機械学習を用いた「ハードウェア版トロイの木馬」の検知手法

はじめに

現代社会では、文字通り何十億台もの電子デバイスが毎日使用されています。将来的には、IoTの拡大に伴い、電子デバイスの数は飛躍的に増加し、同時に悪意のある目的で半導体チップに埋め込まれたハードウェアトロイがサイバーセキュリティの脅威として拡大する恐れがあります。

また、回路設計や製造の外注化や、外部サプライヤーからのIPの利用が増加しており、ハードウェアトロイによるリスクが高まっています。こうした脆弱性があるデバイスが使用され、電子商取引の暗号化や自動運転車、航空管制官などの重要なシステムに影響を及ぼす場合は、私たちの社会生活に大きなリスクをもたらす恐れがあります。これを防ぐためには、システムに悪意のある回路が含まれていないことの確認が不可欠となり、電子システムのハードウェアトロイを検知することが極めて重要になります。

ハードウェア版トロイの木馬(以下、「ハードウェアトロイ」)検知に関する研究を行ってきた早稲田大学理工学術院の戸川望教授が率いる研究チームは、キーサイトのCX3300Aデバイス電流波形アナライザを使用し、ハードウェアトロイ検知機能を向上させました。CX3300には、測定が困難なシグネチャー(マルウェア動作時の特徴的なサイドチャネル信号波形のこと)を高帯域幅で捉えることができる最先端のダイナミック電流測定技術が搭載されています。また、大規模なデータベース(1TB以上)内の小さな異常を識別できる高度な機械学習アルゴリズムもサポートしています。本稿では、このような技術がどのようにハードウェアトロイ検知を向上させたかを解説します。

ハードウェアトロイ検知の課題

ハードウェアトロイは、信号の停止や破壊などの操作によって深刻な損害をもたらす恐れがあります。こうした操作は、IC設計の段階で回路に10個程度の小規模なゲートを挿入するだけで実行できます。最良の方法は、回路図やメインチャネル入出力信号からトロイを検知することですが、残念ながら、回路設計や製造の外注増加や、他社からのIPの使用により、チップ設計やI/Oパターンの細部までを理解し、検証することは困難です。

このため、メインチャネル入出力信号を調べてトロイのポストシリコン検証を行うことが難しくなり、信頼性が低下します。一方で、電源電流からのサイドチャネル信号には、半導体チップの内部動作に関する情報が大量に含まれています。悪意のある動作が存在する場合は電源電流の偏差として現れますが、電源電流を監視してハードウェアトロイを検知するには、いくつかの課題があります。

a. 高帯域幅、高分解能の電流測定

半導体チップは、複数の活動が同時に実行される高周波クロックの下で動作するため、電源電流の偏差は瞬間的で非常に小さくなります。このため、ハードウェアトロイによる動作を識別するには、高帯域幅で高分解能の電流測定技術が必要です。

b. ビッグ波形データ解析用機械学習

ハードウェアトロイの動作は、まれにしか起こらないため、長時間中断することなく、高速かつ高分解能で連続的に測定できる機能が必要です。しかし、この長時間におよび高分解能のデータを収集することは、大規模なデータベースが作成される可能性があります。例えば、10MSa/sのデータストリームを24時間記録すると、1TBを超える波形データベースが作成されます。このため、巨大なデータベースを迅速に分類できる何らかの機械学習アルゴリズムの使用が不可欠です。

最近まで、既存の技術ではこのような要件を満たすことができませんでした。次のセクションでは、このような課題を解決した手法を説明します。

高帯域幅、高分解能の電流センシング

以下の図は、サイドチャネル電源電流信号の解析によりハードウェアトロイの活動を検知した例を表示したものです。この例では、低電力のMCUがアクティブ期間中に、AES-128を使用して通信データを暗号化するようにプログラムされており、スリープの状態では、その動作は停止しています。

しかし、このように間欠動作をするMCUにおいても、暗号化を無効にするトロイが時々発現します。図1(a)は、トロイに感染した電流パルス列を表示しています。正常なパルスと感染したパルスを視覚的に区別することは困難です。拡大図は、ハードウェアトロイがアクティブな場合(b)とアクティブではない場合(c)の信号の違いを示しています。依然として、2つの信号を区別することは容易ではありません。パルスの初期部分を拡大すると、数MHzの周波数成分を持つマイクロアンペアレベルの違いがあることが分かります。

• 

  図1 (a).サイドチャネル信号は、MCUがアクティブ期間中にAES-128暗号化を操作した場合に表示されます。トロイをシミュレートするために、暗号化は1000回に1回無効化されます。(b)トロイがアクティブな場合(AESが無効化されている状態)。(c)正常状態(AESが無効化されていない状態)

