自動車部門 脅威リサーチャー、Shin Li
何十年もの間、排出ガス規制への適合は、コードではなく化学に焦点を当てていました。しかし、現代の自動車がソフトウェアによって定義される機械へと進化するにつれ、それらを操作する方法も進化しました。欧州連合(EU)の次期排出ガス・耐久性規制であるEuro 7は、環境保全とサイバーセキュリティを直接結びつけることで、この事実を明確にしています。
はじめに
EUが資金提供するDIASプロジェクトの調査によると、2022年時点で推定400万〜600万台のEuro 6/VI車両が改ざん問題に直面していた可能性があります。一方、VicOne独自の脅威インテリジェンスによるスキャンでは、2024年に後処理装置(ATS)の操作に関するオンライン上の議論が1日あたり約200件登録されました。これらは、電子制御ユニット(ECU)の不正な書き換えからCANバスエミュレーターの使用に至るまで多岐にわたり、よりきれいな空気を目指した長年の進歩を事実上帳消しにする攻撃です。
Euro 7はこの改ざんの現実を認め、重要な政策転換を示しています。より厳しい制限値や耐久走行距離の延長を導入するだけでなく、義務的な改ざん防止層とサイバーセキュリティ層を組み込んでいます。
Euro 7の公式実施規則の第16条では、製造業者は車両が附属書XIV(Annex XIV)で定義された排出ガス型式認証義務を満たすことを保証しなければなりません。この附属書は、Euro 7を国連欧州経済委員会(UNECE)の規則第155号(UN R155)と整合させ、そのサイバーセキュリティ管理システム(CSMS)および脅威分析とリスク評価(TARA)のフレームワークを、操作の迅速な検知と環境適合性の維持を可能にするよう具体的に適応させています。
Euro 7とUN R155
UN R155は車両システム全体にわたるサイバーセキュリティを確保するために設計されましたが、Euro 7はその原則を環境目標に焦点を合わせるように適応させています。この新しい規制を満たすために、製造業者は以下を行う必要があります。
UN R155 附属書5に整合した調整済みのTARAを通じて脆弱性を最小限に抑えること。
健全性(SOH)を報告する車載モニター(OBM)、車載式故障診断装置(OBD)、車載燃料・エネルギー消費監視デバイス(OBFCM)、ドージング(尿素水噴射)システム、バッテリー管理システムなど、排出ガスに重要なECUを堅牢化すること。
サイバー脅威をリアルタイムで特定できる継続的な検知および対応メカニズムを維持すること。
型式認証のために提出されるCSMSポートフォリオ内に残留リスクを記録すること。
UN R155の下では、リスクの受容可能性は、8つの一般的なカテゴリーにおける可能性と影響を比較検討するOEM(自動車メーカー)定義のマトリックスを使用して、型式認証前に決定されます。Euro 7ではこれを、環境への影響とテスト攻撃に対する診断システムの反応に基づいた、当局主導の承認後の決定に置き換えます。排出ガスに関連する資産へのデータ整合性の侵害は、市場での受け入れにおいて、単なるいくつかの影響カテゴリーのうちの一つではなく、二者択一の条件となります。
| 次元 | UNECE R155 | Euro 7 附属書XIV |
|---|---|---|
| 影響の軸 | 8つの一般的なカテゴリー(安全性、データ侵害、パフォーマンスなど) | 二者択一の環境中心の判断:Euro 7の目的(実走行排出ガス、バッテリー耐久性)に対する軽微な影響か重大な影響か |
| 合否ロジック | 自動車メーカー(OEM)が型式認証前に内部リスクマトリックスを通じて受容可能性を決定する。 | 当局が制御されたテスト攻撃の後、OBM/OBDの反応(故障表示灯および改ざん)に基づいて決定する。 |
| データ整合性の焦点 | データ整合性の侵害は、いくつかの影響例の一つである。 | 第4条(7)のデータシステム(OBM、OBFCM、オドメーター、バッテリーSOH)は明示的な資産であり、フラグの立たない変更があればフォローアップまたは不合格となる。 |
表1. UN R155とEuro 7 附属書XIVの方法論的相違
これらの方法論的な違いは、Euro 7の公式実施規則において強化されています。これは、UN R155のTARAを環境コンプライアンスのための成果ベースのゲートキーパーとして再構築し、製造業者が緩和戦略をどのように設計すべきかを導く境界条件を追加しています。
| 規制の転換 | Euro 7の実装と意味合い |
|---|---|
| 成果ベースの施行 | リスクの受容可能性は当局による攻撃テストの後に決定され、OEMの型式認証前のマトリックスに取って代わり、コンプライアンスを実走行での排出ガスの挙動に結びつける。 |
| 明示的な資産定義 | 第4条(7)には、排出ガスに重要なデータシステム(OBM、OBFCM、オドメーター、バッテリーSOH)がリストされており、それらのいずれかが改ざんされると即座にコンプライアンス措置が発動される。 |
