出典:PRILL Mediendesign(Alamy Stock Photo経由)
研究者たちは、列車の運転士にブレーキをかけるよう指示する信号を偽装する方法を解明し、さまざまな危険な攻撃シナリオへの道を開いた。
大型の列車が線路上を障害物に向かって進んでいるとき、運転士だけに頼ることはできない。人為的ミスを考慮し、緊急時には列車自体に組み込まれたシステムが自動的に列車を停止させる必要がある。
しかし、世界のほとんどの国で、これらの安全システムは非常に古く、時代遅れだ。例えばスペインでは、主要な列車保護システム「Anuncio de Señales y Frenado Automático(ASFA)」は1960年代にさかのぼる。「60年代には、信号システムに侵入しようとするハッカーはいなかった。なぜなら、人々は他のことをしていたから」とTechFrontiers共同創設者のガブリエラ・ガルシアは語る。最近、彼女とTechFrontiers共同創設者のデイビッド・メレンデスは、現代のハッカーがこれを試みた場合どうなるかをテストした。
ロンドンで開催されるBlack Hat Europe 2025の今後のプレゼンテーションで、彼らはこの実験の結果について議論する予定だ。結論としては、システムの詳細な知識や高価なツールがなくても、安全信号を簡単に操作し、生命を脅かす結果を引き起こすことができたという。
彼女によれば、今日のほとんどの安全システムは「非常に安全とは言えない。なぜなら、作られた当時は(セキュリティが)考慮されていなかったからだ。私たちは公共機関を非難するつもりはない。ただ、今こそこれらのシステムをすべて変える時だと警鐘を鳴らしたいだけだ。」
アナログ列車信号システムの仕組み
線路の細部に目を向けてみると、単なるレールと枕木だけではないことに気づくだろう。
例えばバラストと呼ばれるものがある。これは線路全体に敷かれた小石の層で、水はけを良くし、重量を分散し、列車の安定走行を助ける。そして、線路沿いには時折、ノートほどの大きさで、枕木と区別できる色に塗られた箱のようなものがある。これらは「バリス」と呼ばれる。
バリスは受動的な信号ビーコンで、特定の周波数で共鳴するように設定されており、それぞれ特定の列車信号に対応している。列車がバリスの上を通過すると、両者は誘導結合を行い、最終的に運転士に進行、減速、停止、またはその他の指示を与える。
したがって、バリス信号システムの信頼性は、列車に乗っている人や近くにいる人すべての安全にとって極めて重要だ。それがスペイン在住のガルシアとメレンデスの関心を引いた理由である。「スペインでは列車に関する公共のテロ事件がいくつか発生している。アメリカの飛行機のように、スペインでは非常にセンシティブな問題だ。」
列車信号の妨害
自国のASFAシステムをどのように操作できるかを調べるため、ガルシアとメレンデスは列車とバリス間の誘導結合を粗く再現した。メレンデスは「誰からも機材や支援を受けられなかったので、公的な文書から推測できる範囲でシステム全体を再現しなければならなかった」と振り返る。彼らは結局、リサイクルの食品缶に巻いた銅線、古い電源から取り出したコンデンサで作った回路、アリエクスプレスで買った安価な信号発生器など、ほとんどゴミ同然のもので実現した。
ASFAはあまりにも原始的かつアナログなため、セキュリティ保護が一切ない。したがって、彼らは模倣したバリスを正しい周波数に合わせるだけで、実際の列車と通信できた。手持ちの段ボール製デバイスで、走行中の列車を停止させたり、偽の速度指示を出したり、さらに悪質なことも可能だった。
また、線路に設置された正規のバリスを改ざんすることでも同様の結果を引き起こせた。スペインでは、バリスへの配線は単なるプラスチックチューブで保護されているだけだ。動機があれば、誰でもその配線にアクセスし、ポータブル電源のようなものでバリス信号の周波数を操作できる。
これらの発見は、誘導結合にバリスを使う世界中の他の鉄道システムにも当てはまる。ガルシアは「ドイツ、イギリス、アメリカのアムトラック、スペインなど、さまざまなレガシー鉄道システムを調査したが、スペインのものが最も堅牢だった」と振り返る。
現代の鉄道システムはより安全か?
1990年代、ヨーロッパが大陸全体を結ぶ国際鉄道システムを計画し始めた際、欧州連合(EU)は欧州鉄道交通管理システム(ERTMS)を導入し、その信号部分が欧州列車制御システム(ETCS)となった。ASFAと同様、ETCSもバリスを使って線路状況や速度制限の情報を列車に伝える。また、これに加えて2つの継続的な通信・制御レベルを備えている。
ASFAのようなアナログシステムが主流だが、ERTMS/ETCSは主に大陸の現代的な高速鉄道路線で使われている。ASFAの調査を終えたガルシアとメレンデスは、同様の原理でERTMS/ETCSも操作できるかどうか疑問に思った。
この研究が大陸規模で重大な影響を持つことから、彼らは詳細をDark Readingには明かさず、プレゼンテーションの場まで取っておくことにした。ただし、そのシステムにもリスクがあることを示唆した。
メレンデスの説明によれば、「欧州のシステムは(信号の)概念を拡張し、線路のあらゆる側面を含むようになっている。システムは線路の形状や、列車が上り坂か下り坂かなども伝えることができる。つまり、ビーコンから取得されるデータははるかに高度で、それはアナログではなくデジタルシステムだからだ。」
その追加機能とともに、デジタル妨害や偽装、リレー攻撃、改ざん、さらにはデータ窃盗など新たなリスクも生じる。運転士がERTMSを無効化し、脆弱なASFAシステムに戻す理由が生じる場合もある。
ガルシアは、これらのシステムを実際に安全にするのは非常に困難で、政治的な反発も予想されると認めている。「信号システムを変更するには莫大な費用がかかる。また、膨大な作業と時間も必要だ。権力のある立場にいると、戦うべき課題を慎重に選ばなければならない。その状況は理解しているが、今この瞬間、鉄道のセキュリティが非常に重要だと強調したい。」
翻訳元: https://www.darkreading.com/ics-ot-security/critical-railway-braking-systems-tampering
