WO2021039523A1

WO2021039523A1 - 車両監視装置および車両監視方法

Info

Publication number: WO2021039523A1
Application number: PCT/JP2020/031228
Authority: WO
Inventors: 剛岸川; 平野　亮; 良浩氏家; 芳賀　智之
Original assignee: Panasonic Intellectual Property Corp of America
Current assignee: Panasonic Intellectual Property Corp of America
Priority date: 2019-08-30
Filing date: 2020-08-19
Publication date: 2021-03-04
Anticipated expiration: 2022-02-28
Also published as: CN113348683A; US20210349977A1; US11995181B2; CN113348683B; WO2021038869A1; EP4024250A1; EP4024250A4; JPWO2021039523A1; JP7558157B2

Abstract

車両監視装置は、１以上の電子制御ユニットを備える車載ネットワークシステムにおける車両監視装置であって、前記車載ネットワークシステムに流れるフレームを受信するフレーム送受信部（６１）と、フレーム送受信部（６１）で受信したフレームと当該フレームの受信より前にフレーム送受信部（６１）で受信した１以上のフレームに関する情報を含む車両データとに基づいて通常の運転挙動とは異なる不審挙動を検知し、検知結果に基づいて車載ネットワークシステムを搭載する車両（２００）に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する信用スコア算出部（６３）とを備える。

Description

車両監視装置および車両監視方法

　本開示は、１以上の電子制御ユニット（以下、ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ））によって構成される車載ネットワークシステムを監視する車両監視装置および車両監視方法に関する。

　近年、自動車の中のシステムには、ＥＣＵと呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在するが、その中でも最も主流な車載ネットワークの一つに、Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（以降、ＣＡＮ（登録商標、以下同様））という規格が存在する。また、さらに、自動運転またはコネクテッドカーの普及に伴い、車載ネットワークのトラフィックの増大に対応するため車載Ｅｔｈｅｒｎｅｔ（登録商標、以下同様）の普及が進んでいる。

　一方で、車載ネットワークに侵入し、車両を不正制御する脅威も報告されている。このような脅威に対して、非特許文献１には、従来のＩｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ（ＩＰ）通信で用いられてきた暗号通信を用いて不正なノードの通信による不正制御を防ぐ方法が開示されている。また、特許文献１には、車載ネットワークの異常な通信を検知し、不正なフレームを遮断する方法が開示されている。

特許第５６６４７９９号公報

ＲＦＣ５４０６：Ｇｕｉｄｅｌｉｎｅｓ　ｆｏｒ　Ｓｐｅｃｉｆｙｉｎｇ　ｔｈｅ　Ｕｓｅ　ｏｆ　ＩＰｓｅｃ　Ｖｅｒｓｉｏｎ２、２００９年２月

　しかしながら、非特許文献１の方法では、暗号通信を用いるため、送受信ノードによる暗号化・復号処理が必要となりオーバーヘッドが発生する。また、暗号通信に用いる鍵管理が重要となり、ＥＣＵの制御を奪われ、正規の鍵を利用された場合に、不正なフレーム送信による不正制御が可能となってしまう。

　また、特許文献１の方法は、攻撃者によって不正なフレームが送信されたときの対処方法であり、攻撃の発生を未然に防ぐわけではない。このように、車載ネットワークの安全性には、改善の余地がある。

　そこで、本開示は、車載ネットワークの安全性をより高めることができる車両監視装置および車両監視方法を提供する。

　本開示の一態様に係る車両監視装置は、１以上の電子制御ユニットを備える車載ネットワークシステムを監視する車両監視装置であって、前記車載ネットワークシステムに流れるフレームを受信するフレーム受信部と、前記フレーム受信部で受信した前記フレームと当該フレームの受信より前に前記フレーム受信部で受信した１以上のフレームに関する情報を含む車両データとに基づいて通常の運転挙動とは異なる不審挙動を検知し、検知結果に基づいて前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する信用スコア算出部と、を備える。

　本開示の一態様に係る車両監視方法は、１以上の電子制御ユニットを備える車載ネットワークシステムを監視する車両監視方法であって、前記車載ネットワークシステムに流れるフレームを受信する受信ステップと、前記受信ステップで受信した前記フレームと当該フレームの受信より前に受信した１以上のフレームに関する情報を含む車両データとに基づいて通常の運転挙動とは異なる不審挙動を検知し、検知結果に基づいて前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する信用スコア算出ステップとを含む。

　本開示の一態様に係る車両監視装置等によれば、車載ネットワークの安全性をより高めることができる。

図１は、実施の形態１における車載ネットワークシステムの全体構成を示す図である。図２は、実施の形態１におけるＥＣＵの構成を示す図である。図３は、実施の形態１におけるゲートウェイの構成を示す図である。図４Ａは、実施の形態１における信用スコアの一例を示す図である。図４Ｂは、実施の形態１における車両データの一例を示す図である。図５は、実施の形態１における転送ルールの一例を示す図である。図６は、実施の形態１におけるゲートウェイの処理を示すフローチャートである。図７は、実施の形態１におけるゲートウェイの信用スコア算出のフローチャートである。図８は、実施の形態１におけるゲートウェイの監視レベル変更のフローチャートである。図９は、実施の形態１におけるゲートウェイの動作シーケンスを示す図である。図１０は、実施の形態１におけるゲートウェイの動作シーケンスを示す図である。図１１Ａは、実施の形態１における運転者へ通知する表示内容の一例を示す図である。図１１Ｂは、実施の形態１における運転者へ通知する表示内容の別の一例を示す図である。図１２は、実施の形態２におけるゲートウェイの処理を示すフローチャートである。図１３は、実施の形態２におけるゲートウェイの不審スコア算出のフローチャートである。図１４は、実施の形態２におけるゲートウェイの監視レベル変更のフローチャートである。

　（本開示に至った経緯）
　本開示の実施の形態等の説明に先立ち、本開示の基礎に至った経緯について説明する。

　上記のように、特許文献１および非特許文献１に開示されている技術では、車載ネットワークの安全性を高める観点から改善の余地がある。

　一般に、車両の不正制御を試みる攻撃者は、車両の不正制御を引き起こすためのフレームの調査等のリバースエンジニアを車載ネットワークに対して事前に行うことで攻撃方法を確立させていくことが想定される。

　車両の不正制御を実施する前の車載ネットワークの調査段階における攻撃者の活動を把握することができれば、攻撃発生の予兆として、攻撃者によるリバースエンジニアリングを妨害する、または、対象車両を重点的に監視し攻撃内容を未然に把握する等のアクションにつなげることができる。

　そこで、本願発明者らは、車載ネットワークの調査段階における攻撃者の活動を把握することができる車両監視装置等について鋭意検討を行い、以下に説明する車両監視装置等を創案した。例えば、本願発明者らは、車載ネットワークにおけるフレームを監視し、攻撃者のリバースエンジニアによって発生する通常とは異なる車両の挙動を捉え、車両がリバースエンジニアをされている可能性を算出することで、車載ネットワークの調査段階における攻撃者の活動を把握することができることを見出した。

　本開示の一実施態様の車両監視装置は、１以上の電子制御ユニットを備える車載ネットワークシステムを監視する車両監視装置であって、前記車載ネットワークシステムに流れるフレームを受信するフレーム受信部と、前記フレーム受信部で受信した前記フレームと当該フレームの受信より前に前記フレーム受信部で受信した１以上のフレームに関する情報を含む車両データとに基づいて通常の運転挙動とは異なる不審挙動を検知し、検知結果に基づいて前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する信用スコア算出部と、を備える。

　これにより、車載ネットワークシステムをリバースエンジニアリングしている疑わしさ（信用スコア）を算出することが可能となり、より疑わしい車両を把握することができ効果的である。つまり、車両監視装置は、信用スコアに基づいて、車両の不正制御を実施する前の車載ネットワークに対する調査段階における攻撃者の活動を把握することができるので、車両の車載ネットワークの安全性をより高めることができる。

　また、前記不審挙動は、監視装置の接続、エラーフレーム、ネットワークの瞬断、バッテリー取り外しのいずれかが検知された場合に、パッシブモニタリング活動として検知され、前記信用スコア算出部は、前記パッシブモニタリング活動が検知された場合に、前記信用スコアを減少させるとしてもよい。

　これにより、攻撃者が、車載ネットワークシステムのログを取得しようとする試行を捉えることが可能となり、効果的である。つまり、車両監視装置は、信用スコアに基づいて、パッシブモニタリング活動を把握することができるので、車両の車載ネットワークの安全性をより高めることができる。

　また、前記不審挙動は、所定の第１時間内における、車内のボタンの操作回数、異常な運転挙動の検知回数のいずれかが所定数以上である、または、運転支援機能の発動間隔が所定値未満である場合に、アクティブモニタリング活動として検知され、前記運転支援機能は、自動駐車支援、オートクルーズコントロール、緊急ブレーキ、レーンキープアシストのいずれかであり、前記異常な運転挙動は、アクセル開度、ブレーキ圧、所定時間内における操舵角の変化量が所定値以上であることであり、前記信用スコア算出部は、前記アクティブモニタリング活動が検知された場合に、前記信用スコアを減少させるとしてもよい。

　これにより、攻撃者が、不正制御を行うためのヒントを得るための車載ネットワークログを積極的に取得しようとする活動を捉えることが可能となり効果的である。つまり、車両監視装置は、信用スコアに基づいて、アクティブモニタリング活動を把握することができるので、車両の車載ネットワークの安全性をより高めることができる。

　また、前記不審挙動は、所定の第１時間内における、前記フレームの受信量、診断コマンドの受信量のいずれかが所定数以上である場合に、インジェクション活動として検知され、前記信用スコア算出部は、前記インジェクション活動が検知された場合に、前記信用スコアを減少させるとしてもよい。

　これにより、攻撃者が、車載ネットワークに対して、何らかのフレーム注入を試行する活動を捉えることが可能となり効果的である。つまり、車両監視装置は、信用スコアに基づいて、インジェクション活動を把握することができるので、車両の車載ネットワークの安全性をより高めることができる。

　また、前記不審挙動は、所定の第１時間内における、アップデートコマンドの受信量、同一属性のフレームの受信量のいずれかが所定数以上である場合に、リファインメント活動として検知され、前記同一属性のフレームとは、前記フレームに含まれる識別子、ＩＰアドレス、ＭＡＣアドレス、ポート番号のいずれか、または、いずれか２つ以上の組み合わせが同一であるフレームであり、前記信用スコア算出部は、前記リファインメント活動が検知された場合に、前記信用スコアを減少させるとしてもよい。

　これにより、攻撃者が車両の不正制御を実現するために、より洗練された攻撃を試行していることを捉えることが可能となり効果的である。つまり、車両監視装置は、信用スコアに基づいて、リファインメント活動を把握することができるので、車両の車載ネットワークの安全性をより高めることができる。

　また、前記車両監視装置は、さらに、監視レベル変更部を備え、前記監視レベル変更部は、前記信用スコアが所定の値未満となった場合に、前記信用スコアの値に基づいて、前記車両の機能の制限、前記車両の運転者への注意喚起、近隣車両またはサーバへの信用スコアの通知、および、前記車載ネットワークシステムの監視強化のいずれか１つ以上を実行するとしてもよい。

　これにより、攻撃者によるリバースエンジニアリング活動の疑わしさが高い車両を重点的に監視することが可能となり効率的である。また、監視レベル変更部によれば、信用スコアの値に基づいて各種対応を行うので、リバースエンジニアリングが行われている場合に、攻撃者がリバースエンジニアリングを継続して行うことを抑制する効果が期待できる。

　また、前記不審挙動は、前記リバースエンジニアリングの各段階を示す複数の種類を有し、前記信用スコア算出部は、前記不審挙動の前記複数の種類のそれぞれにおいて信用スコアを算出するとしてもよい。

　これにより、攻撃者のリバースエンジニアリング活動のフェーズごとに不審挙動の疑わしさを把握することが可能となり、効果的である。つまり、車両監視装置は、複数の種類の信用スコアに基づいて、車両の不正制御を実施する前の車載ネットワークに対する調査段階における攻撃者の活動の段階（フェーズ）を把握することができるので、車両の車載ネットワークの安全性をさらに高めることができる。

