イモビライザユニット|車両の不正始動を暗号認証で阻止

2025.10.14

イモビライザユニット

イモビライザユニットは、自動車の不正始動を防止するために鍵(トランスポンダキーやスマートキー)と車両側の電子制御系の間で暗号学的な認証を行う電子装置である。エンジン始動系(スタータ、燃料噴射、点火など)の許可・不許可をECU群へ指示するゲートの役割を担い、正規鍵が存在しない限りクランキングや噴射を許可しない。近年はキーレスエントリやプッシュスタートと連動し、挑戦応答(challenge–response)やローリングコード、対リレーアタック対策を含む多層防御を実装するのが一般的である。

Table Of Contents

構成要素と基本アーキテクチャ

典型構成は、コラム部あるいは室内に配置されるコントローラ本体、鍵側トランスポンダ(受動RFIDまたはアクティブ無線)、アンテナコイルやLF送信器、車両ネットワーク(CAN/LIN)インタフェースから成る。コントローラは車両電源投入を検出すると鍵をポーリングし、識別子と鍵共有情報から応答の正当性を検証する。正当と判定されればエンジンECUへ始動許可信号(またはCANメッセージ)を送出し、併せて盗難防止警報やステアリングロック制御とも連携する。

通信方式と暗号処理

鍵との近距離通信には一般にLF帯(約125kHz)励起+UHF/無線応答、あるいはLFのみの受動トランスポンダが用いられる。車両内との接続はCANやLINであり、メッセージ認可や改ざん検出のためのMAC(認証コード)を用いた挑戦応答が実装される。暗号方式は対称鍵(例:AES系)を中心に、鍵マテリアルの車載保護(HSM/セキュアマイコン)と鍵更新プロセスが重要である。ローリングコードは再生攻撃への耐性を高め、乱数品質とカウンタ管理が信頼性を左右する。

認証フロー(例)

  1. IG ONまたはスタート要求を契機にイモビライザユニットが起動し、LFで鍵を励起する。
  2. 鍵はIDおよび暗号化応答を返す。ユニットは内部鍵とランダムチャレンジで応答整合を確認する。
  3. 合致すればCAN経由でエンジンECUに始動許可を送信し、燃料噴射・点火が有効化される。
  4. 不一致ならDTCを記録し、始動を抑止。コンビメータのセキュリティランプでドライバーに状態を通知する。

車両ネットワークとの連携

イモビライザユニットはボディ系ECUやゲートウェイECUと協調し、認証状態やアラームを共有する。診断ではOBD-II経由でDTC読出しやイモビライザ関連のライブデータ(認証結果、アンテナ信号強度、鍵登録数など)を参照できる。セキュリティの観点から、診断セッションの昇格時は追加のシード・キー認証を要求し、不正な書き込みや鍵登録を遮断する設計が求められる。

故障モードと診断アプローチ

  • 鍵側:トランスポンダ故障、バッテリ低下(スマートキー)、ケース破損。
  • 車両側:アンテナオープン/ショート、LFドライバ故障、コントローラ内部不良、CAN配線不良。
  • 環境要因:強い電磁雑音、金属遮蔽物、低温時の発振不安定。

診断では電源・GND・LIN/CANの配線連続性、アンテナコイル抵抗値、LF送信の波形確認、鍵応答の有無を段階的に切り分ける。DTCは「認証失敗」「アンテナ回路不良」「鍵未登録」などに分類され、条件再現と消去後再試験で断続不良を把握する。

設計指針と信頼性

自動車環境における高低温、振動、湿度、塩害への耐性設計が基本である。ESD対策、コモンモードノイズ抑制、EMC準拠、不要輻射低減、近傍結合の最適化が不可欠で、アンテナ配置は金属部材・配線束との干渉を避け感度を確保する。機能安全では始動許可ロジックのフェイルセーフ、過検出・過抑止のバランス、自己診断(電源監視、フラッシュCRC、RAMテスト)を備え、異常時は安全側(始動禁止)に遷移する。

セキュリティ脅威と対策

代表的脅威はリレーアタック、リプレイ/クローン、診断ポート経由の不正登録、ファーム改変である。対策として、物理層では距離推定(タイムオブフライトや電界強度)、アプリ層では強固な挑戦応答とキー更新、メモリ保護(読出し防止、デバッグロック)、ブートチェーンの署名検証を行う。さらにイベントログの改ざん耐性を確保し、異常アクセスのレート制限とロックアウトを設ける。スマートエントリ車ではUWB併用やモーション判定によりポケット内鍵の中継攻撃を低減する。

製造・サービス運用

量産では鍵IDと車両VINのペアリング、暗号鍵のインジェクション、トレーサビリティ管理が重要である。サービス現場では、ECU交換時の再学習や鍵追加登録の認証フローを確実に踏む必要がある。登録プロセスは台数上限やマスターキーの要否、タイムウィンドウなどの条件を持つため、手順逸脱が不始動やセキュリティホールを生む。ログとDTCを活用し、電源安定下で実施するのが望ましい。

人間工学とユーザー体験

ドライバーから見えるのは「鍵を所持してボタンを押せば始動する/しない」という単純な体験である。誤作動による始動不能は顧客満足度に直結するため、ランプ表示やメッセージ文言、再試行待ち時間の分かりやすさ、冗長手段(非常用機械キーやタッチ式認証)の用意が有効である。バッテリ切れ時のタッチポイント位置や操作手順を明示し、ロードサービス連携の情報提供も信頼向上につながる。

キー登録と再学習のポイント

登録は正規ツールと権限昇格のもとで行う。複数鍵の一括初期化時は既存鍵の無効化リスクに注意し、所有者確認とバックアップ鍵の確保を徹底する。中古ECU流用時はVIN不一致や鍵マテリアル差異により認証不能が起こるため、初期化・同期化手順を順守する。

アフターマーケット機器との整合

リモートスタートや撤去改造はセキュリティ低下や法令不適合を招きうる。バイパスモジュールは動作保証や責任範囲を明確にし、配線改変はCANノイズや誤認証の原因となるため極力避ける。保険要件や車両保証との関係も事前に確認しておくべきである。

要件整理(チェックリスト)

  • 暗号方式と鍵保護:HSM、セキュアブート、鍵更新の運用設計。
  • EMC/環境耐性:温度範囲、振動、ESD、近傍結合最適化。
  • 機能安全:フェイルセーフ設計、自己診断、エラーハンドリング。
  • UX:分かりやすいフィードバック、非常手順、誤操作寛容性。
  • サービス:DTC体系、診断セッション管理、登録手順の標準化。

コメント(β版)