検知は、従来の電流プローブではなく、電流センシング技術を使用した高分解能、高帯域幅の性能を持つ電流プローブでのみ可能になります。

電流センシング技術は数多く存在していますが、例えば、一般的なクランプ型電流プローブは、測定可能な最小電流が約1～3mAしかないため、ハードウェアトロイの検知には不十分です。対照的に、キーサイトのCX1101A電流センサは0.41ohmの内部シャント抵抗を用いて、最大100MHzの帯域幅で3μAという小さな電流を測定することができます。このローレベル、高帯域幅の測定能力は、DCおよび低周波数での抵抗センシングと高周波数での磁気センシングを組み合わせた革新的な電流センシング方式によって実現しています。挿入抵抗が小さいため、大きな電流スパイクが発生しても、パワーレールの電圧は著しく降下しないため、MCUデバイスの電圧低下によるリセットを引き起こすことはありません。こうした理由から、キーサイトのCX1101A電流センサは、サイドチャネル信号のダイナミック電流フローを正確に捕捉することができます。

ビッグ測定データ解析用機械学習

機械学習アルゴリズムは、「教師あり」と「教師なし」の2つに分類されます。「教師あり」学習は既知のパターンを検出するために使用され、「教師なし」学習は未知の異常を検出する場合に最適です。トロイが作成したシグネチャーは未知のものであるため、検出する場合には「教師なし」学習がより有用です。「教師なし」学習アルゴリズムの中でも、クラスタリングはビッグデータ解析に不可欠なツールとなっています。クラスタリングを活用した「教師なし」機械学習アルゴリズムの実装は多数開発されていますが、波形が何千ものデータポイントを含む数値配列であるため、その多くは大量の波形データを処理することができませんでした。このような波形データを数百万も含む大規模なデータベースを従来のアルゴリズムで整理・分類するには、膨大な計算リソースと長い処理時間が必要で、分類や解析の観点で非常に困難な課題となります。

これを解決するためにキーサイトは、低コストのPCプラットフォームを用いて、大規模なコンピューティング・サーバ・ソリューションと同じ時間で膨大な量の波形データを処理できる、新しいアルゴリズムを開発しました。このアルゴリズムにかかる計算時間は、測定データベースのサイズがCPUのメインメモリをはるかに超えている場合でも、データ量と次元に直線的にしか増加しません(図2(a))。数々の技術革新により、市販のPC上で実行されるこのアルゴリズム性能は、300～400個のCPUコアを搭載した大型コンピューティングサーバー上で実行される同等のアルゴリズム性能に匹敵します。つまり、従来のアルゴリズムに対して速度が100倍～1000倍向上していることになります。

データ収集中、ソフトウェアはオシロスコープのトリガ機能を使用して波形を定義します。同時に、この波形はリアルタイム・タギング・プロセスによって、事前分類クラスター(またはタグ)に分類されます(図2(b))。事前に分類された結果は、すべての波形を簡潔にまとめたタグデータベースに保存されますが、タグデータベースのサイズは、すべての波形を完全にアーカイブしたロスレスデータベースの約1/100～1/500です。こうした機能により、ユーザーはデータ収集の完了直後から解析を開始することができます。タグデータベースは波形メタデータを活用しているため、主要なデータ解析作業は10秒以下で完了できます。クラスター数の変更やサブクラスタリング(選択したクラスターをさらに別のクラスターに分割すること)も短時間で完了します。タグデータベースにサブクラスタリングを可能にするのに十分な分解能がない場合は、ロスレスデータベースを使用した詳細クラスタリングを実行することができます。これらの特長に加えて、クラスターに含まれる波形を選択的に表示再生することができ、捕捉された波形をリアルタイムに近い速度で表示できるほか、特定の波形形状を迅速に見つけることができます。この技術により、1/100万の波形であっても、素早く簡単に識別できます。

• 

  図2 超高速クラスタリングアルゴリズム

ハードウェアトロイ検知の成功

図3では、サイドチャネルの電源電流波形を解析してハードウェアトロイを検知した例を示しています。データ収集完了直後に、捕捉した波形を4つのクラスターに分割します。2つのメインクラスター(黄色と緑色で表示)が波形の大部分を占めていますが、ソフトウェアにより、メインクラスターとはわずかに異なるだけでも、感染した波形(赤色で表示)を区別できます。オシロスコープや電流プローブでは分解能や帯域幅が不足しているため、このような解析はできません。また、従来の機械学習アルゴリズムでは、このような数量規模と複雑さのある波形に対応できません。CX3300の高帯域幅、高分解能のダイナミック電流測定機能とキーサイトの超高速クラスタリングアルゴリズムを組み合わせることにより、ハードウェアトロイを識別する効率的な手段を提供することができます。

• 

  図3 トロイ検知のクラスタリング結果

まとめ

この技術は、あらゆるビッグ測定データ環境における異常を検出できるきわめて汎用的なツールであるため、ハードウェアトロイの検知だけでなく多くの用途があります。キーサイトは、今後も最新鋭の機械学習アルゴリズムや最先端の測定技術の開発を続けていく計画です。