　また、前記不審挙動の前記複数の種類は、パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動、リファインメント活動の少なくとも２つを含み、前記パッシブモニタリング活動は、前記車両データを取得するための行動であり、前記アクティブモニタリング活動は、前記車両の特定機能動作中または特定状況における前記車両データを取得しようとするための動作であり、前記インジェクション活動は、前記車載ネットワークシステムへのフレームの注入を試行するための行動であり、前記リファインメント活動は、前記車載ネットワークシステムに注入されるフレームの精度を向上させるためのフレームの注入を試行するための行動であってもよい。

　これにより、攻撃者のリバースエンジニアリング活動の段階が、パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動およびリファインメント活動の少なくとも２つのうちのいずれの活動であるかを把握することができる。つまり、車両監視装置は、現在行われているリバースエンジニアリング活動の段階をより詳細に取得することができるので、車両の車載ネットワークの安全性をさらに高めることができる。

　また、前記不審挙動は、監視装置の接続、エラーフレーム、ネットワークの瞬断、バッテリー取り外しのいずれかが検知された場合に、前記パッシブモニタリング活動として検知され、所定の第１時間内における、運転支援機能の発動回数、車内のボタンの操作回数、異常な運転挙動の検知回数、のいずれかが所定数以上である場合に前記アクティブモニタリング活動として検知され、所定の第１時間内における、前記フレームの受信回数、診断コマンドの受信回数のいずれかが所定数以上である場合に前記インジェクション活動として検知され、所定の第１時間内における、アップデートコマンドの受信回数、同一属性のフレームの受信回数のいずれかが所定数以上である場合に前記リファインメントとして検知される。

　これにより、信用スコアを算出するための専用の情報を用いることなく、攻撃者のリバースエンジニアリング活動の段階を取得することができる。つまり、車両監視装置は、より簡単に攻撃者のリバースエンジニアリング活動の段階を取得することができる。

　また、前記車両監視装置は、さらに、監視レベル変更部を備え、前記監視レベル変更部は、前記不審挙動の前記複数の種類と、前記不審挙動の前記複数の種類のそれぞれに対応する信用スコアの値とに基づいて、前記車両の一部機能の制限、前記車両の運転者への注意喚起、および、近隣車両またはサーバへの信用スコアの通知のいずれか１つ以上を実行するとしてもよい。

　これにより、攻撃者のリバースエンジニアリング活動のフェーズに応じた対応が可能となり、車載ネットワークの安全性向上に効果的である。

　また、前記信用スコア算出部は、所定の第２時間が経過するまたは前記車両に対して所定の第１操作が実行されると、前記信用スコアを上昇させてもよい。また、前記信用スコア算出部は、所定の第３時間が経過するまたは前記車両に対して所定の第２操作が実行されると、前記信用スコアをリセットさせてもよい。

　これにより、信用スコア算出部は、信用スコアを回復させることが可能となる。車両の運転者（攻撃者ではない通常の運転者）により信用スコアが低下する運転が行われた場合に、信用スコアを自動で補正することができる。よって、車両監視装置は、車載ネットワークに対する調査段階における攻撃者の活動を、より確実に把握することができる。

　また本開示の一実施態様の車両監視方法は、１以上の電子制御ユニットを備える車載ネットワークシステムを監視する車両監視方法であって、前記車載ネットワークシステムに流れるフレームを受信する受信ステップと、前記受信ステップで受信した前記フレームと該フレームの受信より前に受信した１以上のフレームに関する情報を含む車両データとに基づいて通常の運転挙動とは異なる不審挙動を検知し、検知結果に基づいて前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する信用スコア算出ステップとを含む。

　これにより、上記の車両監視装置と同様の効果を奏する。例えば、車両監視方法によれば、車載ネットワークシステムをリバースエンジニアリングしている疑わしさを算出することが可能となり、より疑わしい車両を把握することができ効果的である。

　以下、図面を参照しながら、本開示の実施の形態に関わる車載ネットワーク異常検知システムについて説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　また、各図は模式図であり、必ずしも厳密に図示されたものではない。また、各図において、実質的に同一の構成に対しては同一の符号を付し、重複する説明は省略または簡略化される場合がある。

　（実施の形態１）
　以下、複数の電子制御ユニット（ＥＣＵ）が通信する車載ネットワーク（車載ネットワークシステム）を搭載した車両における、車両監視装置および車両監視方法について説明する。より具体的には、車載ネットワークシステムに流れるフレームに基づいて、攻撃者がリバースエンジニアリングを実施することによる車両挙動の不正度を表す信用スコアを算出し、算出した信用スコアに応じて車両の監視機能を変更する車載ネットワークセキュリティ技術について説明する。

　［１．１　車載ネットワークシステムの全体構成］
　図１は、本実施の形態における車載ネットワークシステムの全体構成を示す図である。図１に示すように、車載ネットワークシステムは、ＥＣＵ１０、１１、２０、２１、３０、３１、４０、４１と、診断ポート５０と、ゲートウェイ６０とを備える。

　ＥＣＵ１０とＥＣＵ１１とはバス１に接続し、ＥＣＵ２０とＥＣＵ２１とはバス２に接続し、ＥＣＵ３０とＥＣＵ３１とはバス３に接続し、ＥＣＵ４０とＥＣＵ４１とはバス４に接続している。また、診断ポート５０は、バス５に接続している。ゲートウェイ６０は、全てのバスに接続している。

　各ＥＣＵは、互いにＣｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（ＣＡＮ）で接続されており、フレームの通信を行う。各バスは、例えば車両２００の機能ごとにドメイン分離されていてもよい。例えばバス１は、パワートレイン系のＥＣＵが配置されており、エンジンの制御等に関わる通信が行われる。また、例えば、バス２、はシャシー系のＥＣＵが配置されており、ステアリングの制御またはブレーキ制御を実現するための通信が行われる。また、バス３は、情報系のＥＣＵが配置されており、カーナビやインフォテインメント系の通信が行われる。また、バス４は、ボディ系のＥＣＵが配置され、搭乗者のボタン押下によるエアコン制御またはパワーウインドウ等の制御を行うための通信が行われる。

　ゲートウェイ６０は、全てのバスの情報を受信し、必要であれば受信したフレームを、他のバスへ転送する処理を行う。例えばバス５に、診断用のフレームが流れていた場合には、当該フレームをバス１～４に転送する処理等を行う。ゲートウェイ６０は、車両監視装置の一例である。ゲートウェイ６０は、１以上のＥＣＵによって構成される車載ネットワークシステムにおける処理等を行う。

　なお、本実施の形態では、各バスはＣＡＮで実現されているとしたが、通信プロトコルはこれに限らない。例えば、ＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ））、ＦｌｅｘＲａｙ（登録商標、以下同様）、Ｅｔｈｅｒｎｅｔであってもよいし、バスごとに通信プロトコルが異なっていても構わない。

　［１．２　ＥＣＵ１０の構成］
　図２は、本実施の形態におけるＥＣＵ１０の構成を示す図である。なお、ＥＣＵ１１、ＥＣＵ２０、ＥＣＵ２１、ＥＣＵ３０、ＥＣＵ３１、ＥＣＵ４０、ＥＣＵ４１は、ＥＣＵ１０と同様の構成であるが、それぞれ接続されるセンサまたはアクチュエータが異なるので、実現する機能が異なる。

　ＥＣＵ１０は、例えばプロセッサ、メモリ、通信インタフェース等を備えるコンピュータにより実現される。図２に示すように、ＥＣＵ１０は、通信部１００とホスト部１０１とを有する。

　通信部１００は、バス１に接続し、バス１に流れるフレームの送受信を行う。通信部１００は、車載ネットワークシステムに流れるフレームを送受信するとも言える。通信部１００は通信コントローラまたはトランシーバ等によって実現される。

　ホスト部１０１は、ＥＣＵ１０のメイン処理を行う部分であり、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）とメモリとによって実現される。ホスト部１０１は、通信部１００から受信したフレームを解釈し、通信内容（解釈結果）に応じた処理を実施する。例えばＥＣＵ１０は、エンジン制御を行うＥＣＵであるとする。クルーズコントロールの機能で車両速度の増加要求フレームを他のＥＣＵから受信した場合に、所望の車両速度となるように、当該ＥＣＵ１０のホスト部１０１は、エンジン回転数を上昇させる制御等を行う。また、ＥＣＵ１０がエンジン回転数の情報を受信した場合に、当該ＥＣＵ１０のホスト部１０１は、他のＥＣＵへ通知するためにフレームを送信する等の処理を行う。

　［１．３　ゲートウェイ６０の構成］
　図３は、本実施の形態におけるゲートウェイ６０の構成を示す図である。ゲートウェイ６０は、例えばプロセッサ、メモリ、通信インタフェース等を備えるコンピュータにより実現される。

　図３に示すように、ゲートウェイ６０は、フレーム送受信部６１と、フレーム解釈部６２と、信用スコア算出部６３と、監視制御部６４と、転送制御部６５と、フレーム生成部６６と、サーバ通信部６７と、信用スコア保持部６８と、転送ルール保持部６９とを有する。

　フレーム送受信部６１は、バス１～５と接続される通信インタフェースであり、通信コントローラまたはトランシーバ等によって実現される。フレーム送受信部６１は、各バスで受信したフレームをフレーム解釈部６２へ転送する。また、フレーム送受信部６１は、フレーム生成部６６からの送信要求に従って、フレームの送信を行う。フレーム送受信部６１は、フレーム受信部の一例である。

　フレーム解釈部６２は、フレーム送受信部６１から転送されたフレームの解釈を行い、フレームに応じた処理を行う。また、フレーム送受信部６１は、受信したフレームを、信用スコア算出部６３へ通知する。

　信用スコア算出部６３は、フレーム解釈部６２から通知されたフレームと、信用スコア保持部６８に保持されている車両情報（車両データ）とに基づいて、車両２００の信用スコアを算出し、信用スコア保持部６８に格納されている車両２００の信用スコアおよび車両情報を更新する。

　信用スコア算出部６３は、車両２００が通常とは異なる利用をされている度合いを信用スコアとして算出する。信用スコア算出部６３は、特に攻撃者が車両２００をリバースエンジニアリングする目的で活動している兆候を捉えるために信用スコアを算出する。

　信用スコアは、例えば、リバースエンジニアリングが行われている可能性（例えば、攻撃者がリバースエンジニアリングしている疑わしさ）を示す指標である。また、信用スコアは、例えば、リバースエンジニアリングが行われている可能性を判定可能な指標である。また、信用スコアは、例えば、通常の運転者であれば行わない、または、行う可能性が低い車両２００における利用が行われていることを示す指標であるとも言える。なお、本明細書におけるリバースエンジニアリングは、車載ネットワークシステムを解析することである。よって、信用スコアは、例えば、車両２００の車載ネットワークシステムの解析が行われている可能性、または、解析の度合いを示す指標であるとも言える。

　本実施の形態では、信用スコア算出部６３は、フレーム送受信部６１で受信したフレームと当該フレームの受信より前にフレーム送受信部６１で受信した１以上のフレームに関する車両データとに基づいて通常の運転挙動とは異なる不審挙動を検知し、不審挙動の検知結果に基づいて車載ネットワークシステムを搭載する車両２００に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する。信用スコア算出部６３は、フレーム送受信部６１で受信したフレームと車両データとに基づいて、当該フレームを受信する前の信用スコアを更新するとも言える。

　このように、信用スコア算出部６３は、フレーム送受信部６１で受信したフレームを含むフレームの時系列データに基づいて信用スコアを算出する。信用スコア算出部６３は、例えば、現在受信したフレームと、現在より過去に受信したフレーム（車両データに含まれるフレーム）とに基づいて現在の信用スコアを算出する。

　なお、通常の運転挙動とは、リバースエンジニアリングを行わない運転者が車両２００を運転するときに行い得ると想定される運転挙動である。また、ここでの運転挙動には、車両２００の走行時における運転状態の挙動（例えば、後述する図４Ｂに示す緊急ブレーキ発動間隔など）、および、車両２００の内部処理における挙動（例えば、後述する図４Ｂに示すエラーフレーム発生間隔など）の両方が含まれる。また、以下において、どのような不審挙動のときに信用スコアを減少させるかを例示するが、不審挙動は以下に限定されない。

