列車のハッキングを可能にする脆弱性、20年越しに注目浴びる（CVE-2025-1727）

nosa

2025.07.15

7月15日：サイバーセキュリティ関連ニュース

列車のハッキングを可能にする脆弱性、20年越しに注目浴びる（CVE-2025-1727）

SecurityWeek – July 14, 2025

米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）が先週、列車のブレーキの操作または干渉に悪用される可能性がある脆弱性CVE-2025-1727についてアドバイザリを公開した。

この脆弱性は、列車の最後尾と先頭に設置されるエンド・オブ・トレイン（EoT）、ヘッド・オブ・トレイン（HoT）両装置で使われるリモートリンクプロトコルに影響を与えるもの。車掌車の代わりに導入されたEoTはフラッシング・リア・エンド・デバイス（FRED）とも呼ばれるシステムで、列車の最後尾からHoTにデータを送信する、あるいは最後尾にブレーキをかけるコマンドを受信できるようになっている。

CISAのアドバイザリによると、EoTとHoTを無線信号で遠隔接続するプロトコルが安全ではない（認証や暗号化が使用されていない）ため、「攻撃者が独自のブレーキ制御コマンドをEoTデバイスに送信できる可能性があり、列車が突然停止して運行に支障をきたしたり、ブレーキが故障したりする可能性がある」という。この脆弱性を発見したのは研究者のNeil Smith、Eric Reuter両氏で、Smith氏は12日、Xの投稿でCVE-2025-1727に関する詳細と背景情報を共有した。

Smith氏によると、この問題は2012年にCISAの前身であるICS-CERTで産業用制御システム（ICS）のセキュリティ研究を行っていた際に発見したとのこと。その後の数年間、ICS-CERTや米国鉄道協会（AAR）と協力して修正に取り組んだが、意見の一致には至らなかったとされる。一方、Reuter氏も2018年にこの問題を発見し、DEF CONカンファレンスで技術的な詳細を公開したものの、AARはやはり何の措置も取らなかったようだ。さらにSmith氏は、同じ脆弱性が実際には20年前の2005年に初めて発見され、AARに報告されていたことを最近知ったと指摘している。

AARは今回の脆弱性についてCISAから連絡を受けた際、この問題を再び軽視したとされるが、最終的には措置を講じると発表。今のところ実際に悪用された形跡は確認されていないものの、アップグレードが必要なEoTは約25,000台、HoTは約45,000台とされ、そのプロセスが2026年に開始予定となっている。

列車がハッキングに対して脆弱なことは数年前から警告されており、2023年にはポーランドで列車20本が運休するインシデントが発生している。

英国が新たな脆弱性調査プログラムを立ち上げ　外部専門家との関係を強化

BleepingComputer – July 14, 2025

英国国家サイバーセキュリティセンター（NCSC）は、外部のサイバーセキュリティ専門家との関係強化を図るために新たな脆弱性調査イニシアチブ（VRI）の設立を発表した。

NCSCは幅広い技術に関する内部的な脆弱性調査をすでに実施しており、今後もこれを継続していくものの、新しくVRIを立ち上げることにより、重要な知見の発見とコミュニティへの共有をより迅速に進めるプログラムが併設される。VRIはNCSCと外部の優れたサイバーセキュリティ研究者による組織的な結び付きを深めると共に、英国のソフトウェア／ハードウェアの脆弱性を特定し、セキュリティを理解する能力の向上を目的としているという。

NCSCはまた、脆弱性調査に使用したツールと方法論の詳細を研究者から提出してもらい、効果的な実践の枠組みの構築に役立てるとのこと。さらにはAIを活用した脆弱性発見など、新たな専門分野においてもより多くの専門家を関与させる計画だと説明している。