Critical PX4 Autopilot Vulnerability Let Attackers Gain Control of Drones
2026/04/02 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が、PX4 Autopilot システムにおける深刻な脆弱性に対して、高優先度の警告を発出した。この欠陥を突く攻撃者により、重要インフラ分野で使用される無人航空機 (UAV) およびドローンが完全に乗っ取られる恐れがある。この脆弱性 CVE-2026-1579 (CVSS 9.8) は、ドローン飛行ソフトウェア内における重要機能に対する認証の欠如に起因する。
攻撃の仕組み
PX4 Autopilot は、ドローンおよび自律移動体の制御において、世界中で利用されるオープンソース飛行制御ソフトウェアである。
この脆弱性は、MAVLink インターフェイスを介した通信処理に存在する。MAVLink とは、ドローンと地上制御ステーション間でコマンドおよびテレメトリデータを送受信するためのメッセージング・プロトコルのことである。
2026年03月31日に公開された CISA アドバイザリ (ICSA-26-090-02) によると、MAVLink インターフェイスへアクセスできる攻撃者は、この欠陥を悪用してセキュリティ・チェックの回避を可能にする。
このシステムは、重要コマンドに対する暗号認証を要求しないため、攻撃者は任意のシェル・コマンドの実行が可能となる。
攻撃者はドローンの通信経路を傍受し、パスワードやセキュリティ・キーを必要とせずに不正な命令を送信し、飛行制御を乗っ取ることが可能となる。
この欠陥の現実的な影響は、きわめて重大である。スイスに拠点を置く PX4 Autopilot は、グローバル市場における機密性の高い重要インフラ分野で使用されている。
影響を受ける主な分野は、以下の通りである:
輸送システム
緊急サービス
防衛産業基盤
これらの環境で運用されるドローンに、リモート乗っ取りが発生した場合には、監視データの窃取/緊急対応の妨害/防衛作戦の侵害などが発生する可能性がある。この脆弱性が影響を及ぼす範囲は、PX4 Autopilot バージョン v1.16.0_SITL_latest_stable である。
このオープンソース飛行制御ソフトウェアを利用する組織/運用者は、ネットワーク・アーキテクチャの見直しを強く求められる。
パッチ提供までの間、管理者にとって必要なことは、MAVLink インターフェイスへのアクセスを信頼済みネットワークおよびユーザーに限定することである。
PX4 エコシステムを利用するドローンの運用者と組織は、公式情報の更新を継続的に監視し、提供されるパッチを速やかに適用し、不正アクセスから通信経路を保護する必要がある。
この欠陥は、サイバーセキュリティ企業 Cyviation のセキュリティ研究者 Dolev Aviv により発見され、CISA へ報告された。
訳者後書:重要インフラや防衛産業で広く利用されている、ドローン用オープンソース飛行制御ソフトウェア PX4 Autopilot に発見された、きわめて深刻な脆弱性 CVE-2026-1579 (CVSS 9.8) について解説する記事です。この問題の原因は、ドローンと地上制御ステーションを結ぶ通信プロトコル MAVLink において、重要な命令を実行する際の認証プロセスが欠落していたことにあります。ウクライナやイランの戦争で多用されているドローンであるため、とても気になる脆弱性です。
IoT OT Security News 
You must be logged in to post a comment.