タンパープルーフとは？設計のアプローチと具体例を解説！

タンパープルーフの解説

１．タンパープルーフとは？
２．タンパープルーフの対象
３．タンパープルーフ手法のアプローチ
４．パンタープルーフ手法の具体例
５．セキュリティシステムとの関連性
６．「許可がある人」のツールや情報の管理も重要！

１．タンパープルーフとは？

似た用語である「フールプルーフ」（fool proof）は、いわゆる「ポカヨケ」（人為的ミスを防止する仕組み）のことですが、「タンパープルーフ」（tamper proof）とは「イジリ防止」（許可されないイジリを防止する仕組み）のことです。
システムや装置に対する許可の無い変更や改造を防止し、違法行為や危険状態を回避するための仕組みを意味します。

イジリに対するロバスト性（頑健性）の高いシステムや装置は「耐タンパー性（tamper resistant）が高い」と言われます。

今回のコラムでは、タンパープルーフの手法や事例について説明したいと思います。

２．タンパープルーフの対象

車両の例で考えると、車両認証関連システム及び装置（安全、排ガス規制関係など）や盗難防止システムなどに対しては、「イジリ」への防御措置が必要となります。

例えば、メカニカル噴射システムにおいて、全負荷燃料噴射量調整スクリューは、エンジン出力設定と排ガス制限に影響があるため、出力アップのために違法に再調整されることを防ぎ、車両として認証時の状態を保たなければなりません。
このためにスクリュー部には、タンパープルーフとして封印ロックキャップを設置します。

一方、車両の電子制御化が進んで、燃料噴射量がコントロールユニットによって決められるようになると、違法な変更を防ぐためのパンタープルーフは、コントロールユニット内データの違法書き換えや、違法コントロールユニットへの交換に対応しなければなりません。

パンタープルーフには機械的な機構によるものと、電気あるいは電子的な機構によるものとがあります。

車両以外の例では、公共料金のメーターには、メータ数値改ざん防止のためのタンパープルーフ機構が設けられています。

３．タンパープルーフ手法のアプローチ

タンパープルーフ手法の設計は、「イジリ」のどの部分に対して防御を行うかにより以下のようなアプローチがあります。

① いじることを困難にする
② いじられたことが分かるようにする
③ いじられても、最終的な変更・改造を不可能にする
④ 一連の作業にかかる時間を長くする
⑤ 自動通報システムと連結する

いじられたことが識別された場合には、製品品質保証のキャンセルを行います。

また、情報保護を目的とした防御策としては、「イジリ」を検知して情報の消去を行うものもあります。

次に手法の例を見ていきたいと思います。

４．パンタープルーフ手法の具体例

① “いじることを困難にする” に関する手法

特殊工具が無いと緩められない特殊ネジを用いる
ドリルアウト（加工により捕捉器を連結して緩める）をしないと緩められないネジを用いる

② “いじられたことが分かるようにする” に関する手法

部品をはずしたらツメ部が折れるなど、壊れやすい部分を設ける
イジリによりスイッチONとなり検出する機構を設ける
電子部品の場合、アクセスされたことをメモリに残す

③ “いじられても、最終的な変更・改造を不可能にする” に関する手法

データの読み出しや書き換えにパスワードを必要とする

④ “一連の作業にかかる時間を長くする” に関する手法

イジリのための作業時間が長くなるようにする
パスワードの照合、電子データへたどり着くまで、および書き換えに要する時間を長くする

⑤ “自動通報システムと連結する”に関する手法

スイッチ機構や回路などによりイジリを検出した場合に、外部へ通報する

５．セキュリティシステムとの関連性

装置に電子制御データが含まれるようになると、パンタープルーフも機械的な仕みだけでなく、ソフト的な対策が必要となります。
外部からの許可の無い「イジリ」に対しての防御を行うという点では、ハッキング（クラッキング）対策技術、すなわちセキュリティシステム技術と共通の考えや検討が必要となります。
イモビライザー・トランスポンダーキーとセキュリティ
車両盗難防止システム（イモビライザー、Immobilizer）では、トランスポンダーキーと呼ばれるキーを用いて、キー側と車両側で通信により暗号コードの照合を行い、合致によりエンジン始動を許可します。
これに対して、この暗証コードをリセットするイモビカッターと呼ばれるアタックがあります。このようなアタックに対してさらに防御機構を設けなければなりません。