　例えば、イグニッションがかかっている時間に対して、停車している時間の割合が高いことは、停車中の車両２００に対して、何らかの調査が行われている兆候とも考えられるため、信用スコア算出部６３は、信用スコアを減少させる。

　また、数秒から数分といった短時間で、車両２００の運転支援機能（例えば、緊急ブレーキ、クルーズコントロール、自動駐車支援などのいずれか１つ以上）が繰り返し利用される場合も、攻撃者により、不正制御を引き起こすフレームを解析するために、車載ネットワークのログ取得が行われている可能性があるので、信用スコア算出部６３は、信用スコアを減少させる。また、運転支援機能には、レーンキープアシスト機能（車線逸脱防止支援機能）が含まれていてもよい。

　また、車両２００の極端な運転状態（例えば、急アクセル、急ブレーキ、急ハンドルなど）の検知間隔が短い場合、または、エアコン、ライト等のボディ系を制御するために車内に配置されたボタンが繰り返し押下されている場合も、攻撃者により、車載ネットワーク解析のためのログ取得が行われている可能性があるので、信用スコア算出部６３は、信用スコアを減少させる。

　また、車載ネットワークにおいてエラーフレームが発生する間隔が短い場合も、攻撃者によって不正なデバイスが接続されている影響が表れている可能性があるので、信用スコア算出部６３は、信用スコアを減少させる。

　また、車載ネットワークのフレームが瞬断される時間が所定期間（例えば数秒程度）発生する場合も、攻撃者によって、車載ネットワークをロギングするためのデバイス、または、不正なフレームを注入するためのデバイスを接続する作業が行われている可能性があるので、信用スコア算出部６３は、信用スコアを減少させる。

　また、車載ネットワークに流れる診断コマンドが所定量以上である場合は、攻撃者によって、診断コマンド注入時の車両２００への影響調査、または、攻撃試行の影響で生じた故障コードの消去作業が繰り返し行われている可能性があるので、信用スコア算出部６３は、信用スコアを減少させる。

　他にも、アップデートを行うためのフレーム数、バッテリーの電圧低下またはバッテリーの取り外しが行われる頻度、通常観測されないＩＰアドレスまたはポート番号を含むパケット数などに応じて、信用スコア算出部６３は、信用スコアを減少させうる。

　上記の信用スコアを減少させる状況は、必ずしも攻撃者による活動とは限らない。そのため、信用スコア算出部６３は、算出した信用スコアを不揮発メモリに保持しておき、所定の時間（所定の第２時間の一例）が経過すると（例えば１日おきに）信用スコアを所定値（例えば１）ずつ上昇させてもよい。信用スコア算出部６３は、信用スコアを回復させる処理も行うことで、信用スコアを減少させる活動が繰り返し観測される車両２００を適切に検出するようにしてもよい。なお、信用スコア算出部６３は、車両２００に対して所定の操作（所定の第１操作の一例）が実行されると信用スコアを所定値ずつ上昇させてもよい。所定の第１操作は、例えば、イグニッションＯＮする操作であってもよいし、その他の操作であってもよい。

　信用スコア算出部６３は、受信したフレームを監視制御部６４に通知する。

　監視制御部６４は、信用スコア保持部６８に保持されている信用スコアに基づいて、通知されたフレームに対する処理を決定する。監視制御部６４は、例えば、リバースエンジニアリングに対する監視のレベルを示す監視レベルを、信用スコアに基づいて変更する。監視制御部６４は、監視レベル変更部の一例である。

　信用スコアが、所定の閾値よりも高い場合、通知されたフレームに対して特に何も行わず、信用スコア算出部６３は、通知されたフレームを転送制御部６５へ通知する。

　信用スコアが、所定の閾値以下の場合、縮退モードに入るために、監視制御部６４は、通知されたフレームの破棄、または、転送制御部６５への縮退モード通知フレームの通知などを行う。縮退モード通知フレームは、他のＥＣＵへ縮退モードに入ることを示す通知を行うためのフレームを送信することを示す通知である。また、信用スコアが減少してきたことを通知するために、監視制御部６４は、車両ログ（車両データ）と信用スコアとをサーバ通信部６７へ通知する。ここで、車両ログは、車載ネットワークで観測されたフレームの情報を含みうる。

　転送制御部６５は、通知されたフレームを転送ルール保持部６９に保持されている転送ルールに基づいて、転送を行うように、フレーム生成部６６へ通知する。

　フレーム生成部６６は、転送制御部６５から通知されたフレームについての送信要求をフレーム送受信部６１に対して行う。

　サーバ通信部６７は、監視制御部６４から通知された内容をサーバへ通知し、サーバからの通知を受け、監視制御部６４へ内容を通知する。

　信用スコア保持部６８は、車両２００の信用スコアと、信用スコアを算出するためのデータとが格納されている。信用スコア保持部６８に格納される情報の詳細は、図４Ａおよび図４Ｂを用いて後述する。

　転送ルール保持部６９は、フレームの転送に用いるルールが格納されている。転送ルールの詳細は、図５を用いて後述する。

　なお、ゲートウェイ６０が有する各構成要素の一部または全部は、車両２００の外部の装置（例えば、サーバ装置）が有していてもよい。この場合、車両２００は、受信したフレームおよび車両データを外部の装置に送信する。外部の装置は、車両２００からのフレームおよび車両データに基づいて信用スコアを算出し、車両２００に送信する。

　［１．４　信用スコア保持部６８に格納される信用スコアおよび車両データの一例］
　図４Ａは、本実施の形態における信用スコアの一例を示す図である。図４Ｂは、本実施の形態における車両データの一例を示す図である。信用スコアおよび車両データは、信用スコア保持部６８に格納されている。また、車両データは、信用スコアの算出に用いられてもよい。また、図４Ｂに示す項目は、不審挙動と判定されうる項目である。

　図４Ａにおいて、信用スコアは８０であることを示している。信用スコアは、０～１００の値をとり、初期値は１００である。つまり、図４Ａでは、初期値が１００である信用スコアが、挙動不審が検知されたことにより、８０まで減少している例を示している。なお、図４Ａに示す８０は、例えば、現在の信用スコアを示す。

　また、図４Ｂの車両データにおいて、イグニッションがＯＮされてからのデータとして、今回値と前回値が格納されている。前回値は、前回にイグニッションがＯＮされてからＯＦＦとなるまでの期間のデータが格納されている。車両データとして、車両２００の速度が時速０キロである割合を示す停車時間割合、緊急ブレーキがＯＮになってから、次に緊急ブレーキがＯＮとなる間隔を示す緊急ブレーキ発動間隔、クルーズコントロール発動間隔、自動駐車支援発動間隔、アクセル開度が１００％を示すフレームを受信した間隔を示す急アクセル検知間隔、急ブレーキ検知間隔、急ハンドル検知間隔、エラーフレームを受信した間隔を示すエラーフレーム発生間隔、メッセージ瞬断時間、バッテリー電圧低下有無またはバッテリーの取り外しの有無、診断コマンド受信回数、アップデートコマンド受信回数、車内に存在するエアコンまたはライト等を制御するボタンが単位時間内（例えば１分間）に押された回数を示すボタン連続押下回数、サードパーティ装置の接続の有無に関する情報が格納されている。なお、発動間隔は、発動する時間間隔を意味し、検知間隔は、検知する時間間隔を意味する。サードパーティ装置は、監視装置の一例である。また、上記の受信回数は、受信量の一例であり、ボタン連続押下回数は、操作回数の一例である。なお、受信量は受信回数に限定されず、データ量であってもよい。例えば、図４Ｂは、診断コマンド受信回数に代えて診断コマンドのデータ量（所定の第１時間におけるデータの合計量）であってもよい。

　図４Ｂでは、格納されている車両データとして、停車時間割合が今回は７０％であるのに対して、前回は５０％であったことを示している。また、緊急ブレーキ発動間隔は、今回が６０秒であるのに対して、前回は、「－」であり、今回は緊急ブレーキが２回以上発動していないことを示している。また、クルーズコントロールの発動間隔は、今回は、「－」であり、今回は２回以上発動していないことを示しているのに対して、前回は１０００秒間隔で発動していることを示している。また、自動駐車支援発動間隔は、今回が３０秒間隔で発動しているのに対して、前回は、「－」であり、２回以上自動駐車支援が発動していないことを示している。

　急アクセル検知間隔は、今回、前回ともに、「－」であり、２回以上の急アクセルを検知していないことを示している。同様に、急ブレーキ検知間隔、急ハンドル検知間隔についても、前回、今回ともに「－」であり、２回以上の該当フレームを受信していないことを示している。なお、急アクセル、急ブレーキおよび急ハンドルは、異常な運転挙動の一例である。

　エラーフレーム発生間隔は、今回は１秒間隔であり、前回は「－」でありる。今回は、１秒間隔で該当フレームを受信しているのに対し、前回は、２回以上の該当フレームを受信していないことを示している。また、メッセージ瞬断時間は、今回は３秒であり、前回は、０秒（つまり１秒未満）であることを示している。

　バッテリー電圧低下有無については、今回はバッテリー電圧低下を検知しており、前回はバッテリー電圧低下を検知していないことを示している。診断コマンド受信回数と、アップデートコマンド受信回数は前回、今回ともに０回であることを示している。

　ボタン連続押下回数については、今回は３０回押されたのに対して、前回は３回であることを示している。

　サードパーティ装置の接続の有無については、今回は接続されたのに対して、前回は接続されなかったことを示している。

　なお、図４Ｂに示す時間間隔に関する項目（例えば、緊急ブレーキ発動間隔、急アクセル検知間隔など）は、所定の第１時間内の発動回数または検知回数であってもよい。また、図４Ｂに示す回数に関する項目（例えば、診断コマンドまたはアップデートコマンド受信回数、ボタン連続押下回数など）は、前回の受信時刻または押下時刻、および、今回の受信時刻または押下時刻に基づく時間間隔であってもよい。信用スコア算出部６３は、図４Ｂに示す項目における時間間隔または回数のいずれかを用いて信用スコアを算出すればよい。車両データには、例えば、車載ネットワークで観測された各項目におけるフレームの情報が含まれる。車両データには、例えば、フレームの受信時刻を示す時刻情報またはフレームの受信量を示す情報などが含まれる。車両データには、例えば、現在より前に（過去に）フレーム送受信部６１で受信した１以上のフレームに関する情報が含まれるとも言える。また、図４Ｂに示す車両データは、ログ情報の一例である。また、車両データを車両ログまたは車両情報とも記載する。

　なお、本実施の形態では、信用スコアおよび車両データは平文で保持されているが、暗号化されて保持されていてもよい。

　［１．５　転送ルール保持部に格納される転送ルールの一例］
　図５は、本実施の形態における転送ルールの一例である。転送ルール保持部６９は、同図に示すようにフレームのＩＤごとに、転送元および転送先が格納されたテーブル（転送ルール）を格納している。

　図５では、ＩＤが０ｘ１００のフレームの転送元はバス１であり、当該フレームは、バス２、３、４に転送されることを示している。同様にＩＤが０ｘ２００のフレームの転送元はバス２であり、バス３に転送されることを示しており、ＩＤが０ｘ２５０のフレームの転送元はバス２であり、バス４に転送されることを示しており、ＩＤが０ｘ３００のフレームの転送元はバス３であり、バス１に転送されることを示している。

　［１．６　ゲートウェイ６０の処理を示すフローチャート］
　図６は、本実施の形態におけるゲートウェイ６０の処理を示すフローチャートである。

　図６に示すように、ゲートウェイ６０は、フレームを受信しているか否かを判定する（Ｓ１０）。

　フレームを受信している場合（Ｓ１０でＹｅｓ）、ゲートウェイ６０は、信用スコアを算出する（Ｓ１１）。フレームを受信していない場合（Ｓ１０でＮｏ）、ゲートウェイ６０は、フレームを受信するまで待機する。

　ゲートウェイ６０は、信用スコアを算出後、算出した信用スコアが所定値以下であるか否かを確認する（Ｓ１２）。監視制御部６４は、信用スコア算出部６３により算出された信用スコアが所定値以下であるか否かを判定する。

