サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、PX4オートパイロットシステムの深刻な脆弱性に関する優先度の高いアラートを発行しました。
この重大な欠陥により、悪意のある行為者が世界中の重要インフラセクターに配備された無人航空機(UAV)とドローンを完全に乗っ取ることができる可能性があります。
CVE-2026-1579として追跡されているこのセキュリティ欠陥は、ほぼ最大の共通脆弱性評価システム(CVSS)v3.1スコアが10点中9.8です。
CWE-306に分類されるこの脆弱性は、ドローンのフライトソフトウェア内の「重要な機能の認証が不足」エラーから生じています。
CISAは識別子ICSA-26-090-02の下で、2026年3月31日に正式にアドバイザリを公開しました。
PX4オートパイロットは、ドローンおよび他の自動運転車両を管理するために世界的に採用されている広く使われているオープンソースフライトコントロールソフトウェアです。
この脆弱性は、ドローンと地上管制局との間でコマンドとテレメトリーデータを送信するために使用されるメッセージングプロトコルであるMAVLinkインターフェースを通じた通信をソフトウェアがどのように処理するかに存在します。
これは、MAVLink 2.0メッセージ署名が有効でない場合、インタラクティブシェルアクセスを提供するSERIAL_CONTROLコマンドを含む任意のメッセージが、MAVLinkインターフェースへのアクセス権を持つ認証されていない者によって送信される可能性があることを意味します。
そのインターフェースに到達できる攻撃者は、パスワードやセキュリティキーを必要とせずに任意のシェルコマンドを発行でき、実質的にフライトコントローラーの完全な制御を乗っ取ることができます。
この脆弱性は特にPX4オートパイロットバージョンv1.16.0_SITL_latest_stableに影響を与えます。
スイス本社のPX4オートパイロットシステムは世界中に配備されており、CISAは影響を受ける重要インフラセクターが以下を含むことを確認しています:
これらの環境でのリモートドローン乗っ取りの成功は、盗まれた監視データ、混乱した緊急対応活動、または侵害された防御活動につながる可能性があります。
この重大な欠陥は、航空サイバーセキュリティ企業Cyviationのセキュリティ研究者Dolev Avivによって発見され、CISAに責任を持って報告されました。
Cyviationは、航空通信システムにおけるサイバー脅威を対象としたプロアクティブインテリジェンスおよび監視ソリューションを専門としています。
CISAとPX4は、すべてのオペレーターと組織に対して、直ちに防御措置を講じるよう促しています:
公開時点では、この脆弱性を特に狙った既知の公開エクスプロイトはCISAに報告されていません。
しかし、重大なCVSSスコアと関係する機密セクターを考慮すると、PX4エコシステムに依存するドローンオペレーターは、これを緊急の修復優先事項として扱うべきです。
翻訳元: https://cyberpress.org/critical-px4-autopilot-flaw-lets-hackers-take-control-of-drones/