Ａによると、第１の車両攻撃イベントと、第２の車両攻撃イベントとの連続性の判定結果、および、第１の車両攻撃イベントと第２の結合イベントとを結合して得られた結合後車両攻撃イベントの信頼度とが、表示装置４１に表示される。

　これにより、車両攻撃イベント連続性判定装置１０Ａを利用するユーザは、表示装置４１に表示される表示内容に基づいて、第１の車両攻撃イベントと、第２の車両攻撃イベントとを１つの潜伏攻撃とみなすべきか否かを判断することができるようになる。

　（補足）
　以上のように、本出願において開示する技術の例示として、実施の形態１および実施の形態２に基づいて説明した。しかしながら、本開示は、これら実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の１つまたは複数の態様の範囲内に含まれてもよい。

　（１）実施の形態１において、車両攻撃イベント連続性判定装置１０は、車載ネットワーク２０の外部に存在するサーバ装置４０により実現されるとして説明した。しかしながら、車両攻撃イベント連続性判定装置１０は、必ずしもサーバ装置４０により実現される例に限定される必要はなく、さらには、車載ネットワーク２０の外部の装置において実現される例に限定される必要もない。一例として、車両攻撃イベント連続性判定装置１０が、車載ネットワーク２０内に実現されるとしてもよい。

　この場合、車載ネットワーク２０は、例えば、プロセッサと、メモリとを備え、メモリに記憶されたプログラムをプロセッサが実行することで、車両攻撃イベント連続性判定装置１０を実現するとしてもよい。

　（２）車両攻撃イベント連続性判定装置１０に含まれる構成要素の一部または全部は、専用または汎用の回路として実現されてもよい。

　車両攻撃イベント連続性判定装置１０に含まれる構成要素の一部または全部は、例えば、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）などを含んで構成されるコンピュータシステムである。ＲＯＭには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。

　なお、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、あるいはＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（３）本開示の一態様は、このような車両攻撃イベント連続性判定装置１０だけではなく、車両攻撃イベント連続性判定装置１０に含まれる特徴的な構成部をステップとする車両攻撃イベント連続性判定方法であってもよい。また、本開示の一態様は、車両攻撃イベント連続性判定方法に含まれる特徴的な各ステップをコンピュータに実行させるコンピュータプログラムであってもよい。また、本開示の一態様は、そのようなコンピュータプログラムが記録された、コンピュータ読み取り可能な非一時的な記録媒体であってもよい。

　本開示は、ネットワークに対するサイバー攻撃を監視する攻撃監視システム等に広く利用可能である。

　１　攻撃監視システム
　１０、１０Ａ　車両攻撃イベント連続性判定装置
　１１　取得部
　１２　判定部
　１３　結合部
　１４、１４Ａ　出力部
　１５　期間更新部
　１６　攻撃経路算出部
　１７　未検知異常検知部算出部
　１８　記憶部
　１９　信頼度算出部
　２０　車載ネットワーク
　３０　車両
　４０　サーバ装置
　４１　表示装置
　５０　外部ネットワーク
　６０　車両攻撃イベント管理部
　７０　ＥＣＵ
　７０Ａ　ＥＣＵ＿Ａ
　７０Ｂ　ＥＣＵ＿Ｂ
　７０Ｃ　ＥＣＵ＿Ｃ
　７０Ｄ　ＥＣＵ＿Ｄ
　７０Ｅ　ＥＣＵ＿Ｅ
　７１　異常検知部
　７１Ａ　異常検知部＿Ａ
　７１Ｂ　異常検知部＿Ｂ
　７１Ｃ　異常検知部＿Ｃ
　７１Ｄ　異常検知部＿Ｄ
　７１Ｅ　異常検知部＿Ｅ

