[レポート]レガシー鉄道信号システムの悪用 - CODE BLUE 2024 #codeblue_jp
こんにちは、臼田です。
みなさん、セキュリティ対策してますか?(挨拶
今回はCODE BLUE 2024で行われた以下のセッションのレポートです。
レガシー鉄道信号システムの悪用
自動列車停止装置(ATS)は、世界中で広く展開されており、地域や国ごとの技術に合わせてさまざまなアプローチが採用されているが、その多くは数十年前に確立された旧式のシステムを統合している。本講演では、これらのシステム内の脆弱性に焦点を当て、日本のATSやヨーロッパ、特にスペインのASFAシステムを中心に、ライブデモを通じて紹介する。内部メカニズムを分析し、低コストの部品で構築したデコイ装置がどのようにして不正な信号を生成し、列車の運行を操作できるかのデモを紹介する。
Speakers: David Melendez
レポート
- 今日のテーマは鉄道のセキュリティ
- ダークテリトリーと呼んでいる
- Gabriela Garciaと共同で取り組んだが今回は1人で発表している
- このプロジェクトは一緒に取り組んでいるものである
- ダークテリトリーとは
- 鉄道の分野ではコントロールが効かない、つまり中央制御が効かない場所ということ
- すべての鉄道ネットワークは指令所とつながっているとは限らない
- 特に遠隔地
- 鉄道は線路の上を走るが次の人がいる駅に到達するまで把握できていない
- レールウェイブロックとはなにか
- 鉄道のレールはブロックに別れている
- 2台の列車が衝突しないようになっている
- ある区画に置いて1つの車両しか存在してはいけないことになっている
- 走っているとそのセクションがブロックされる
- 2台目の列車が入らないようにブロックするという意味
- トラックの走っているセクションを分ける
- 駅と駅の間や、その間自体も細かくセクションを分けられる
- 我々は信号を活用して制御する
- 信号が赤になると後続の列車が入れなくなる
- これはわかりやすい話
- 列車が次のセクションに行ったらそのセクションはリリースされる
- 次の列車が入ってもいい
- 昔ながらの鉄道のトラッキングとして車軸カウンターが使われてきた
- 車軸がいくつ通ったかを計測している
- 車両がいくつかの車軸がある
- 最終体にセクションを離れたことを判断する
- ブロッキングのやり方
- トークンを使う
- 運転手がいてトークンが渡されて次の場所に持っていく
- もう使われていない
- 電話を使うブロッキングシステム
- 駅のスタッフが隣の駅に電話する
- 電子的なやり方
- 自動的に流れをコントロールする
- 流量コントロール・フローコントロールという
- 信号がコントロールされる
- 複線の場合
- それぞれで状態を管理する
- 双方向の自動ブロックが現在一番メジャーな方法
- コマンド&コントロールで全て追跡している
- トークンを使う
- 本題のASFAの話
- 正確に信号を見れなかったらどうなるか
- 良くないことが起こる
- 20世紀に開発者はそのような状態を恐れた
- 解決するためにシステムを開発した
- 運転手が誤った信号認識をすることを防止する仕組みを作った
- 色んな国でいろんなものが作られたが多くの共通点がある
- スペインでの事例
- 信号及び自動システム(ASFA)が作られた
- 列車と線路上に装備されている
- 構成
- 信号はボックスに接続されている
- ボックスはコマンド&コントロールにつながっている
- レールのものはビーコンと呼ばれている
- 列車にはアンテナがある
- プロセッサが信号を解釈してコンソールにつながっていて運転手が見れる
- 運転手はどのシグナルかボタンを認識する
- ボタンを押さなかったり間違えるとブレーキにつながる
- 安全のための設計
- ASFAタイプ
- 50年以上前に作られてレガシー
- しかし堅牢性がある
- L7,L8は赤信号の状態
- L7は運転手に対しての警告
- もう少しで赤になる
- L8はすぐに止まらないといけない
- 列車では信号をどう認識しているか
- それぞれ周波数が異なる
- ASFAには3つのレベルがある
- 3つ目はより多くの周波数が使われている
- 運転手に何が見えているか
- 運転手はASFAからの警告に対応してボタンを押す必要がある
- 正確に信号を見れなかったらどうなるか
- ダークテリトリーの話
- スペインでは時に事故が起こる
- 本来防ぐことができたはずの事故
- 例えば運転手のミスなどのヒューマンエラー
- 信号を適切に認識しなかったり
- 内部でどうなっているか
- ビーコンはアナログ
- コイルになっている
- 特定の周波数で共鳴する
- ビーコンのチューニングをしなければならない
- 赤から緑、緑から赤に変えたい時は静電容量が変わる
- これはリモートで制御する
- リモートでコントロールが効かなければ信号が変わらない
- チャージャーやタグでは非接触の技術が使われている
- ビーコンはアナログ
- ビーコンテスター
- 計器がズレてしまったらどうでしょう?
- 認証はされていません
- 攻撃者はそこに対して攻撃できる
- フェイクビーコンを利用したり
- L8を使えば止まる
- パスワードはない
- 何が必要か
- コイルの誘導と静電容量が必要
- 実際に作ってみる
- 簡単に作れてしまう
- 特定の周波数で共鳴する必要がある
- 調整して赤の信号を出せるようにした
- バッテリーも電気もいらない、コイルを作るだけ
- コンデンサもない
- 別の仕組み
- ATS/IATS/ETCSなど色んな国にある
- これらでも同様の事ができてしまうかもしれません
- 対策はビーコンの仕組みを検討すること
感想
レガシーな仕組みを理解して対応していく必要がありますね。
重要なインフラではレガシーな仕組みが残りがちですが、考えていきたい課題だと思いました。