AIが自動車用ソフトウェアのファジング手法を変える

2025年7月放送の「Empowering Tomorrow's Automotive Software」ポッドキャストでは、ホストを務めるゼイン・ペレティエ（ETASアメリカ エンタープライズ＆ICSセキュリティサービス部門サービスマネージャー）と、ゲストのイリーナ・ニコラエ（ボッシュ人工知能センター研究科学者）が、自動車モジュール向け組み込みファジングテストにおけるAIの活用について討論しました。

二人は、AIによるファジングが自動車用サイバーセキュリティテストの効率性と有効性を向上させる有望な手法である点を強調しています。本記事ではトピックの一部をピックアップして紹介しています。全編はこちらから、またはお使いのポッドキャストプラットフォーム（Spotify、Apple Podcasts、Amazon Music、iHeart Radioなど）でお聞きいただけます。

組み込みファジングテストとは？

ファジングは、ソフトウェアやハードウェアのバグを識別するため、細心の注意を払って作成された擬似ランダムな入力をデバイスのインターフェースに送信するサイバーセキュリティ技術です。その目的は、応答不能な状態やウォッチドッグタイマーの作動といった、セキュリティ問題やセーフティクリティカルな欠陥を示す可能性のある有害な事象を監視することにあります。

従来のITソフトウェア向けファジングとは異なり、車両に組み込まれたデバイスのテストには特有の課題が存在します。ブレーキ制御やパワートレイン制御などのデバイスは、セーフティ クリティカルであることが多く、 さらに、多くの通信プロトコルは独自仕様で文書化が不十分なため、バグ発見は大海で針を探すようなプロセスとなります。加えて各コントローラが異なるため、テスト担当者は新たなテストごとに一から準備を始める必要があります。ファジングの擬似ランダム性は非効率的で、膨大な時間とハードウェアリソースを要します。

ETASは、開発および検証プロセス全体を通じて自動車システムの堅牢性とサイバーレジリエンスを向上させるソリューション「CycurFUZZ」を提供しています。CycurFUZZは、他の利用可能なツールと比較して、安全関連脆弱性と未検出のソフトウェア欠陥の発見率を66～600％向上させます。

AIがファジングの改善に果たす役割

AI活用の着想は、異なるモジュール間、さらには異なるサプライヤー間で類似のバグが繰り返し発見されているという認識から生まれました。従来のファジングの非効率性を克服するため、ゼイン・ペレティエ氏とそのチームは、ボッシュ人工知能センターと共同で、過去の課題を認識し車両ネットワークの脅威モデルを理解する機械学習モデルの訓練を試みることにしました。

ポッドキャストでは、このプロジェクトについて詳しく説明し、チームが大規模言語モデル（LLM）で使用されるものと同様のトランスフォーマーベースのモデルを採用したことを明らかにしています。このモデルは単に新しいテストケースをランダムに生成するよう訓練されたのではなく、入力ストリームに基づいてデータシーケンスの次のバイトを予測するよう設計されました。これにより、バグを発見する可能性が高い、より知的なテストケースを生成することが可能となったのです。

プロジェクトの成功は、トレーニングデータの品質に大きく依存していました。チームは、実世界のトラフィックデータを使用することが極めて重要であることを学びました。これによりモデルは「正常な」ネットワークトラフィックの様相をより正確に理解でき、異常を識別するために不可欠となりました。また、微調整フェーズも重要です。このステップにより、チームはモデルを特定のモジュールや通信プロトコルに適応させることができ、その有効性をさらに高めることができました。

このプロセスを通じて発見される最も一般的な障害は、サービス拒否（DoS）であり、これによりモジュールは車両ネットワークの他の部分に対して応答不能となります。DoS攻撃は、モジュールがミリ秒単位で応答することが求められる自動車ネットワークにおいて特に危険です。その他の障害には、通信スタックのクラッシュやモジュール上のセキュリティ認証のバイパスなどが挙げられます。

AIを活用することで、従来型の組み込みファジングテストの非効率性が克服されつつあります。本プロジェクトは、疑似ランダム入力を進化させた、潜在的な脆弱性を知的に標的とするデータ駆動型アプローチを示しています。この手法は、ますます複雑化し相互接続が進む未来の車両を保護する上で、重要な一歩となるでしょう。