出典:Pictoral Press Ltd via Alamy Stock Photo
研究者たちは、マイクロチップメーカーがサイバー物理攻撃、特にレーザーから守るために、新しい多層絶縁設計を採用することを提案しています。
月曜日、フランス代替エネルギー・原子力庁(CEA)と半導体製造会社Soitecのメンバーが、自動車のサイバーセキュリティを強化するために設計された新しい種類のマイクロチップ技術を推奨する報告書を発表しました。それは「完全空乏型シリコン・オン・インシュレーター」(FD-SOI)と呼ばれ、チップに対するサイバー物理攻撃を妨げ、すでに複雑で高コストな攻撃シナリオを、さらに非現実的なものにします。
「安全性と信頼性は、まれだが重大な改ざんに耐えるハードウェアに依存しています」とSoitecの事業開発ディレクター、フィリップ・フラトレス氏は述べています。最終的には、FD-SOIはコスト効率が高く、世界的な車両セキュリティ規制への準拠を容易にすることで普及する可能性が高いかもしれません。
FD-SOIとは
標準的なチップのように、シリコンウェハー上に何十億ものトランジスタを直接配置する代わりに、FD-SOIは絶縁性の埋め込み酸化膜(BOX)層を持つ多層基板を使用します。この層はトランジスタ同士や下部の基板からの絶縁を担います。
その目的は、フォルトインジェクションと呼ばれる特殊なサイバー物理攻撃、特に「レーザーフォルトインジェクション(LFI)」をはるかに困難にすることです。
LFIでは、攻撃者が集束したレーザーパルスを使って、論理回路を構成するトランジスタに一時的なエラーを引き起こします。チップを焼き切るのではなく、特別に調整されたレーザーパルスによってビット反転や命令スキップなどのエラーを発生させることができます。これにより、認証チェックのスキップや鍵の漏洩など、サイバー上の脆弱性を誘発できます。
CEAとSoitecは、FD-SOIのBOXバッファがエネルギーの拡散を制限するため、攻撃者がLFI攻撃を実行するにはより多くのレーザー出力が必要であることを発見しました。それだけでなく、はるかに多くの時間も必要でした。同じ攻撃が標準チップでは10分で済むところ、FD-SOIでは10時間かかります。さらに、チップを実用不能なほど損傷させるリスクもあります。
レーザーフォルトインジェクション攻撃のシナリオ
現代の一般消費者向け車両には、数十から100以上のマイクロコントローラユニット(MCU)が搭載されており、ライトの明るさから重要な車両制御システムまで、あらゆるものを監督しています。自動運転やその他の最先端機能を持つ車は、AI対応のMCUも利用します。
もし研究者がこれらの重要なMCUを攻撃し、車両を操作しようとする場合、通常は情報チャネルを通じて試みます;車載インフォテインメント(IVI)システムが人気の選択肢であり、ワイヤレスキーも同様です。MCUに接続するシステムなら、理論上どれでも攻撃経路となり得ます。
フォルトインジェクション攻撃はそれらをすべて飛ばし、物理的手段で直接チップに影響を与えます。そのため、車両だけでなく、外から見えない内部への物理的アクセスが必要です。したがって、フラトレス氏は「現実的なシナリオは、敵対者が一時的に電子制御ユニット(ECU)やテレマティクスユニットを制御する場合です。例えば、整備工場にある車両、盗難や廃棄されたECUをベンチで扱う場合、サプライチェーンでの改ざんなどです」と説明します。
実際には、「攻撃者はしばしばLFIをラボで使用して、サブミクロンやナノ秒単位で脆弱性をマッピングし、同じフォルト条件を現場で再現します」と彼は指摘します。トランジスタの状態とレーザーパルスを最初に同期させ、特定のサイバー的結果を得るために狙うべき場所とタイミングを特定するのは、非常に試行錯誤を要するプロセスです。
理論的には、LFIは国家レベルのリソースを持つエリートで専門的な脅威アクターにとって可能です。また、LFIがドローンや命を救う医療機器、製造装置など、あらゆるデバイスのシリコンチップに影響を与えることを考慮すると、想定される攻撃シナリオはさらに広がります。
FD-SOIがコンプライアンスとコスト削減を実現する方法
ジェームズ・ボンドのストーリーのように聞こえるかもしれませんが、フラトレス氏は規制当局がLFIの脅威を真剣に受け止めていると強調します。「彼らはLFIを最悪のケースを可能にする技術として扱っています。それは他の人が後でより粗雑な方法で引き起こせる弱点を体系的に露呈させます。」
例えば2021年1月以降、国連規則第155号(R155)は、自動車メーカー(OEM)に対し、車両の開発ライフサイクル全体を通じてサイバーリスクから守るためのサイバーセキュリティ管理システム(CMS)の導入を義務付けています。この規則は、EU全域、イギリス、日本、韓国を含む54カ国に適用されます。そして、乗用車、トラック、バス、電子制御を持つトレーラーなど、あらゆる種類の車両が対象です。
UN R155で列挙されている脅威の中には、電子ハードウェアの物理的な改ざんも含まれています。文書内で名前こそ挙げられていませんが、フォルトインジェクション攻撃はそのカテゴリの極端な例であり、LFIはフォルトインジェクション攻撃の中でも最も極端なものです。
UN R155への準拠を示すためによく使われるグローバルな業界フレームワークであるISO/SAE 21434は、より直接的に言及しています。フラトレス氏によれば、リスク分析の一部としてフォルトインジェクションを明確に考慮しているとのことです。
トヨタがサッカーママをエキゾチックなレーザービーム攻撃から守れなかったとしても、誰も責めないでしょうが、フラトレス氏はFD-SOIチップはコスト効率の面からも検討する価値があると主張します。追加の層が必要ですが、その絶縁効果により、電気的ノイズやリーク、過熱など、エンジニアが他に補償しなければならない要素が減ります。また、FD-SOIは平坦であり、いくつかのシステムオンチップ(SoC)で使われるFin型電界効果トランジスタ(FinFET)技術とは異なります。これらを総合すると、「このシンプルさがより予測可能な歩留まりと全体的なダイコストの低減につながる」とフラトレス氏は述べています。
しかし彼は、LFIの防止が主な目標であると強調します。「FD-SOIは『ハッキング不可能』ではありませんが、フォルトが悪用する基板経路を断つことで、ハードルを上げます。まさに今、規制当局や安全プログラムが必要としていることです。」
翻訳元: https://www.darkreading.com/ics-ot-security/microchip-tech-vehicles-laser-attacks