　信用スコアが所定値以下である場合（Ｓ１２でＹｅｓ）、ゲートウェイ６０は、監視レベルを変更し（Ｓ１３）、転送処理を実行する（Ｓ１４）。

　信用スコアが所定値よりも大きい場合（Ｓ１２でＮｏ）、ゲートウェイ６０は、監視レベルを変更せずに転送処理を実行する（Ｓ１４）。

　次に、ゲートウェイ６０の信用スコア算出部６３は、所定の時間が経過したか否かを判定する（Ｓ１５）。所定の時間は、例えば、前回ステップＳ１５でＹｅｓと判定してからの経過時間であるが、これに限定されず、信用スコアがリセットされてからの経過時間であってもよいし、信用スコアがリセットされてからの運転時間であってもよい。

　信用スコア算出部６３は、所定の時間経過した場合（Ｓ１５でＹｅｓ）、信用スコアを１インクリメントする、または、信用スコアをリセットし（Ｓ１６）、処理を終了する。信用スコア算出部６３は、信用スコアを１インクリメントする場合、現在の信用スコアに１インクリメントした信用スコアを信用スコア保持部６８に格納する。また、信用スコア算出部６３は、信用スコアをリセットする場合、現在の信用スコアに関わらず、信用スコアの初期値（例えば、１００）を信用スコア保持部６８に格納する。

　また、信用スコア算出部６３は、所定の時間経過していない場合（Ｓ１５でＮｏ）、信用スコアを変更せずに処理を終了する。

　なお、ステップＳ１５の判定は、所定の時間に基づいて判定されることに限定されず、車両２００に対して所定の操作が実行されることにより行われてもよい。所定の操作は、例えば、ステップＳ１６の処理を実行することを示す操作（例えば、ボタンに対する操作）であってもよいし、イグニッションＯＮまたはＯＦＦする操作であってもよい。信用スコアをインクリメントするための操作は、所定の第１操作の一例であり、信用スコアをリセットするための操作は、所定の第２操作の一例である。

　なお、信用スコアは、複数回インクリメントが行われた後に、リセットされてもよい。つまり、信用スコアがリセットされるときの時間（所定の第３時間の一例）は、信用スコアがインクリメントされるときの時間（所定の第２時間の一例）より長い時間であってもよい。

　［１．７　ゲートウェイ６０の信用スコア算出のフローチャート］
　図７は、本実施の形態におけるゲートウェイ６０の信用スコア算出のフローチャートである。具体的には、図７は、図６のステップＳ１１の信用スコアを算出する処理の詳細を示すフローチャートである。なお、図７では、不審挙動として判定される項目が、診断コマンドまたはアップデートコマンドの受信回数、運転支援機能をＯＮするコマンドの受信間隔（例えば、緊急ブレーキの発動間隔）、および、急ブレーキ、急ハンドル、急アクセルの検知間隔である例について説明する。

　図７に示すように、ゲートウェイ６０は、受信したフレームが診断コマンドまたはアップデートコマンドであるか否かを確認する（Ｓ１１０１）。信用スコア算出部６３は、受信したフレームが診断コマンドまたはアップデートコマンドであるか否かを判定する。

　信用スコア算出部６３は、受信したフレームが診断コマンドまたはアップデートコマンドである場合（Ｓ１１０１でＹｅｓ）、該当コマンドの受信回数を更新する（Ｓ１１０２）。信用スコア算出部６３は、例えば、信用スコア保持部６８に格納されている該当コマンドの受信回数を１インクリメントする。

　次にゲートウェイ６０は、該当コマンドの受信回数が所定値以上（例えば１００回以上）であるか否かを判定する（Ｓ１１０３）。信用スコア算出部６３は、例えば、更新した当該コマンドの受信回数が、所定値以上であるか否かを判定する。ステップＳ１１０３の判定で用いる所定値は、信用スコア保持部６８に予め格納されている。

　所定の第１時間内における該当コマンドの受信回数が所定値以上である場合（Ｓ１１０３でＹｅｓ）、ゲートウェイ６０は、信用スコアを１デクリメントして（Ｓ１１０４）、処理を終了する。また、所定の第１時間内における該当コマンドの受信回数が所定値よりも小さい場合（Ｓ１１０３でＮｏ）、ゲートウェイ６０は、処理を終了する。つまり、信用スコア算出部６３は、該当コマンドの受信回数が所定値以上である場合、信用スコアを更新し、該当コマンドの受信回数が所定値よりも小さい場合、信用スコアの更新を行わない。なお、所定の第１時間は、例えば、ステップＳ１５の判定に用いた時間であってもよいし、図７に示す判定処理に用いられる専用の時間であってもよい。所定の第１時間は、例えば、信用スコア保持部６８に予め格納されている。また、図７の説明において使用する他の所定の第１時間においても同様である。

　このように、信用スコア算出部６３は、不審挙動が、所定の第１時間内における診断コマンドまたはアップデートコマンドの受信回数のいずれかが所定数以上である場合に、信用スコアを減少させる。

　また、信用スコア算出部６３は、所定の第１時間内における、診断コマンドの受信回数が所定数以上である場合に、当該不審挙動をインジェクション活動として検知し、インジェクション活動が検知された場合に、信用スコアを減少するとも言える。なお、インジェクション活動として検知される不審挙動は、診断コマンドの受信回数に限定されず、例えば、所定の第１時間内におけるフレームの受信回数であってもよい。

　また、信用スコア算出部６３は、所定の第１時間内における、アップデートコマンドの受信回数が所定数以上である場合に、当該不審挙動をリファインメント活動として検知し、リファインメント活動が検知された場合に、信用スコアを減少してもよい。リファインメント活動として検知される不審挙動は、アップデートコマンドの受信回数が所定回数以上であることに限定されず、例えば、所定の第１時間内における同一属性のフレームの受信回数が所定回数以上であることであってもよい。

　同一属性のフレームとは、フレームに含まれる識別子、ＩＰアドレス、ＭＡＣアドレス、ポート番号のいずれか、または、いずれか２つ以上の組み合わせが同一であるフレームである。また、属性は、フレームを特定する情報であり、フレームに含まれる識別子、ＩＰアドレス、ＭＡＣアドレス、ポート番号などである。

　ステップＳ１１０１において、受信したフレームが診断コマンドまたはアップデートコマンドでない場合（Ｓ１１０１でＮｏ）、ゲートウェイ６０は、受信したフレームが、運転支援機能がＯＮとなるコマンドであるか否かを確認する（Ｓ１１０５）。信用スコア算出部６３は、不審挙動がインジェクション活動またはリファインメント活動として検知されなかった場合、ステップＳ１１０５に進むとも言える。

　次に、受信したフレームが運転支援機能ＯＮコマンドである場合（Ｓ１１０５でＹｅｓ）、ゲートウェイ６０は、該当機能について前回に当該機能がＯＮとなった時刻（例えば、当該ＯＮコマンドを受信した時刻）からの経過時間を更新する（Ｓ１１０６）。信用スコア算出部６３は、運転支援機能ＯＮコマンドのフレームを前回受信した時刻を信用スコア保持部６８から取得し、取得した時刻とステップＳ１１０５でＹｅｓと判定したフレームを受信した時刻とに基づいて経過時間を更新する。信用スコア算出部６３は、例えば、経過時間を当該２つの時刻の時間差とする。

　次に、ゲートウェイ６０は、更新した経過時間が所定値未満（例えば５分未満）であるか否かを確認する（Ｓ１１０７）。信用スコア算出部６３は、更新した経過時間が所定値未満であるか否かを判定する。ステップＳ１１０７の判定で用いる所定値は、信用スコア保持部６８に予め格納されている。

　所定の第１時間内における経過時間が所定値未満である場合（Ｓ１１０７でＹｅｓ）、ゲートウェイ６０は、信用スコアを１デクリメントし（Ｓ１１０４）、終了する。

　所定の第１時間内における経過時間が所定値以上である場合（Ｓ１１０７でＮｏ）、ゲートウェイ６０は、特に何もせずに処理を終了する。つまり、信用スコア算出部６３は、経過時間が所定値未満である場合、信用スコアを更新し、経過時間が所定値以上である場合、信用スコアの更新を行わない。

　このように、信用スコア算出部６３は、不審挙動が、所定の第１時間内における運転支援機能の発動間隔が所定値未満である場合に、信用スコアを減少させる。なお、信用スコア算出部６３は、所定の第１時間内における、運転支援機能の発動回数が所定数以上である場合に、ステップＳ１１０７でＹｅｓと判定してもよい。運転支援機能の発動回数は、運転支援機能が発動した回数であってもよいし、運転支援機能ＯＮコマンドを受信した回数であってもよい。

　また、信用スコア算出部６３は、所定の第１時間内における経過時間が所定値未満である場合、または、所定の第１時間内における運転支援機能の発動回数が所定数以上である場合に、当該不審挙動をアクティブモニタリング活動として検知し、アクティブモニタリング活動が検知された場合に、信用スコアを減少させてもよい。アクティブモニタリング活動として検知される不審挙動は、運転支援機能に関するものに限定されず、例えば、所定の第１時間内における車内のボタンの操作回数（例えば、図４Ｂに示すボタン連続押下回数）が所定回数以上であることであってもよい。

　ステップＳ１１０５において、受信したフレームが運転支援機能ＯＮコマンドでない場合（Ｓ１１０５でＮｏ）、ゲートウェイ６０は、受信したフレームから、急ブレーキ、急ハンドル、急アクセルのいずれかが検知されるか否かを確認する（Ｓ１１０８）。信用スコア算出部６３は、受信したフレームが急ブレーキ、急ハンドル、急アクセルのいずれかであるか否かを判定する。

　急ブレーキ、急ハンドル、急アクセルのいずれかが検知される場合（Ｓ１１０８でＹｅｓ）、ゲートウェイ６０は、前回の検知時刻からの経過時間を更新する（Ｓ１１０９）。信用スコア算出部６３は、急ブレーキ、急ハンドル、急アクセルのいずれかのフレームを前回受信した時刻を信用スコア保持部６８から取得し、取得した時刻とステップＳ１１０８でＹｅｓと判定したフレームを受信した時刻とに基づいて経過時間を更新する。信用スコア算出部６３は、例えば、経過時間を当該２つの時刻の時間差とする。経過時間は、検知間隔の一例である。

　ゲートウェイ６０は、経過時間が、所定値未満（例えば５分未満）であるかを確認する（Ｓ１１１０）。信用スコア算出部６３は、更新した経過時間が所定値未満であるか否かを判定する。ステップＳ１１１０の判定で用いる所定値は、信用スコア保持部６８に予め格納されている。

　所定の第１時間内における経過時間が所定値未満である場合（Ｓ１１１０でＹｅｓ）、ゲートウェイ６０は、信用スコアを１デクリメントし（Ｓ１１０４）、終了する。

　所定の第１時間内における経過時間が所定値以上である場合（Ｓ１１１０でＮｏ）、ゲートウェイ６０は、特に何もせずに終了する。つまり、信用スコア算出部６３は、経過時間が所定値未満である場合、信用スコアを更新し、経過時間が所定値以上である場合、信用スコアの更新を行わない。

　このように、信用スコア算出部６３は、不審挙動が、所定の第１時間内における、急ブレーキ、急ハンドル、急アクセルのいずれか（異常な運転挙動の一例）の経過時間が所定値未満である場合に、信用スコアを減少するとも言える。

　また、信用スコア算出部６３は、所定の第１時間内における、ブレーキ、急ハンドル、急アクセルのいずれかの経過時間が所定値未満である場合に、当該不審挙動をアクティブモニタリング活動として検知し、アクティブモニタリング活動が検知された場合に、信用スコアを減少するとも言える。

　なお、不審挙動は、所定の第１時間内における異常な運転挙動の検知回数が所定値以上であることであってもよい。異常な運転挙動は、アクセル開度、ブレーキ圧、所定時間内における操舵角の変化量が所定値以上であることであってもよい。

　ステップＳ１１０８において、受信したフレームが急ブレーキ、急ハンドルおよび急アクセルのいずれも検知されない場合（Ｓ１１０８でＮｏ）、ゲートウェイ６０は、受信したフレームがエラーフレームであるか否かを確認する（Ｓ１１１１）。信用スコア算出部６３は、受信したフレームがエラーフレームであるか否かを判定する。

