## PX4 Autopilotの認証バイパス、重要システムを危険に晒す セキュリティ研究者により、ドローンやその他の無人機に広く使用されているオープンソースのフライトコントロールソフトウェアであるPX4 Autopilotに、重大な脆弱性が特定されました。この脆弱性、CVE-2026-1579は、MAVLink通信プロトコルにおける必須の暗号認証の欠如に起因しています。 ### 脆弱性の詳細 この脆弱性は、MAVLinkプロトコルのデフォルト設定に存在します。MAVLink 2.0メッセージ署名が有効になっていない場合、MAVLinkインターフェースにアクセスできる攻撃者は、インタラクティブなシェルアクセスを提供する`SERIAL_CONTROL`コマンドを含む任意のメッセージを送信できます。これにより、実質的にいかなる形式の認証もなしにリモートコード実行が可能になります。 PX4は、暗号認証メカニズムとしてMAVLink 2.0メッセージ署名を提供しており、この機能を有効にすることで、プロトコルレベルで署名されていないメッセージを拒否し、リスクを軽減できます。 ### 影響 この脆弱性が悪用された場合、特に無人システムに依存する重要インフラストラクチャ分野において、深刻な結果をもたらす可能性があります。CISAによると、影響を受ける分野は以下の通りです。 * 輸送システム * 緊急サービス * 防衛産業基盤 PX4 Autopilotのグローバルな展開を考慮すると、この脆弱性は広範なリスクをもたらします。 ### 技術的内訳 * **CVE:** CVE-2026-1579 * **CWE:** CWE-306 重要機能に対する認証の欠如 * **CVSS v3 スコア:** 9.8 (Critical) * **影響を受けるバージョン:** PX4 Autopilot v1.16.0_SITL_latest_stable ### 対策 CISAは以下の緩和策を推奨しています。 * **MAVLink 2.0メッセージ署名を有効にする:** これにより、すべてのMAVLink通信が暗号的に認証されるようになります。 * **ネットワーク露出を最小限に抑える:** 制御システムデバイスがインターネットから直接アクセスできないことを確認してください。 * **制御システムネットワークを分離する:** 制御システムネットワークをファイアウォールの背後に配置し、ビジネスネットワークから分離してください。 * **リモートアクセスを保護する:** VPNなどの安全な方法を使用してリモートアクセスを行い、VPNソフトウェアが最新の状態であることを確認してください。 * **サイバーセキュリティ戦略を実装する:** デフェンス・イン・デプスなどの推奨されるサイバーセキュリティ戦略を実装することで、ICS資産を積極的に保護してください。 ### 報告と謝辞 CyviationのDolev Aviv氏がこの脆弱性をCISAに報告しました。 疑わしい悪意のあるアクティビティを観察している組織は、確立された内部手順に従い、他のインシデントとの相関分析および追跡のためにCISAに調査結果を報告する必要があります。 ### 追加リソース CISAは、cisa.gov/ics のICSウェブページで、さらなるガイダンスと推奨プラクティスを提供しています。また、不審な電子メールメッセージ内のウェブリンクをクリックしたり、添付ファイルを開いたりしないようにするなど、ソーシャルエンジニアリング攻撃から身を守るための対策を講じることをユーザーに推奨しています。