車載LANへ侵入するマルウェアの証拠保全を行うカーネル上のフォレンジック機構

インターネットとつながる自動車において，カーナビ等の車載インフォテインメントシステム（IVI）へのマルウェアの侵入等による車載LANへのサイバー攻撃が問題となっている．また，マルウェアのような不正なプログラムによる事故が発生した場合，ドライバの過失によるものなのか，マルウェアの車載LANへの侵入・攻撃によるものなのかを区別する仕組みはない．不具合や事故が起こった後のデジタル・フォレンジックのためには，その原因となった事象の証拠保全を行う機構が必要となる．先行研究として，車載LAN上のストレージデバイスを用いて車載LANデータを保全するフォレンジック機構が提案されているが，車載LANデータのみ保全するため，いつ感染したのか，どのようなマルウェアなのか等を調べることができない．さらに，マルウェアから証拠保全を妨害されないといった保証もない．本研究では，IVIへ侵入するマルウェアおよび車載LANデータの証拠保全を行うフォレンジック機構を提案する．マルウェアからの耐性を高める目的として，OSカーネル上にフォレンジック機構を組み込み，マルウェアの証拠データを保全する．フォレンジック機構の評価として，車載LANへ侵入するマルウェアとしてMiraiに車載LANへDoS攻撃を行う機能を追加したマルウェアを感染させる実験を行い，その際の証拠データを分析した．実験結果から，保全された証拠データからマルウェアの攻撃時の特徴的なシステムコールや車載LANの異常なメッセージの増加，感染時にTelnet通信が頻繁に行われるといった挙動が観測でき，フォレンジック機構の有効性を確認した．また，フォレンジック機構が，アンチデバッグ等の耐解析手法に対し高い耐性があることと，車載システムにおいて十分なパフォーマンスで動作可能であることを示す． Cyber-attacks, such as the intrusion of malware on in-vehicle infotainment systems (IVI), are becoming a problem. At present, there is no mechanism to distinguish between an accident caused by a driver's negligence or an accident caused by malware infiltration into an in-vehicle LAN. A mechanism to preserve the evidence data of the accident is needed for the digital forensics following the accident. A previous study has proposed a forensic mechanism for preserving in-vehicle LAN data using storage devices, however the study failed to find out when the system was infected and what kind of malware was used. In addition, there is no guarantee that the storage device will be kept from damage, or that evidence integrity will not be disturbed by malware. In this research, we propose a forensic mechanism on the kernel land that preserves the evidence of the malware invading the in-vehicle LAN. For the purpose of enhancing the resistance to malware, a forensic mechanism was incorporated on the OS kernel and the evidence data of the malware was reserved. As an evaluation of the forensic mechanism, we conducted experiments in which an IVI, incorporating the forensic mechanism, was infected with a malware called Mirai that adds a command to DoS-attack the in-vehicle LAN, and the behavior of the evidence data at that time was observed. From the results, it was found that observation of the characteristic system call at the time of the malware attack and the abnormal message of the in-vehicle LAN from the preserved evidence data is possible. It was also observed that Telnet communication was frequent at the time of infection, therefore, the effectiveness of the forensic mechanism was confirmed. We also showed that the forensic mechanism is highly resistant to debugging and that it can operate with sufficient performance in an in-vehicle system.