　エラーフレームでない場合（Ｓ１１１１でＮｏ）、ゲートウェイ６０は、何もせずに処理を終了する。

　エラーフレームである場合（Ｓ１１１１でＹｅｓ）、ゲートウェイ６０は、前回の検知時刻からの経過時間を更新する（Ｓ１１１２）。信用スコア算出部６３は、エラーフレームを前回受信した時刻を信用スコア保持部６８から取得し、取得した時刻とステップＳ１１１１でＹｅｓと判定したフレームを受信した時刻とに基づいて経過時間を更新する。信用スコア算出部６３は、例えば、経過時間を当該２つの時刻の時間差とする。経過時間は、発生間隔の一例である。

　ゲートウェイ６０は、経過時間が、所定値未満（例えば５分未満）であるかを確認する（Ｓ１１１３）。信用スコア算出部６３は、更新した経過時間が所定値未満であるか否かを判定する。ステップＳ１１１３の判定で用いる所定値は、信用スコア保持部６８に予め格納されている。

　所定の第１時間内における経過時間が所定値未満である場合（Ｓ１１１３でＹｅｓ）、ゲートウェイ６０は、信用スコアを１デクリメントし（Ｓ１１０４）、終了する。

　所定の第１時間内における経過時間が所定値以上である場合（Ｓ１１１３でＮｏ）、ゲートウェイ６０は、何もせずに終了する。つまり、信用スコア算出部６３は、経過時間が所定値未満である場合、信用スコアを更新し、経過時間が所定値以上である場合、信用スコアの更新を行わない。

　このように、信用スコア算出部６３は、不審挙動が、所定の第１時間内におけるエラーフレームの経過時間が所定値未満である場合に、信用スコアを減少させる。

　また、信用スコア算出部６３は、所定の第１時間内における、エラーフレームの経過時間が所定値以上である場合に、当該不審挙動をパッシブモニタリング活動として検知し、パッシブモニタリング活動が検知された場合に、信用スコアを減少するとも言える。なお、パッシブモニタリング活動として検知される不審挙動は、エラーフレームが検知されたことであってもよい。また、パッシブモニタリング活動として検知される不審挙動は、サードパーティ装置（監視装置の一例）の接続、ネットワークの瞬断（例えば、メッセージの瞬断）、バッテリー電圧の低下またはバッテリーの取り外しのいずれかが検知されたことであってもよいし、当該いずれかの経過時間が所定値未満であることであってもよい。また、パッシブモニタリング活動として検知される不審挙動は、停車時間割合（例えば、所定の第１時間に対する停車している時間の割合）が所定割合以上であることであってもよい。

　なお、信用スコア算出部６３は、図７に示すステップＳ１１０１、Ｓ１１０５、Ｓ１１０８およびＳ１１１１のうち、少なくとも１つの判定を行えばよい。信用スコア算出部６３は、例えば、パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動およびリファインメント活動の少なくとも１つを不審挙動として検知可能であればよい。

　［１．８　ゲートウェイ６０の監視レベル変更のフローチャート］
　図８は、本実施の形態におけるゲートウェイ６０の監視レベル変更のフローチャートである。具体的には、図８は、図６のステップＳ１３の監視レベルを変更する処理の詳細を示すフローチャートである。なお、図８に示す動作は、例えば、監視制御部６４により実行される。

　図８に示すように、ゲートウェイ６０は、ステップＳ１２において、信用スコアが所定値以下である場合（Ｓ１２でＹｅｓ）、信用スコアが３０以下であるか否かを判定する（Ｓ１３０１）。監視制御部６４は、例えば、ステップＳ１１において算出された信用スコアが所定値以下であるか否かを判定する。ステップＳ１３０１の判定で用いる所定値は、信用スコア保持部６８に予め格納されている。また、信用スコア３０は、第１の閾値の一例である。

　信用スコアが３０以下の場合（Ｓ１３０１でＹｅｓ）、ゲートウェイ６０は、縮退モードへ移行する（Ｓ１３０２）。縮退モードとは、運転支援機能の一部またはすべてを無効化するモードである。縮退モードに移行する処理を行うために、ゲートウェイ６０は、他のＥＣＵへ通知を行ったり、機能を無効化したことを運転者に通知する（注意喚起する）表示を行ったり、ゲートウェイ６０で、一部のフレームの転送を止めたりする。その後、ゲートウェイ６０は、処理を終了する。なお、縮退モードへ移行することは、車両２００の機能を制限することの一例である。また、ゲートウェイ６０は、近隣車両またはサーバへ現在の信用スコアを通知してもよい。

　また、車載ネットワークシステムに侵入検知システムが含まれる場合、縮退モードへ移行することは、侵入検知システムを有効化することであってもよい。侵入検知システムを有効化することは、車載ネットワークの監視を強化することの一例である。

　ゲートウェイ６０は、信用スコアが３０以下の場合、車両２００の機能の制限、車両２００の運転者への注意喚起、近隣車両またはサーバへの信用スコアの通知、車載ネットワークの監視強化のいずれか１つ以上を実行すればよい。

　信用スコアが３０より大きい場合（Ｓ１３０１でＮｏ）、ゲートウェイ６０は、信用スコアが５０以下であるか否かを判定する（Ｓ１３０３）。監視制御部６４は、ステップＳ１３０３において、信用スコアが３０より大きくかつ５０以下であるか否かを判定するとも言える。また、信用スコア５０は、第２の閾値の一例である。

　信用スコアが５０以下である場合（Ｓ１３０３でＹｅｓ）、ゲートウェイ６０は、運転者に注意喚起を行うためのフレームを、例えばインストルメントクラスタ等のディスプレイの制御を行うＥＣＵへ送信することで、運転者への注意喚起を行うとともに、サーバへ信用スコアまたは車両ログを通知し（Ｓ１３０４）、処理を終了する。なお、ステップＳ１３０４では、運転者への注意喚起およびサーバへの通知のいずれかが行われればよい。また、ゲートウェイ６０は、ステップＳ１３０４において、近隣車両へ信用スコアを通知してもよい。

　信用スコアが５０より大きい場合（Ｓ１３０３でＮｏ）、ゲートウェイ６０は、信用スコアが８０以下であるか否かを確認する（Ｓ１３０５）。監視制御部６４は、ステップＳ１３０５において、信用スコアが５０より大きくかつ８０以下であるか否かを判定するとも言える。また、信用スコア８０は、第３の閾値の一例である。

　信用スコアが８０以下である場合（Ｓ１３０５でＹｅｓ）、ゲートウェイ６０は、サーバへ信用スコアを通知する（Ｓ１３０６）。

　信用スコアが８０より大きい場合（Ｓ１３０５でＮｏ）、ゲートウェイ６０は、何もせずに処理を終了する。なお、ステップＳ１３０５でＮｏである場合も、サーバへの通知が行われてもよい。

　このように、監視制御部６４は、信用スコアが所定の値以下となった場合に、信用スコアの値に基づいて、車両２００の機能の制限、車両２００の運転者への注意喚起、近隣車両またはサーバへの信用スコアの通知、車載ネットワークの監視強化のいずれか１つ以上を実行する。監視制御部６４は、例えば、信用スコアが低くなると、監視レベルを強くするように、上記のいずれか１つ以上を実行する。監視制御部６４は、信用スコアが第１の閾値以下である場合、第１の監視レベルに対応する動作を実行し、信用スコアが第１の閾値より大きくかつ当該第１の閾値より大きい第２の閾値以下である場合、第１の監視レベルより監視レベルが低い第２の監視レベルに対応する動作を実行し、信用スコアが第２の閾値より大きくかつ当該第２の閾値より大きい第３の閾値以下である場合、第２の監視レベルより監視レベルが低い第３の監視レベルに対応する動作を実行する。第１の閾値は、例えば、信用スコアの最小値（例えば、０）より大きな値であり、第３の閾値は、例えば、信用スコアの初期値（例えば、１００）より低い値である。なお、第１の閾値～第３の閾値、および、第１の監視レベル～第３の監視レベルに対応する動作は、信用スコア保持部６８に予め格納されている。

　［１．９　ゲートウェイ動作シーケンス（信用スコアが５０以下となった場合）］
　図９は、本実施の形態におけるゲートウェイ６０の動作シーケンスを示す図である。具体的には、図９は、ゲートウェイ６０における信用スコアが５１であった時に、不審な運転挙動によって信用スコアが５０以下となった場合の動作シーケンスを示す図である。ＥＣＵ２０は、緊急ブレーキを指示するフレームを送信するＥＣＵであり、ＥＣＵ３０はディスプレイの制御を行うＥＣＵであるとする。

　図９に示すように、ＥＣＵ２０は、緊急ブレーキＯＮを要求するフレームを送信し（Ｓ１００）、ゲートウェイ６０は、送信された緊急ブレーキＯＮを要求するフレームを受信する。なお、ブレーキを制御するＥＣＵも送信された緊急ブレーキＯＮを要求するフレームを受信し、緊急ブレーキを発動させるが、図示を省略する。

　次に、ＥＣＵ２０は、緊急ブレーキＯＮのフレームの送信完了後に、緊急ブレーキＯＦＦを要求するフレームを送信し（Ｓ１０１）、ゲートウェイ６０は、送信された緊急ブレーキＯＦＦを要求するフレームを受信する。

　その後、ＥＣＵ２０は、再度、緊急ブレーキＯＮを要求するフレームを送信し（Ｓ１０２）、ゲートウェイ６０は送信された緊急ブレーキＯＮを要求するフレームを受信する。

　ゲートウェイ６０は、ステップＳ１００における緊急ブレーキＯＮを要求するフレームの受信から、ステップＳ１０２における緊急ブレーキＯＮを要求するフレームの受信までの時間（検知間隔の一例）が所定値（例えば５分）より短い場合、信用スコアを１減少させる（Ｓ１０３）。ステップＳ１０３の処理は、図７に示すステップＳ１１０７でＹｅｓと判定された後に実行されるステップＳ１１０４の処理に相当する。

　ゲートウェイ６０は、信用スコアを１減少させた結果、現在の信用スコアが５０になったため、運転者に注意喚起表示を行うためのフレームを送信する（Ｓ１０４）。ステップＳ１０４の処理は、図８に示すステップＳ１３０４の処理に相当する。

　ＥＣＵ３０は、運転者へ注意喚起表示を行うためのフレームを受信し、ディスプレイに注意喚起を表示する（Ｓ１０５）。ディスプレイへの表示内容は、例えば、図１１Ａのような表示である。図１１Ａは、本実施の形態における運転者へ通知する表示内容の一例を示す図である。図１１Ａに示すように、ステップＳ１０５では、異常な挙動を検知したことを示す情報、および、それに対する対応方法（例えば、センターへ通知）が表示される。

　ゲートウェイ６０は、サーバに対して信用スコアを含む車両ログを通知する（Ｓ１０６）。

　［１．１０　ゲートウェイ動作シーケンス（信用スコアが３０以下となった場合）］
　図１０は、本実施の形態におけるゲートウェイ６０の動作シーケンスを示す図である。具体的には、図１０は、ゲートウェイ６０における信用スコアが３１であった時に、不審な運転挙動によって信用スコアが３０以下となった場合の動作シーケンスである。ＥＣＵ２０と、ＥＣＵ３０は、図９で説明した役割と同様であるとする。

　図１０に示すように、ＥＣＵ２０は、緊急ブレーキＯＮを要求するフレームを送信し（Ｓ１１０）、ゲートウェイ６０は、送信された緊急ブレーキＯＮを要求するフレームを受信する。

　次に、ＥＣＵ２０は、緊急ブレーキＯＮのフレームの送信完了後に、緊急ブレーキＯＦＦを要求するフレームを送信し（Ｓ１１１）、ゲートウェイ６０は、送信された緊急ブレーキＯＦＦを要求するフレームを受信する。

　その後、ＥＣＵ２０は、再度、緊急ブレーキＯＮを要求するフレームを送信し（Ｓ１１２）、ゲートウェイ６０は、送信された緊急ブレーキＯＮを要求するフレームを受信する。

　ゲートウェイ６０は、ステップＳ１１０における緊急ブレーキＯＮを要求するフレームの受信から、ステップＳ１１２における緊急ブレーキＯＮを要求するフレームの受信までの時間（検知間隔の一例）が所定値（例えば５分）より短い場合、信用スコアを１減少させる（Ｓ１１３）。ステップＳ１１３の処理は、図７に示すステップＳ１１０７でＹｅｓと判定された後に実行されるステップＳ１１０４の処理に相当する。