| 二者択一の影響指標 | UN R155の8段階の影響尺度は、測定された排出ガスの差分に基づき、サイバーセキュリティの影響を環境への意図と整合させることで、重大/軽微の二分法に縮小される。 |
| 規範的な市場監視 | 附属書XIVは境界テストプロトコルと合格/フォローアップ/不合格の決定木を提供し、すべての加盟国で市販後の管理を調和させる。 |
表2. Euro 7の実施規則によって定義される規制の境界条件
コンプライアンスへの実践的な道筋
Euro 7の実施規則に関する私たちの分析は、既存のUN R155フレームワークを全面的に置き換えるのではなく、最小限かつ戦略的な更新を行うことで要件を満たすことができることを示しています。これを支援するために、私たちは「3層トラストバウンダリーモデル」を提案します。これは、UN R155の核心的なプロセスを維持しながら、必要な保護レベルに応じてATS資産をグループ化する実践的な方法です。
| 層(Tier) | コンポーネント例 | メカニズム | Euro 7における価値 |
|---|---|---|---|
| T1 – HSMゾーン | OBM、OBFCM、OBD、セキュアゲートウェイ | セキュアブート、署名付き無線(OTA)アップデート、TLS 1.3/DTLS | 附属書XIV 表4.3「システム整合性」を満たし、キロメートルレベルの改ざん検知を可能にする |
| T2 – 認証+妥当性確認 | 影響度の高いATS ECU(エンジン、ドージング、EGR) | 8バイトSlim-MAC、ローリングカウンター、ファームウェアハッシュチェック | フルHSMの数分の一のコストで表4.1のメッセージ認証要件を満たす |
| T3 – 振る舞い検知 | パッシブセンサー、排気背圧、ラムダ(λ)、NOx | 26の信号を相関させるOBM組み込みの機械学習(ML)/ヒューリスティクス | 排出ガス変化量(ΔEmis) > 2.5倍の場合、Euro 7の「10km未満」という閾値内で異常をフラグ付けする |
表3. 提案された3層トラストバウンダリーモデル
この提案された差別化されたTARAは、Euro 7で要求される2つの改良を導入しています。
影響のマッピング: 可能性については引き続きISO/SAE 21434のマトリックスに従いますが、影響の軸は残留リスクを決定する前に、Euro 7の二者択一の環境尺度(重大対軽微)に変換されます。
均衡のとれた管理策: 結果として生じるシナリオが附属書XIV § 3.3.3の下で「合格」または「フォローアップ」に分類される場合、緩和策は受け入れられます。このルールは、短期および中期の期間にわたる費用対効果の高い段階的な展開をサポートします。
このモデルを検証するために、私たちはオープンソースのアーキテクチャ情報を使用し、オリジナルのATSをそのまま維持しながら、広く販売されているEuro VI大型トラックに適用しました。初期評価では以下の結果が得られました。
| 評価指標 | 結果 |
|---|---|
| 脅威緩和の十分性 | UN R155 附属書5における45の高影響攻撃シナリオはすべて「合格」または「フォローアップ」に格下げされ、Euro 7 附属書XIV § 3.3.3の上限を超えるものはなかった。 |
| 実装フットプリント | Tier-1の暗号化は既存のセキュアゲートウェイとOBMに限定される。Tier 2でのSlim-MACとファームウェアハッシュチェックにより、BOM(部品表)の増加分は車両あたり約20ユーロ未満に抑えられる(コンポーネントの再利用を想定)。 |
| トレーサビリティ | すべての管理策は特定のCSMS条項にマッピングされており、将来のEuro VIIアップグレードに向けた完全な監査の継続性を維持している。 |
表4. Euro VI参照トラックの評価結果
これらの予備的な調査結果は、私たちが提案する差別化されたTARAが、レガシーなEuro VIプラットフォーム上で実行可能であり、かつハードウェアの全面的な交換なしに成果ベースの基準を完全に満たせることを実証しています。
結論
Euro 7は、後処理システムの整合性を市場参入のための規制上のゲートキーパーとすることで、排出ガスへの適合をサイバーセキュリティの課題へと変えています。私たちの研究は、製造業者がこの規制を満たすために急進的なハードウェアの刷新を行う必要がないことを示しています。UN R155のTARAをEuro 7の成果ベースかつ環境中心の基準に合わせて再構築し、提案された3層トラストバウンダリーモデルを適用することで、レガシーなEuro VI大型トラックに対するすべての高影響な脅威を、車両あたり約20ユーロのBOM増加で「合格」または「フォローアップ」の状態まで低減できることを実証しました。
この差別化されたTARAはコンプライアンスへの実践的な道筋を提供し、既存のUN R155フレームワークを戦略的に拡張することで、Euro 7の厳格なサイバーセキュリティ義務を効率的かつ経済的に満たせることを証明しています。適切なアーキテクチャがあれば、環境保全と費用対効果は相互に排他的である必要はなく、互いに強化し合うものとなります。
