アメリカの列車にセキュリティ上の脆弱性が2012年に発見されましたが、アメリカ鉄道協会(AAR)は、サイバーセキュリティ・インフラセキュリティ庁(CISA)が数日前に勧告を公開するまで、対応を拒否していました。ハードウェアセキュリティ研究者のNeils on X(旧Twitter)によると、この問題が初めて発見されたのは、ソフトウェア無線(SDR)が普及し始めた2012年でした。アメリカのすべての列車には、最後尾車両に列車終端(EoT)モジュールが搭載されており、このモジュールは列車の先頭部にテレメトリデータを無線で送信していました。
アメリカのどの列車でもハッキングしてブレーキを制御できることが判明しました。これはCVE-2025-1727で、公開するまでに12年かかりました。この脆弱性は未だに修正されていません。経緯はこちらです:https://t.co/MKRFSOa3XY 2025年7月11日
1980年代後半に初めて実装された当時、このシステムに割り当てられた周波数を他者が使用することは違法でした。そのため、システムではパケット生成にBCHチェックサムのみを使用していました。しかし、SDRを持つ人なら誰でもこれらのパケットを模倣することができ、EoTモジュールと対応する先頭車両(HoT)に偽の信号を送信することができました。EoTがテレメトリデータのみを送信していれば、これは緊急の問題にはならなかったでしょう。しかし、HoTはこのシステムを介してEoTにブレーキコマンドを発行することもできます。つまり、ハードウェア(500ドル未満で入手可能)とノウハウがあれば、誰でも運転士に知られることなく簡単にブレーキコマンドを発行でき、輸送運行の安全性を損なう可能性があります。
ニールズ氏にとって苛立たしいのは、AARが2012年にこの脆弱性を認めようとしなかったことです。「これは理論上の問題に過ぎず、実際に起こった場合にのみ信じる」と述べていたのです。残念ながら、連邦鉄道局(FRA)には試験線施設がなく、AARは敷地内でのセキュリティ上の懸念から試験を許可していません。セキュリティ研究者がボストン・レビュー誌に調査結果を発表したところ、AARがフォーチュン誌で反論する事態にまで至りました。
2024年時点でも、この問題は未だ解決されていません。AARの情報セキュリティ担当ディレクターは、これは実際には大きな問題ではなく、脆弱なデバイスは既に寿命を迎えていると述べています。AARが警告を無視し続けたため、CISAは公式に勧告を発行し、一般市民に警告せざるを得ませんでした。これによりAARは前進し、昨年4月にはアップデートを発表しました。しかし、導入は遅々として進んでおらず、早くても2027年が目標となっています。
Google ニュースで Tom's Hardware をフォローすると、最新のニュース、分析、レビューをフィードで受け取ることができます。「フォロー」ボタンを忘れずにクリックしてください。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ジョウィ・モラレスは、長年のテクノロジー業界での実務経験を持つテクノロジー愛好家です。2021年から複数のテクノロジー系出版物に寄稿しており、特にテクノロジー系ハードウェアとコンシューマーエレクトロニクスに興味を持っています。