　ゲートウェイ６０は、信用スコアを１減少させた結果、現在の信用スコアが３０以下となったため、縮退モードへ移行するためのフレーム（縮退モード要求フレーム）を送信する（Ｓ１１４）。ゲートウェイ６０は、縮退モードに緊急ブレーキを無効にすることが含まれる場合、ＥＵＣ２０に対して縮退モードへ移行するためのフレームを送信する。ステップＳ１４４の処理は、図８に示すステップＳ１３０２の処理に相当する。

　ＥＣＵ２０は、送信された縮退モード要求フレームを受信し、以降の緊急ブレーキＯＮを要求するフレームの送信を無効にする（Ｓ１１５）。

　ＥＣＵ３０は、送信された縮退モード要求フレームを受信し、ディスプレイに機能制限していることを通知するための表示を行う（Ｓ１１６）。ディスプレイの表示内容は、例えば図１１Ｂのような表示である。図１１Ｂは、本実施の形態における運転者へ通知する表示内容の別の一例を示す図である。図１１Ｂに示すように、ステップＳ１１６では、異常な挙動が継続したことを示す情報、一部の機能を制限したことを示す情報、および、問い合わせ先が表示される。

　［１．１１　実施の形態１の効果］
　実施の形態１に係るゲートウェイ６０（車両監視装置の一例）では、攻撃者による車載ネットワークシステムのリバースエンジニアリング活動が疑われる活動に対して、信用スコアを算出する。ゲートウェイ６０は、さらに信用スコアに基づいて、対応を決定する。ゲートウェイ６０は、サーバへ通知を行うことによって、サーバ側において疑わしい車両が把握され、当該車両を重点的な監視対象と特定することが可能となる。また、ゲートウェイ６０は、より疑わしい車両に対しては車両の機能を一部制限することでリバースエンジニアリング活動を妨害することが可能となる。これにより、ゲートウェイ６０は、車載ネットワークシステムの安全性を高めることができる。

　（実施の形態２）
　以下、複数の電子制御ユニット（ＥＣＵ）が通信する車載ネットワーク（車載ネットワークシステム）を搭載した車両２００における、車両監視方法について説明する。なお、本実施の形態は、実施の形態１と同様の車載ネットワークシステム構成のため、車載ネットワークシステムの全体構成を示す図を省略し、実施の形態１と異なるゲートウェイの処理フローチャートのみを説明する。

　なお、本実施の形態では、不審挙動を検知が検知された場合、信用スコアを増加する例について説明する。この場合、信用スコアの初期値は、例えば、０である。また、以下において、不審挙動が検知された場合にスコアが増加する信用スコアを、実施の形態１と区別して不審スコアと記載する。

　［２．１　ゲートウェイの処理を示すフローチャート］
　図１２は、本実施の形態におけるゲートウェイ６０の処理を示すフローチャートである。なお、図１２に示すステップＳ２０、２４、２５および２６のそれぞれは、図６に示すステップＳ１０、１４、１５および１６のそれぞれに対応し、以下では説明を省略または簡略化する。

　図１２に示すように、ゲートウェイ６０は、フレームを受信しているか否かを判定する（Ｓ２０）。

　フレームを受信している場合（Ｓ２０でＹｅｓ）、ゲートウェイ６０は、各種不審スコアを算出する（Ｓ２１）。フレームを受信していない場合（Ｓ２０でＮｏ）、ゲートウェイ６０は、フレームを受信するまで待機する。

　ゲートウェイ６０は、不審スコア算出後に、算出した不審スコアのうち、いずれかの不審スコアが所定値以上であるか否かを判定する（Ｓ２２）。

　いずれかの不審スコアが所定値以上である場合（Ｓ２２でＹｅｓ）、ゲートウェイ６０は、監視レベルを変更する（Ｓ２３）。

　全ての不審スコアが所定値未満である場合（Ｓ２２でＮｏ）、ゲートウェイ６０は、転送処理を行って（Ｓ２４）、ステップＳ２５に進む。

　［２．２　ゲートウェイにおける不審スコア算出のフローチャート］
　図１３は、本実施の形態におけるゲートウェイ６０の不審スコア算出のフローチャートである。具体的には、図１３は、図１２のステップＳ２１の不審スコア算出処理の詳細を示すフローチャートである。

　図１３に示すように、ゲートウェイ６０は、フレームを受信した時点で、診断ポート５０へのサードパーティ装置（監視装置の一例）の接続検知、エラーフレームの検知、ネットワークの瞬断検知、および、バッテリー外しの検知のいずれかが発生しているか否かを判定する（Ｓ２１０１）。また、ゲートウェイ６０は、ステップＳ２１０１において、停車時間割合が所定割合以上であるか否かの判定を行ってもよい。

　ステップＳ２１０１でいずれかが検知された場合（Ｓ２１０１でＹｅｓ）、ゲートウェイ６０は、当該不審挙動をパッシングモニタリング活動として検知し、パッシブモニタリングスコアを１増加させ（Ｓ２１０２）、処理を終了する。パッシングモニタリング活動は、例えば、車載ネットワークシステムにおける車両データを取得するための行動である。パッシブモニタリングスコアは、車載ネットワークシステムに対するリバースエンジニアリング活動のうち、パッシブモニタリング活動に対する不審スコアを示す。つまり、パッシブモニタリングスコアは、パッシブモニタリング活動が行われている可能性を示しており、パッシブモニタリングスコアが高いことは、車両２００に対してパッシブモニタリング活動が行われている可能性が高いことを示す。信用スコア算出部６３は、ステップＳ２１０２において、フレーム送受信部６１で受信したフレームと車両データとに基づいて、当該フレームを受信する前のパッシブモニタリングスコアを更新するとも言える。

　ステップＳ２１０１でいずれも検知されなかった場合（Ｓ２１０１でＮｏ）、ゲートウェイ６０は、さらに緊急ブレーキ等の運転支援機能のＯＮ、または、急ブレーキ等の異常動作が繰り返し検知されたか否かを判定する（Ｓ２１０３）。ゲートウェイ６０は、例えば、ステップＳ２１０３において、所定の第１時間内における、運転支援機能の発動回数、または、異常な運転挙動の検知回数のいずれかが所定数以上であるか否かを判定する。また、ゲートウェイ６０は、運転支援機能の発動回数、車内のボタンの操作回数、または、異常な運転挙動の検知回数のいずれかが所定数以上であるか否かを判定してもよい。

　ステップＳ２１０３でいずれかが検知された場合（Ｓ２１０３でＹｅｓ）、ゲートウェイ６０は、当該不審挙動をアクティブモニタリング活動として検知し、アクティブモニタリングスコアを１増加させ（Ｓ２１０４）、処理を終了する。アクティブモニタリング活動は、例えば、車両２００の特定機能動作中または特定状況における車載ネットワークの車両データを取得しようとするための動作である。アクティブモニタリングスコアは、車載ネットワークシステムに対するリバースエンジニアリング活動のうち、アクティブモニタリング活動に対する不審スコアを示す。つまり、アクティブモニタリングスコアは、アクティブモニタリング活動が行われている可能性を示しており、アクティブモニタリングスコアが高いことは、車両２００に対してアクティブモニタリング活動が行われている可能性が高いことを示す。信用スコア算出部６３は、ステップＳ２１０４において、フレーム送受信部６１で受信したフレームと車両データとに基づいて、当該フレームを受信する前のアクティブモニタリングスコアを更新するとも言える。

　ステップＳ２１０３でいずれも検知されなかった場合（Ｓ２１０３でＮｏ）、ゲートウェイ６０は、さらにフレームの受信回数、または、診断コマンドの受信回数が所定の閾値より大きいか否かを判定する（Ｓ２１０５）。受信回数は、受信量の一例である。

　ステップＳ２１０５でいずれかの受信回数が所定の閾値より大きい場合（Ｓ２１０５でＹｅｓ）、ゲートウェイ６０は、当該不審挙動をインジェクション活動として検知し、インジェクションスコアを１増加させ（Ｓ２１０６）、処理を終了する。インジェクション活動は、例えば、車載ネットワークシステムへのフレームの注入を試行するための行動である。つまり、インジェクション活動は、攻撃者による不正なフレームの注入の試行が行われている段階であることを示す。

　また、インジェクションスコアは、車載ネットワークシステムに対するリバースエンジニアリング活動のうち、インジェクション活動に対する不審スコアを示す。つまり、インジェクションスコアは、インジェクション活動が行われている可能性を示しており、インジェクションスコアが高いことは、車両２００に対してインジェクション活動が行われている可能性が高いことを示す。信用スコア算出部６３は、ステップＳ２１０６において、フレーム送受信部６１で受信したフレームと車両データとに基づいて、当該フレームを受信する前のインジェクションスコアを更新するとも言える。

　ステップＳ２１０５でどちらの受信回数も閾値以下である場合（Ｓ２１０５でＮｏ）、ゲートウェイ６０は、さらにアップデートコマンドあるいは同一ＩＤフレームの受信回数が、所定の閾値を超えるか否かを判定する（Ｓ２１０７）。なお、同一ＩＤフレームは、同一属性のフレームであることの一例である。ステップＳ２１０７では、同一属性のフレームの受信回数に基づいて判定が行われてもよい。また、受信回数は、受信量の一例である。

　ステップＳ２１０７でアップデートコマンドあるいは同一ＩＤフレームの受信回数が所定の閾値を超える場合（Ｓ２１０７でＹｅｓ）、ゲートウェイ６０は、当該不審挙動をリファインメント活動として検知し、リファインメントスコアを１増加させ（Ｓ２１０８）、処理を終了する。リファインメント活動は、例えば、車載ネットワークシステムに注入されるフレームの精度を向上させるためのフレームの注入を試行するための行動である。つまり、リファインメント活動は、インジェクション活動に比べて攻撃者の攻撃内容が洗練されている段階であることを示す。

　また、リファインメントスコアは、車載ネットワークシステムに対するリバースエンジニアリング活動のうち、リファインメント活動に対する不審スコアを示す。つまり、リファインメントスコアは、リファインメント活動が行われている可能性を示しており、リファインメントスコアが高いことは、車両２００に対してリファインメント活動が行われている可能性が高いことを示す。信用スコア算出部６３は、ステップＳ２１０８において、フレーム送受信部６１で受信したフレームと車両データとに基づいて、当該フレームを受信する前のリファインメントスコアを更新するとも言える。

　ステップＳ２１０７でアップデートコマンドあるいは同一ＩＤフレームの受信回数が所定の閾値以下である場合（Ｓ２１０７でＮｏ）、信用スコア算出部６３は、何もせずに終了する。

　ここで、サードパーティ装置の接続検知は、診断ポート５０から特定の診断コマンドが流れることから検知されうる。エラーフレームの検知は、ゲートウェイ６０のエラーカウンタまたはエラー割込み処理によって検知されうる。ネットワークの瞬断検知は、フレームの受信時刻を常に保持しておき、フレーム受信時に、前回フレームを受信した時刻と現在の時刻との差分が所定の閾値を超えた場合に検知されうる。バッテリー外しの検知は、ゲートウェイ６０への電源供給が遮断され、再度電源が供給されたときに、前回電源供給が遮断されたことを検知することで検知されうる。

　上記のように、本実施の形態では、ゲートウェイ６０（具体的には、信用スコア算出部６３）は、リバースエンジニアリングの各段階を示すパッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動およびリファインメント活動のそれぞれにおいて、不審スコアを算出する。パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動およびリファインメント活動は、リバースエンジニアリングの各段階を示す複数の種類の一例である。つまり、不審挙動は、複数の種類を有する。そして、信用スコア算出部６３は、不審挙動の複数の種類のそれぞれに対する不審スコアを算出する。

　なお、複数の種類は、２つ以上の種類を含んでいればよい。不審挙動の複数の種類は、例えば、パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動およびリファインメント活動の少なくとも２つを含んでいればよい。言い換えると、信用スコア算出部６３は、図１３に示すステップＳ２１０１、Ｓ２１０３、Ｓ２１０５およびＳ２１０７のうち、少なくとも２つの判定を行えばよい。信用スコア算出部６３は、例えば、パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動およびリファインメント活動の少なくとも２つを不審挙動として検知可能であればよい。