Claims

　車載ネットワークにおいて発生した第１の車両攻撃イベントに係る第１の車両攻撃イベント情報と、前記車載ネットワークにおいて、前記第１の車両攻撃イベントより過去に発生した第２の車両攻撃イベントに係る第２の車両攻撃イベント情報と、前記車載ネットワークの構成を示す車載ネットワーク情報とを取得する取得ステップと、
　前記第１の車両攻撃イベント情報と、前記第２の車両攻撃イベント情報と、前記車載ネットワーク情報とに基づいて、前記第１の車両攻撃イベントと、前記第２の車両攻撃イベントとの連続性を判定する判定ステップと、
　判定した結果を出力する出力ステップと、を含む
　車両攻撃イベント連続性判定方法。
　前記取得ステップでは、さらに、前記車載ネットワークにおいて、前記第２の車両攻撃イベントより過去に発生した第３の車両攻撃イベントに係る第３の車両攻撃イベント情報を取得し、
　前記判定ステップでは、前記連続性を、連続性ありと判定しなかった場合に、さらに、前記第１の車両攻撃イベント情報と、前記第３の車両攻撃イベント情報と、前記車載ネットワーク情報とに基づいて、前記第１の車両攻撃イベントと、前記第３の車両攻撃イベントとの連続性を判定する
　請求項１に記載の車両攻撃イベント連続性判定方法。
　前記車載ネットワークは、複数の異常検知部を備え、
　前記第１の車両攻撃イベント情報は、前記複数の異常検知部のうちの、前記第１の車両攻撃イベントにおいて異常を検知した１以上の第１の異常検知部を示す情報を含み、
　前記第２の車両攻撃イベント情報は、前記複数の異常検知部のうちの、前記第２の車両攻撃イベントにおいて異常を検知した１以上の第２の異常検知部を示す情報を含み、
　前記判定ステップでは、前記第１の車両攻撃イベントにおける攻撃経路を算出し、前記攻撃経路において前記１以上の第１の異常検知部よりも上流側に位置する、前記第１の攻撃イベントにおいて異常を検知しなかった未検知異常検知部を算出し、前記未検知異常検知部と、前記１以上の第２の異常検知部のうち、異常を検知した時刻が最も遅い終点異常検知部とが一致する場合に、前記連続性を、連続性ありと判定する
　請求項１または請求項２に記載の車両攻撃イベント連続性判定方法。
　前記判定ステップでは、前記第１の車両攻撃イベントの発生時刻から第１の所定期間内に発生した前記第２の車両攻撃イベントを対象として、前記連続性を判定する
　請求項３に記載の車両攻撃イベント連続性判定方法。
　前記取得ステップでは、さらに、前記車載ネットワークを搭載する車両において発生した車両機能イベントに係る車両機能イベント情報を取得し、
　前記判定ステップでは、さらに、前記車両機能イベント情報にも基づいて、前記連続性を判定する
　請求項４に記載の車両攻撃イベント連続性判定方法。
　前記車両機能イベント情報は、前記１以上の第１の異常検知部が異常を検知した時刻のうちのもっとも早い第１の時刻から過去への第２の所定期間内に発生した車両機能イベントと同じ第１の車両機能イベントが、前記第１の時刻から過去への、前記第２の所定期間よりも長い第３の所定期間内に発生した回数または期間に係る車両機能利用率を含み、
　さらに、前記車両攻撃イベント連続性判定方法は、前記車両機能利用率に基づいて、前記第１の所定期間を更新する期間更新ステップを含み、
　前記判定ステップでは、前記期間更新ステップにより更新された前記第１の所定期間を利用して、前記連続性を判定する
　請求項５に記載の車両攻撃イベント連続性判定方法。
　前記期間更新ステップでは、（１）前記第１の時刻から過去への前記第３の所定の期間内に前記第１の車両機能イベントが発生していない場合に、前記第１の所定期間を変更しないように、（２）前記第１の時刻から過去への前記第３の所定の期間内に、前記第１の車両機能イベントが発生している、かつ、所定の閾値以上の回数または期間発生している場合に、前記第１の所定期間を短くするように、（３）前記第１の時刻から過去への前記第３の所定の期間内に、前記第１の車両機能イベントが発生している、かつ、所定の閾値未満の回数または期間発生している場合に、前記第１の所定期間を長くするように、前記第１の所定期間を更新する
　請求項６に記載の車両攻撃イベント連続性判定方法。
　前記第１の車両機能イベントは、前記車両のエンジンを起動しているエンジン起動イベントである
　請求項６または請求項７に記載の車両攻撃イベント連続性判定方法。
　前記第１の車両機能イベントは、前記車両の自動運転を起動している自動運転起動イベントである
　請求項６または請求項７に記載の車両攻撃イベント連続性判定方法。
　前記第１の車両機能イベントは、前記車両が高速走行を行う高速走行イベントである
　請求項６または請求項７に記載の車両攻撃イベント連続性判定方法。
　前記第１の車両機能イベントは、前記車両のソフトウエアを更新するソフトウエア更新イベントである
　請求項６または請求項７に記載の車両攻撃イベント連続性判定方法。
　さらに、前記判定ステップにおいて、前記連続性を、連続性ありと判定した場合に、前記第１の車両攻撃イベントと、前記第２の車両攻撃イベントとを結合する結合ステップを含む
　請求項１から請求項１１のいずれか１項に記載の車両攻撃イベント連続性判定方法。
　さらに、前記結合ステップにおいて、前記第１の車両攻撃イベントと前記第２の車両攻撃イベントとを結合した場合に、前記第１の車両攻撃イベント情報と、前記第２の車両攻撃イベント情報とに基づいて、前記第１の車両攻撃イベントと前記第２の車両攻撃イベントとを結合して得られた結合後車両攻撃イベントの信頼度を算出する信頼度算出ステップを含み、
　前記出力ステップでは、さらに、前記信頼度を出力する
　請求項１２に記載の車両攻撃イベント連続性判定方法。
　車載ネットワークにおいて発生した第１の車両攻撃イベントに係る第１の車両攻撃イベント情報と、前記車載ネットワークにおいて、前記第１の車両攻撃イベントより過去に発生した第２の車両攻撃イベントに係る第２の車両攻撃イベント情報と、前記車載ネットワークの構成を示す車載ネットワーク情報とを取得する取得部と、
　前記第１の車両攻撃イベント情報と、前記第２の車両攻撃イベント情報と、前記車載ネットワーク情報とに基づいて、前記第１の車両攻撃イベントと、前記第２の車両攻撃イベントとの連続性を判定する判定部と、
　判定した結果を出力する出力部と、を備える
　車両攻撃イベント連続性判定装置。
　コンピュータに車両攻撃イベント連続性判定処理を実行させるためのプログラムであって、
　前記車両攻撃イベント連続性判定処理は、
　車載ネットワークにおいて発生した第１の車両攻撃イベントに係る第１の車両攻撃イベント情報と、前記車載ネットワークにおいて、前記第１の車両攻撃イベントより過去に発生した第２の車両攻撃イベントに係る第２の車両攻撃イベント情報と、前記車載ネットワークの構成を示す車載ネットワーク情報とを取得する取得ステップと、
　前記第１の車両攻撃イベント情報と、前記第２の車両攻撃イベント情報と、前記車載ネットワーク情報とに基づいて、前記第１の車両攻撃イベントと、前記第２の車両攻撃イベントとの連続性を判定する判定ステップと、
　判定した結果を出力する出力ステップと、を含む
　プログラム。