列車ハッキング、20年越しに正式な注目を集める：研究者

米国サイバーセキュリティ庁（CISA）は、列車のブレーキを操作・改ざんできる脆弱性を公表しました。

CISAは先週、CVE-2025-1727についての勧告を発表しました。これは、エンド・オブ・トレイン（End-of-Train）およびヘッド・オブ・トレイン（Head-of-Train）と呼ばれるシステムで使用されるリモートリンクプロトコルに影響を与える問題です。

エンド・オブ・トレイン（EoT）デバイスは、フラッシング・リア・エンド・デバイス（FRED）とも呼ばれ、列車の最後尾に設置され、機関車にあるヘッド・オブ・トレイン（HoT）と呼ばれるデバイスにデータを送信するよう設計されています。このシステムは車掌車の代替として導入され、列車の最後尾から状態データを取得するために使用されます（特に長い貨物列車で有用）が、列車の後部でブレーキを作動させるコマンドも受信できます。

CISAの勧告によると、問題はEoTとHoTを無線信号でリモート接続するプロトコルが安全でなく（認証や暗号化が行われていない）、攻撃者がソフトウェア無線を使って細工したパケットを送信することでEoTデバイスにコマンドを送れる点にあります。

「この脆弱性を悪用されると、攻撃者が独自のブレーキ制御コマンドをエンド・オブ・トレインデバイスに送信でき、列車の急停止を引き起こし運行の妨害やブレーキ故障を誘発する恐れがあります」とCISAは述べています。

同庁は、研究者のニール・スミス氏とエリック・ロイター氏にこの脆弱性の発見をクレジットしています。スミス氏は金曜日、XでCVE-2025-1727に関する追加情報と背景を投稿しました。

スミス氏によれば、彼は2012年に産業用制御システム（ICS）のセキュリティ研究をICS-CERT（CISAの前身）と行っていた際にこの問題を発見しました。研究者とICS-CERTはその後数年にわたり、アメリカ鉄道協会（AAR）と協力して脆弱性の修正を試みましたが、合意には至りませんでした。

スミス氏によると、AARは実験室環境だけでなく実際の現場で脆弱性の影響が証明されることを望んでいましたが、それは潜在的な影響の大きさから困難でした。

「500ドル未満のハードウェアを使い、非常に遠隔から列車のブレーキコントローラーを遠隔操作することが可能です。ブレーキ故障を誘発して脱線させたり、全国の鉄道システム全体を停止させることもできるでしょう」とスミス氏は述べ、脆弱なデバイスは旅客列車にも存在すると付け加えました。

研究者とAARの意見の対立は2016年に頂点に達し、Boston Reviewがスミス氏の調査結果に基づく記事を掲載し、鉄道業界が利益のために安全を危険にさらしていると非難しました。数日後、AARはスミス氏の主張に反論し、記事は不正確かつ誤解を招く内容だと述べました。

CISAから脆弱性発見の功績を認められたもう一人の研究者、エリック・ロイター氏は2018年にこの問題を発見し、DEF CONカンファレンスで技術的詳細を公開しました。しかし、スミス氏によれば、AARは再び何の対応も取りませんでした。

さらにスミス氏は、最近になって実は同じ弱点が20年前の2005年に最初に発見され、AARに報告されていたことを知ったと述べています。

研究者によれば、先週CISAが発表した勧告は、彼が2024年に調査結果を再提出したことの結果です。同庁は影響を受けるベンダーやAARに連絡を取ったものの、再び問題は軽視されたとされていますが、最終的にAARは対応を取ると発表しました。

CISAの勧告では、実際に悪用された証拠はないとしつつも、プロトコルを担当する標準化委員会が脆弱性を認識し対策を検討していること、AARは「従来のエンド・オブ・トレインおよびヘッド・オブ・トレインデバイスを置き換える新しい機器とプロトコルの導入を進めている」と指摘しています。

最近のプレスリリースによれば、約25,000台のHoTと45,000台のEoTデバイスがアップグレードを必要とし、そのプロセスは2026年に開始される予定です。

サイバーセキュリティ業界は長年、列車がハッカー攻撃に脆弱であると警告してきており、その脅威は理論上のものではありません。近年、直接的・間接的なサイバー攻撃によって鉄道システムに混乱が生じています。

2023年の事件では、ポーランドで20本の列車が妨害されました。これは、列車に停止を指示する無線コマンドを送信するハッキングによるもので、制御信号が既知の暗号化されていない無線周波数で列車に送信できるという単純な手口を利用していました。

SecurityWeekはAARにコメントを求めており、回答があれば本記事を更新します。