　なお、リファインメント活動、インジェクション活動、アクティブモニタリング活動およびパッシブモニタリング活動の順に、リバースエンジニアリング活動が進んでいる、つまりこの順に車載ネットワークの解析が進んでいることを示す。

　［２．３　ゲートウェイにおける監視レベル変更のフローチャート］
　図１４は、本実施の形態におけるゲートウェイ６０の監視レベル変更のフローチャートである。具体的には、図１４は、図１２のステップＳ２３の監視レベル変更処理の詳細を示すフローチャートである。なお、図１４に示す動作は、例えば、監視制御部６４により実行される。

　図１４に示すように、ゲートウェイ６０は、リファインメントスコアが３より大きいか否かを判定する（Ｓ２３０１）。３は、リファインメント活動が行われている可能性があるか否かを判定するための第４の閾値であり、例えば、信用スコア保持部６８に予め格納されている。なお、第４の閾値は、３であることに限定されない。

　リファインメントスコアが３より大きい場合（Ｓ２３０１でＹｅｓ）、ゲートウェイ６０は、縮退モードへ移行する要求フレームを各ＥＣＵに送信し、かつ、各不審スコアを含む車両データをサーバへ通知して（Ｓ２３０２）、処理を終了する。

　リファインメントスコアが３以下である場合（Ｓ２３０１でＮｏ）、ゲートウェイ６０は、さらにインジェクションスコアが３より大きいか否かを判定する（Ｓ２３０３）。３は、インジェクション活動が行われている可能性があるか否かを判定するための第５の閾値であり、例えば、信用スコア保持部６８に予め格納されている。なお、第５の閾値は、３であることに限定されない。

　インジェクションスコアが３より大きい場合（Ｓ２３０３でＹｅｓ）、ゲートウェイ６０は、車両２００の一部機能を制限し、かつ、各不審スコアを含む車両データをサーバへ通知して（Ｓ２３０４）、処理を終了する。

　インジェクションスコアが３以下である場合（Ｓ２３０３でＮｏ）、ゲートウェイ６０は、さらにアクティブモニタリングスコアが３より大きいか否かを判定する（Ｓ２３０５）。３は、アクティブモニタリング活動が行われている可能性があるか否かを判定するための第６の閾値であり、例えば、信用スコア保持部６８に予め格納されている。なお、第６の閾値は、３であることに限定されない。

　アクティブモニタリングスコアが３より大きい場合（Ｓ２３０５でＹｅｓ）、ゲートウェイ６０は、運転者への注意喚起を行うフレームを送信し、かつ、各不審スコアを含む車両データをサーバへ通知して（Ｓ２３０６）、処理を終了する。

　アクティブモニタリングスコアが３以下である場合（Ｓ２３０５でＮｏ）、ゲートウェイ６０は、さらにパッシブモニタリングスコアが３より大きいか否かを判定する（Ｓ２３０７）。３は、パッシブモニタリング活動が行われている可能性があるか否かを判定するための第７の閾値であり、例えば、信用スコア保持部６８に予め格納されている。なお、第７の閾値は、３であることに限定されない。

　パッシブモニタリングスコアが３より大きい場合（Ｓ２３０７でＹｅｓ）、ゲートウェイ６０は、各不審スコアを含む車両データをサーバへ通知して（Ｓ２３０８）、処理を終了する。

　パッシブモニタリングスコアが３以下である場合（Ｓ２３０７でＮｏ）、ゲートウェイ６０は、何もせずに終了する。

　このように、監視制御部６４は、不審挙動の複数の種類と、不審挙動の複数の種類のそれぞれに対応する不審スコア（信用スコアの一例）の値とに基づいて、車両２００の機能の一部の制限、車両２００の運転者への注意喚起、近隣車両またはサーバへの信用スコアの通知のいずれか１つ以上を実行する。また、監視制御部６４は、車載ネットワークの監視強化を実行してもよい。監視制御部６４は、例えば、リバースエンジニアリング活動の段階が進むと、監視レベルを強くするように、車両２００の機能の一部の制限、車両２００の運転者への注意喚起、近隣車両またはサーバへの信用スコアの通知および車載ネットワークの監視強化のいずれか１つ以上を実行する。

　監視制御部６４は、リファインメントスコアが第４の閾値より大きい場合、第４の監視レベルに対応する動作を実行する。また、監視制御部６４は、インジェクションスコアが第５の閾値より大きく、かつ、リファインメントスコアが第４の閾値以下である場合、第４の監視レベルより監視レベルが低い第５の監視レベルに対応する動作を実行する。また、監視制御部６４は、アクティブモニタリングスコアが第６の閾値より大きく、かつ、リファインメントスコアが第４の閾値以下、および、インジェクションスコアが第５の閾値以下である場合、第５の監視レベルより監視レベルが低い第６の監視レベルに対応する動作を実行する。また、監視制御部６４は、パッシブモニタリングスコアが第７の閾値より大きく、かつ、リファインメントスコアが第４の閾値以下、インジェクションスコアが第５の閾値以下、および、アクティブモニタリングスコアが第６の閾値以下である場合、第６の監視レベルより監視レベルが低い第７の監視レベルに対応する動作を実行する。

　なお、第４の閾値は、例えば、リファインメントスコアの最小値（例えば、０であり、初期値）より大きく、かつ、リファインメントスコアの最大値（例えば、１００）以下の値である。第５の閾値は、例えば、インジェクションスコアの最小値（例えば、０であり、初期値）より大きく、かつ、インジェクションスコアの最大値（例えば、１００）以下の値である。第６の閾値は、例えば、アクティブモニタリングスコアの最小値（例えば、０であり、初期値）より大きく、かつ、アクティブモニタリングスコアの最大値（例えば、１００）以下の値である。第７の閾値は、例えば、パッシブモニタリングスコアの最小値（例えば、０であり、初期値）より大きく、かつ、パッシブモニタリングスコアの最大値（例えば、１００）以下の値である。

　なお、第４の監視レベル～第７の監視レベルに対応する動作は、信用スコア保持部６８に予め格納されている。

　［２．４　実施の形態２の効果］
　実施の形態２に係るゲートウェイ６０（車両監視装置の一例）では、攻撃者による車載ネットワークシステムのリバースエンジニアリング活動が疑われる活動に対して、活動のフェーズに応じて不審スコアを算出する。ゲートウェイ６０は、さらに各種不審スコアの値に基づいて対応方法を決定することで、より攻撃フェーズの進んだことが疑われる車両２００に対して、より重点的な監視を行うことが可能となり、これにより車載ネットワークシステムの安全性をさらに高めることができる。

　［その他変形例］
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、バスはＣＡＮであったが、通信プロトコルはＣＡＮに限らない、例えばＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、ＦｌｅｘＲａｙ、Ｅｔｈｅｒｎｅｔであってもよい。

　（２）上記の実施の形態では、サーバ通信部がゲートウェイの構成要素として存在したが、サーバ通信部は、ゲートウェイの必須の構成要素でなくてもよい。例えば、サーバと通信を行う装置が他に存在してもよく、ゲートウェイは当該装置を介して通知を行ってもよい。

　（３）上記の実施の形態では、信用スコア算出部は、ゲートウェイの構成要素であるが、必ずしもゲートウェイの構成要素となる必要はない。例えば、別のＥＣＵの構成要素としてもよいし、仮想マシン上のアプリケーションとして信用スコア算出部が機能してもよい。

　（４）上記の実施の形態では、信用スコアが０～１００の値をとりうるとしたが、信用スコアのとりうる値はこれに限らない、例えば０～１０の１０段階としてもよいし、リバースエンジニアリングの疑わしさのレベルが段階的に示されるものであれば、何でもよい。

　（５）上記の実施の形態では、信用スコアの初期値が１００として、疑わしい挙動を観測した場合に、信用スコアが減少していく例を示したが、信用スコアである必要はなく、不審スコアとして、疑わしい挙動の観測時にスコアが上昇してもよい。信用スコアは、リバースエンジニアリングの疑わしさのレベルが段階的に示されるものであれば、何でもよい。

　（６）上記の実施の形態では、信用スコアが減少する条件を示したが、信用スコアが上昇する条件も存在してよい。例えば、１日（所定の第２時間の一例）経過ごとに信用スコアが上昇してもよいし、イグニッションのＯＮ時に、信用スコアが上昇してもよい。また、例えば、１日（所定の第３時間の一例）経過ごとに信用スコアがリセットされてもよい。また、診断コマンドによって、信用スコアがリセットされてもよいし、サーバからの通知に基づいて信用スコアがリセットされてもよい。これにより、正規の運転者が、疑わしいとされる挙動を偶然に繰り返した結果、信用スコアが低下してしまった場合でも、正常な信用スコアに回復することが可能となる。

　（７）上記の実施の形態では、信用スコアが減少する条件に合致した場合に、信用スコアが１減少したが、信用スコアの減少量は１に限らない。例えば、観測された不審な挙動に応じて減少量を変化させてもよいし、不審な挙動が繰り返し観測されることによって減少量を大きくしていってもよい。これにより、通常の利用において観測される可能性が低い不審な挙動に対しては、信用スコアをより大きく減少させることができ、不審な車両を特定しやすくなり効果的である。

　（８）上記の実施の形態では、信用スコアを減少させる条件は同様に扱ったが、フェーズを分類し、フェーズごとに信用スコアを算出してもよい。例えば、攻撃者が単に車載ネットワークのログを取得しようとするパッシブモニタリングと、攻撃者が車両の特定機能動作中や特定状況における車載ネットワークのログを取得しようとするアクティブモニタリングと、攻撃者が車載ネットワークログに対してフレーム注入を試行するインジェクションと、攻撃者がより洗練された攻撃を試行するリファインメントと、に段階分けをしてもよい。これにより、攻撃者のリバースエンジニアリングのフェーズを把握することが可能となり、フェーズの進んだ攻撃者に対して重点的な監視ができ効率的である。パッシブモニタリングは、例えば、診断ポートへサードパーティデバイスの接続の検知、モニタリング装置（監視装置の一例）接続するためのネットワークの瞬断、バッテリーの取り外し、エラーフレームの検知回数または検知間隔などに基づいて判定されうる。アクティブモニタリングは、例えば、運転支援機能の利用間隔や利用量、車内に配置されるボタンの単位時間当たりの押下回数、極端なアクセル、ブレーキ、ハンドル操作が観測される頻度などに基づいて判定されうる。インジェクションは、フレームの受信量または受信間隔、診断コマンドの受信量または受信間隔などによって判定されうる。リファインメントは、同一のＩＤのフレームに対する受信量の増加または受信間隔の変化、アップデートコマンドの受信量または受信間隔などによって判定されうる。

　（９）上記の実施の形態では、信用スコア保持部に、信用スコア算出に用いる車両データの今回値と前回値とが保持されているが、前回値でなく、過去に信用スコアを減少させた実績を保存してもよい。例えば、過去１週間において、スコアが減点された量を保持していてもよい。そして、信用スコア算出部は、過去にスコアが減点された実績が信用スコア保持部に格納されている場合、過去にスコアが減点された実績のある不審な挙動を観測したときの信用スコアの減少量を、過去にスコアが減点された実績がないまたは減点された量が小さい不審な挙動を観測したときの信用スコアの減少量、または、予め設定されている減少量より大きくしてもよい。これにより、不審な挙動が繰り返し観測されている時に、よりリバースエンジニアリングが実施されている可能性が高いと判断することができ効果的である。

　（１０）上記の実施の形態では、信用スコアをサーバへ通知していたが、通知先はサーバだけに限らず、近隣車両または路側機に対してＶ２Ｘ通信により信用スコアを通知してもよい。これにより、インターネット接続が遮断され信用スコアをサーバへ通知できない車両についても不審な車両を発見することが可能となり、セキュリティの向上に効果的である。

　（１１）上記の実施の形態では、信用スコアを、車載ネットワークフレームのログに基づいて算出していたが、近隣車両の信用スコアを自車両の信用スコアの算出に用いてもよい。信用スコア算出部は、例えば、信用スコアが所定値以下の複数の車両が所定領域内に所定期間存在する場合に、攻撃者が自車両も解析ターゲット用の車両としている可能性が高いとして、信用スコアを補正（例えば、減少）してもよい。信用スコア算出部は、例えば、不審挙動の複数の種類のそれぞれに対する信用スコアのいずれかが所定値以下の複数の車両（他車両とも記載する）が所定領域内に所定期間存在する場合、信用スコアが所定値以下である不審挙動の種類に応じて、自車両の信用スコアを補正（例えば、減少）してもよい。信用スコア算出部は、例えば、他車両において所定値以下である不審挙動の種類と同じ不審挙動の種類の自車両における信用スコアを減少させてもよい。

