前年の夏季の間、ルクセンブルク主権国家は、複数時間にわたる国内通信網のほぼ完全な壊滅的崩壊を経験しました。この基盤施設障害は、ファーウェイのコアエンタープライズ・ルーティング・ハードウェア内に存在する、これまで未公開であったゼロデイ脆弱性を悪用した敵対的侵入によって引き起こされたことが後に検証されています。このシステム的麻痺は、市民の携帯電話およびアナログ電話通信ネットワークへのアクセスを完全に遮断し、重大な作戦窓口の間に医療および救急通信機能を悲劇的に孤立させました。
構造的な障害は、2025年7月23日の営業日の夕刻に現れました。国営通信独占企業のPOSTルクセンブルクは、公開交換電話網(PSTN)および4G/5G(第4世代および第5世代)モバイルラジオアクセス層全体にわたって瞬時の非同期化を経験しました。基本的なネットワーク復旧対応により、3時間に及ぶ壊滅的な停電後にシステムは安定化し、地域の緊急対応拠点への数百件の滞留していた遭難信号の大量流入がトリガーされました。
Recorded Future Newsが公表した調査報告書によると、悪意あるベクトルはファーウェイエンタープライズ・エッジ・ルーターを統制するファームウェア層を具体的に標的にしました。攻撃者は、ハードウェア機器を中断不可能な循環的再起動ループに効果的にトラップする、綿密に設計されたネットワーク・ペイロードを導入し、POSTルクセンブルクのコア・スイッチング・ファブリック内の重要なトランジット・ハブ全体にわたるカスケード的なサービス不可攻撃を引き起こしました。
POSTルクセンブルクの企業通信責任者ポール・ラオシュは、この大惨事が特定のネットワーク・ノードに向けられた高度に専門化されたサービス不可(DoS)作戦であることを確認しました。ラオシュは、侵入者が、実行時点での製造元ホットフィックスまたは防御的軽減策が存在しない「未公開の非公開動作異常」を兵器化したことを明かし、このイベントが以前にインデックス化された過去のCVEレジストリから明確に分離されていることを明示しました。
国家調査に関する機密法医学ブリーフィングに精通した情報筋は、ネットワーク侵入がヘッジされていないゼロデイ悪用を利用していたことを確認しました。興味深いことに、この脆弱性は公開開示チャネルから完全に欠落したままです。インシデント後10ヶ月が経過しても、欠陥はいまだに正式なCVE指定を受けておらず、同一のハードウェア基盤施設を運用する隣接通信事業者は、公式な帯域外防御アドバイザリーがまったくない状態で運用されています。
ラオシュの証言によると、ファーウェイの企業エンジニアリング部門はPOSTルクセンブルクに対し、当該企業が世界規模のクライアント・ポートフォリオ全体にわたってそのような悪用トポロジーを過去に記録したことはなく、この脅威を中和するための先制的パッチ論理を保有していないと通知しました。
ルクセンブルク規制当局は、当初、デジタル侵入を「例外的に高度で超洗練されたサイバー攻撃」と特徴付け、当初この異常を標準的な分散型サービス不可(DDoS)イベントとして分類しました。しかし、POSTルクセンブルクはその後この技術的説明を改良し、境界線の障害が、イデオロギー的に動機付けられたハッキング活動家集団または機会主義的なサイバー犯罪シンジケートによって一般的に展開される容積的トラフィック飽和キャンペーンでは明確にないことを明確にしました。
州検察局は、高度に不正形式化されたデータ・パケットがPOSTルクセンブルクの取り込みパイプラインを正常に通過したことを指摘しました。破損したフレームを優雅に破棄または転送する代わりに、オペレーターの解析ロジックは致命的なシステム障害をトリガーし、コア・オペレーティング・システムに即座のハードウェア再循環を強制しました。最終的に、司法調査官は、POSTルクセンブルクがカスタムメイドのサイバー・スパイ活動の明確な意図された標的であったことを確立するための経験的証拠は不十分であると結論づけ、その結果、刑事起訴は提起されませんでした。
インフラ崩壊の直後に、ルクセンブルク行政機関とファーウェイエンジニアはシステム的クラッシュの低レベル・メカニクスを分析するための一連の非公開技術サミットを招集しました。同時に、主権サイバーセキュリティ執行機関は、侵害の局所指標(IoCs)をヨーロッパコンピュータ緊急対応チーム(CERT)に送信するために、セキュアな政府間チャネルを活用しました。それにもかかわらず、業界全体的な公共透明性指令は顕著に欠落したままです。
POSTルクセンブルクは、関連する法医学メタデータをハードウェア・ベンダーに勤勉に流出させた一方で、調整された公開脆弱性開示を統制する権限はその行政的範囲外にあると主張しました。ルクセンブルクの国家保護高等委員会を代表するアン・ユングは、標準的な国際プロトコルが、CVEパラメーターを生成および割り当てるという最終的な決定が元の製造元に排他的に存在することを定めていることを再確認しました。
ファーウェイは消費者向け製品ラインに関するセキュリティアドバイザリーを予測可能なペースで公表し続けている一方で、技術大手は最近のサイクルにおいてエンタープライズグレード・キャリア・ネットワーク・ポートフォリオ内の重大欠陥に関する公開報告パイプラインを体系的に縮小しています。代わりに、ベンダーは技術的緩和およびアドバイザリー・ブレティンを限定的な企業ポータルの背後で認証されたクライアントにのみ配布しています。初期停電後10ヶ月が経過した今、基礎となるゼロデイが包括的にパッチ検証されたかどうか、多くの主権通信ネットワークがこの悪用ベクトルに積極的に露出したままであるかどうか、および平行なファーウェイコア・ルーティング環境がこの実存的建築的脆弱性を引き続き抱えているかどうかは、深く曖昧なままです。
