米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、PX4オートパイロットシステムの深刻な脆弱性に関する高優先度アラートを発行しました。
この重大な欠陥により、悪意のある行為者は無人航空機(UAV)と重要インフラストラクチャ部門で使用されるドローンを完全に乗っ取ることができる可能性があります。
CVE-2026-1579として追跡されているこのセキュリティ欠陥は、一般的脆弱性評価法(CVSS)v3スコアで10中9.8という最高値に近いスコアを記録しています。
この脆弱性は、ドローンの飛行ソフトウェア内の「重要な機能の認証不足」エラーに起因しています。
攻撃の仕組み
PX4オートパイロットは、世界中でドローンおよび他の自律型車両を管理するために使用されている人気のあるオープンソース飛行制御ソフトウェアです。
新たに発見された脆弱性は、ソフトウェアがMAVLinkインターフェイスを通じた通信をどのように処理するかに存在します。
MAVLinkはドローンと地上制御局の間でコマンドとテレメトリーデータを送信するために使用されるメッセージングプロトコルです。
2026年3月31日にリリースされたCISAの勧告(ICSA-26-090-02)によると、MAVLinkインターフェイスにアクセスできる攻撃者はこの脆弱性を悪用してセキュリティチェックをバイパスすることができます。
システムが重要なコマンドに対して暗号認証を要求しないため、攻撃者は任意のシェルコマンドを実行できます。
ハッカーはドローンの通信経路を傍受して不正な指示を発行し、パスワードやセキュリティキーなしで飛行制御装置を実質的に乗っ取ることができます。
- 輸送システム
- 緊急サービス
- 防衛産業基盤
これらの環境で運用されているドローンの成功した遠隔乗っ取りは、盗まれた監視データ、緊急対応の中断、または防衛作戦の損害につながる可能性があります。
この脆弱性は、特にPX4オートパイロットバージョンv1.16.0_SITL_latest_stableに影響を与えます。
このオープンソース飛行制御ソフトウェアを利用している組織とオペレータは、ネットワークアーキテクチャを厳密に確認することを強く推奨します。
パッチが導入されるまで、管理者はMAVLinkインターフェイスへのアクセスを信頼されたネットワークとユーザーのみに制限する必要があります。
この重大な欠陥は、サイバーセキュリティ企業Cyviation出身のセキュリティ研究者Dolev Avivによって発見され、CISAに報告されました。
ドローンオペレータおよびPX4エコシステムに依存している組織は、更新に関する公式チャネルを厳密に監視し、不正アクセスからドローン通信リンクを保護するための防衛措置を直ちに実装する必要があります。
翻訳元: https://gbhackers.com/critical-px4-autopilot-vulnerability/