　（１２）上記の実施の形態２では、不審スコアの算出時に、パッシブモニタリングスコア、アクティブモニタリングスコア、インジェクションスコア、リファインメントスコアの順で、スコア算出を行っていたが、処理の順番を限定するものではない。同様に監視レベル変更時における各不審スコアの判定処理の順番を限定するものではない。例えば、処理の順番を逆にしてもよいし、すべての判定処理を実行してから、スコア算出、監視レベルの変更などを行ってもよい。

　（１３）上記の実施の形態１、２では、信用スコア（不審スコア）が所定の閾値を下回った（上回った）場合に、サーバ通知を行っているが、サーバ通知を行うタイミングはこれに限らない。例えば定期的にサーバへ車両ログを通知していてもよく、信用スコア（不審スコア）の値に応じて、サーバへの通知頻度または通知量を変更するという対応であってもよい。これにより、疑わしい車両からより詳細な車両ログを通知することで、重点的な監視を実現でき効果的である。また、車両ログは、車両の信用スコア（不審スコア）だけでなく、車載ネットワークシステムに流れるフレームから取得される情報を含んでもよい。例えば、車両の速度またはステアリング角度といった車両のセンサ情報であってもよいし、信用スコアを変化させた根拠となる、信用スコア保持部に格納されている車両データを含んでもよい。

　（１４）上記の実施の形態では、フレーム受信時に、スコア算出を行っていたが、フレーム受信時に行わなくてもよい。例えば、内蔵タイマによって定期的にスコア算出を行ってもよい。

　（１５）上記の実施の形態では、監視レベル変更時にスコアの閾値を設定しているが、閾値は本実施の形態で示した値に限らない。疑わしい車両の検知・対応の感度を高めるために閾値を高く（または低く）設定してもよいし、感度を下げるように設定してもよい。また、リバースエンジニアリングにおける状況（例えば、信用スコアの変化スピード、リバースエンジニアリングの段階など）に応じて閾値が動的に変更されてもよい。

　（１６）上記の実施の形態２では、同一ＩＤフレームの受信量に基づいてリファインメントスコアを上昇させていたが、Ｅｔｈｅｒｎｅｔにおいては、同一ポート番号、同一ＩＰアドレス、ＭＡＣアドレスのフレームの受信量としてもよい。あるいは、これらのヘッダ情報の組み合わせで定義される同一フローの受信量としてもよい。また、受信量は受信パケット数および受信データサイズのいずれでもよい。

　（１７）上記の実施の形態１および２では、信用スコア（不審スコア）の算出条件、または、スコアに応じた処理内容を別途ルールとして保持していてもよい。

　（１８）上記の実施の形態１および２では、信用スコア（不審スコア）は不揮発メモリに保存され、イグニッションＯＦＦとなった後でも保持されるとしたが、不揮発メモリに保持されず、イグニッションごとにリセットされてもよい。これにより、不揮発メモリが不要となり、低コストで車両監視装置を実現することができる。

　（１９）上記の実施の形態では、信用スコア（不審スコア）の値に応じて、サーバ通知、車両の機能制限、運転者への通知などの対応を行っていたが、対応方法はこれらに限らない。例えば、車載ネットワークに侵入検知システムが存在し、侵入検知システムを有効化するとしてもよい。これにより、通常時は侵入検知システムを動作させる必要なく、省電力となり効果的である。あるいは、車載ネットワークログ保存を開始するとしてもよい。これにより、疑わしい挙動発生時の車載ネットワークログを保持しておくことが可能となり、メモリ使用量削減に効果的である。あるいは、サーバへの車載ネットワークログの通知量、通知頻度を変更してもよい。これにより、疑わしい車両からより多くの情報を取得し、通常の車両（信用スコアが所定値以上であり、リバースエンジニアリングが行われていないと想定される車両）からは少ない情報の取得で済むため、通信量の削減に効果的である。あるいは、コールセンターへ通話するとしてもよい。これにより、攻撃者の活動を牽制し、リバースエンジニアリングを抑止することに効果的である。

　（２０）上記の実施の形態では、特に信用スコアを算出する時にモードを設定しなかったが、信用スコアを算出するモードが存在してもよい。例えば、衝突実験を繰り返すテスト車両において、信用スコアが低く算出されるのを抑えるために、テストモードを設けてもよい。テストモードでは、異常な挙動に対して信用スコアが減少しにくく設定される。テストモードは、サーバとの認証によってアクティベートされ、テストモードの車両は、サーバで信用スコアが把握されるとしてもよい。

　（２１）上記の実施の形態では、自動車に搭載される車載ネットワークにおけるセキュリティ対策として説明したが、上記実施の形態のゲートウェイの適用範囲はこれに限られない。ゲートウェイは、自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティに適用されてもよい。

　すなわち、上記実施の形態のゲートウェイは、モビリティネットワークおよびモビリティネットワークシステムにおけるサイバーセキュリティ対策として適用可能である。

　また、上記実施の形態のゲートウェイは、工場またはビルなどの産業制御システムで利用される通信ネットワーク、または、組込みデバイスを制御するための通信ネットワークなどに適用されてもよい。

　（２２）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２３）上記の実施の形態における各装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（ＬａｒｇｅＳｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、または、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（２４）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたはモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたはモジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたはモジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（２５）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。

　また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。

　また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（２６）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、攻撃者によるリバースエンジニアリング活動が行われる可能性があるモビリティに有用である。

　１、２、３、４、５　バス
　１０、１１、２０、２１、３０、３１、４０、４１　ＥＣＵ
　５０　診断ポート
　６０　ゲートウェイ
　６１　フレーム送受信部
　６２　フレーム解釈部
　６３　信用スコア算出部
　６４　監視制御部
　６５　転送制御部
　６６　フレーム生成部
　６７　サーバ通信部
　６８　信用スコア保持部
　６９　転送ルール保持部
　１００　通信部
　１０１　ホスト部
　２００　車両

Claims

　１以上の電子制御ユニットを備える車載ネットワークシステムを監視する車両監視装置であって、
　前記車載ネットワークシステムに流れるフレームを受信するフレーム受信部と、
　前記フレーム受信部で受信した前記フレームと当該フレームの受信より前に前記フレーム受信部で受信した１以上のフレームに関する情報を含む車両データとに基づいて通常の運転挙動とは異なる不審挙動を検知し、検知結果に基づいて前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する信用スコア算出部と、を備える、
　車両監視装置。
　前記不審挙動は、監視装置の接続、エラーフレーム、ネットワークの瞬断、バッテリー取り外しのいずれかが検知された場合に、パッシブモニタリング活動として検知され、
　前記信用スコア算出部は、前記パッシブモニタリング活動が検知された場合に、前記信用スコアを減少させる、
　請求項１に記載の車両監視装置。
　前記不審挙動は、所定の第１時間内における、車内のボタンの操作回数、異常な運転挙動の検知回数のいずれかが所定数以上である、または、運転支援機能の発動間隔が所定値未満である場合に、アクティブモニタリング活動として検知され、
　前記運転支援機能は、自動駐車支援、オートクルーズコントロール、緊急ブレーキ、レーンキープアシストのいずれかであり、
　前記異常な運転挙動は、アクセル開度、ブレーキ圧、所定時間内における操舵角の変化量が所定値以上であることであり、
　前記信用スコア算出部は、前記アクティブモニタリング活動が検知された場合に、前記信用スコアを減少させる、
　請求項１または２に記載の車両監視装置。
　前記不審挙動は、所定の第１時間内における、前記フレームの受信量、診断コマンドの受信量のいずれかが所定数以上である場合に、インジェクション活動として検知され、
　前記信用スコア算出部は、前記インジェクション活動が検知された場合に、前記信用スコアを減少させる、
　請求項１～３のいずれか１項に記載の車両監視装置。
　前記不審挙動は、所定の第１時間内における、アップデートコマンドの受信量、同一属性のフレームの受信量のいずれかが所定数以上である場合に、リファインメント活動として検知され、
　前記同一属性のフレームとは、前記フレームに含まれる識別子、ＩＰアドレス、ＭＡＣアドレス、ポート番号のいずれか、または、いずれか２つ以上の組み合わせが同一であるフレームであり、
　前記信用スコア算出部は、前記リファインメント活動が検知された場合に、前記信用スコアを減少させる、
　請求項１～４のいずれか１項に記載の車両監視装置。
　前記車両監視装置は、さらに、監視レベル変更部を備え、
　前記監視レベル変更部は、前記信用スコアが所定の値未満となった場合に、前記信用スコアの値に基づいて、前記車両の機能の制限、前記車両の運転者への注意喚起、近隣車両またはサーバへの信用スコアの通知、および、前記車載ネットワークシステムの監視強化のいずれか１つ以上を実行する、
　請求項１～５のいずれか１項に記載の車両監視装置。
　前記不審挙動は、前記リバースエンジニアリングの各段階を示す複数の種類を有し、
　前記信用スコア算出部は、前記不審挙動の前記複数の種類のそれぞれにおいて信用スコアを算出する、
　請求項１に記載の車両監視装置。
　前記不審挙動の前記複数の種類は、パッシブモニタリング活動、アクティブモニタリング活動、インジェクション活動、リファインメント活動の少なくとも２つを含み、
　前記パッシブモニタリング活動は、前記車両データを取得するための行動であり、
　前記アクティブモニタリング活動は、前記車両の特定機能動作中または特定状況における前記車両データを取得しようとするための動作であり、
　前記インジェクション活動は、前記車載ネットワークシステムへのフレームの注入を試行するための行動であり、
　前記リファインメント活動は、前記車載ネットワークシステムに注入されるフレームの精度を向上させるためのフレームの注入を試行するための行動である、
　請求項７に記載の車両監視装置。
　前記不審挙動は、監視装置の接続、エラーフレーム、ネットワークの瞬断、バッテリー取り外しのいずれかが検知された場合に、前記パッシブモニタリング活動として検知され、所定の第１時間内における、運転支援機能の発動回数、車内のボタンの操作回数、異常な運転挙動の検知回数、のいずれかが所定数以上である場合に前記アクティブモニタリング活動として検知され、所定の第１時間内における、前記フレームの受信回数、診断コマンドの受信回数のいずれかが所定数以上である場合に前記インジェクション活動として検知され、所定の第１時間内における、アップデートコマンドの受信回数、同一属性のフレームの受信回数のいずれかが所定数以上である場合に前記リファインメントとして検知される、
　請求項８に記載の車両監視装置。
　前記車両監視装置は、さらに、監視レベル変更部を備え、
　前記監視レベル変更部は、前記不審挙動の前記複数の種類と、前記不審挙動の前記複数の種類のそれぞれに対応する信用スコアの値とに基づいて、前記車両の一部機能の制限、前記車両の運転者への注意喚起、および、近隣車両またはサーバへの信用スコアの通知のいずれか１つ以上を実行する、
　請求項７～９のいずれか１項に記載の車両監視装置。
　前記信用スコア算出部は、所定の第２時間が経過するまたは前記車両に対して所定の第１操作が実行されると、前記信用スコアを上昇させる、
　請求項１～１０のいずれか１項に記載の車両監視装置。
　前記信用スコア算出部は、所定の第３時間が経過するまたは前記車両に対して所定の第２操作が実行されると、前記信用スコアをリセットする、
　請求項１～１１のいずれか１項に記載の車両監視装置。
　１以上の電子制御ユニットを備える車載ネットワークシステムを監視する車両監視方法であって、
　前記車載ネットワークシステムに流れるフレームを受信する受信ステップと、
　前記受信ステップで受信した前記フレームと当該フレームの受信より前に受信した１以上のフレームに関する情報を含む車両データとに基づいて通常の運転挙動とは異なる不審挙動を検知し、検知結果に基づいて前記車載ネットワークシステムを搭載する車両に対してリバースエンジニアリングが行われている可能性を示す信用スコアを算出する信用スコア算出ステップとを含む、
　車両監視方法。