ファーウェイルーターソフトウェアのゼロデイ脆弱性は、昨年ルクセンブルクで全国的な通信麻痺を引き起こした原因とされている

事情に詳しい複数の関係者によると、ルクセンブルクの国営通信ネットワークの広範囲を麻痺させた昨年の大規模事件は、攻撃者がファーウェイのエンタープライズルーターソフトウェアにある未公開のゼロデイ脆弱性を悪用したことによって引き起こされ、全国のモバイル通信、固定電話、緊急連絡システムが3時間以上中断された。この脆弱性はいかなるパブリック チャネルでも正式に公開されたことはなく、世界的に受け入れられている脆弱性ライブラリで CVE 番号も割り当てられていません。同様の機器を運用している他の通信事業者は、公的警告を受けていません。

POST ルクセンブルクは、事故の直接の影響を受けた事業者です。ルクセンブルク国が管理する電気通信会社です。同社コミュニケーション責任者のポール・ラウシュ氏は、この事件は「非公開で文書化されていないシステム動作」を悪用したネットワーク機器に対するサービス妨害（DoS）攻撃だったと述べた。事件当時は利用可能なパッチはなく、「既知の脆弱性や以前に文書化された脆弱性とは無関係」だった。同氏は、ファーウェイはその後ポストに対し、これまで顧客ネットワークに対して同様の攻撃に遭遇したことがなく、既製の解決策も持っていないと述べたと述べた。

機密説明を受けた複数の関係者は、この事件はゼロデイ攻撃だったと述べた。現時点では同じ攻撃が再び発生したという証拠はありませんが、この欠陥の技術的原因はまだ公的に説明されておらず、関連する問題についてファーウェイは積極的に認めたことはありません。報道によると、ファーウェイは記事掲載前に記者らから詳細な問い合わせを受けたが、返答はなかったという。

この事故は、2025 年 7 月 23 日の終わり近くに発生しました。当時、POST の固定電話ネットワークと 4G および 5G モバイル ネットワークが同時に麻痺し、事故が続く間、数十万人の住民が緊急電話をかけることができなくなる可能性がありました。調査の結果、この問題は、ファーウェイのエンタープライズルーターを継続的な再起動ループに閉じ込める慎重に作成されたネットワークトラフィックによって引き起こされ、POSTコアネットワークの主要ノードが繰り返しクラッシュし、全国的な通信停止を引き起こしたことが明らかになりました。ネットワークは事件発生から3時間以上経過して徐々に復旧し、同​​国の緊急コールセンターには短期間に数百件の新たな通報があった。

事件当時、ルクセンブルク政府はこの事件を「異常に高度かつ洗練されたサイバー攻撃」と説明した。 POSTは、この声明は主に脆弱性を悪用するために必要な技術的能力に言及しており、従来の意味でのトラフィックのピークでシステムを圧倒する大規模なDDoS攻撃ではないと述べた。政府は当初、この事件を分散型サービス妨害（DDoS）攻撃として特徴付けていたが、その後、POSTは、これがハクティビストやサイバー犯罪者が一般的に使用する大量トラフィック攻撃手法ではないと明らかにした。

ルクセンブルク検察の報道官は、警察とサイバーセキュリティ専門家が実施した捜査で、「改ざんされたデータ」がインターネットサービスプロバイダーのPOSTを通じて転送され、このデータは「あらゆる標的サーバーに対する攻撃に使用できる」ことが判明したと述べた。しかし、このインシデントでは、データが正常に転送されず、POST システムの異常な動作が引き起こされ、動作が停止して再起動されました。ルクセンブルク国民保護高等弁務官事務所の報道官は、最終調査では「ルクセンブルクポストを特定の標的として意図的に攻撃が開始されたという証拠は見つからなかった」と述べた。刑事告訴はされていない。

上記の調査結果は、全国的な麻痺の原因は、悪意を持って構築されたネットワーク トラフィックがインターネットを通過する際に POST インフラストラクチャを「通過」したことにある可能性があることを示しています。しかし、ファーウェイのルーターは、従来の機器のように単にデータを転送するのではなく、未公開の障害状態を引き起こし、機器の動作停止と再起動を繰り返し、それを全国規模のインシデントに拡大しました。報告書は、ファーウェイが自社開発したVRPネットワークオペレーティングシステムが過去にCVE-2021-22359やCVE-2022-29798など、慎重に構築されたプロトコルトラフィックに関連するサービス拒否の脆弱性を経験していると指摘した。他の大手ネットワーク機器メーカーの製品にも同様の欠陥が見られます。不正なトラフィックにより、機器のクラッシュ、繰り返しのリロード、さらには日常の通信を処理する際の遠隔侵入が引き起こされる可能性があります。しかし、POSTは、ルクセンブルクでの事件は、以前に公表されたファーウェイの脆弱性とは無関係であると強調した。

この報告書は、より広範な「開示ギャップ」の問題にも焦点を当てています。近年、ファーウェイは依然として一部の消費者製品に対してCVE番号を提出しているが、エンタープライズレベルのネットワークソフトウェアに関する公開脆弱性情報はますます不足している。既存の公開事例のほとんどは、メーカーが積極的に公開するのではなく、独立したセキュリティ研究者によって公開されています。同社は引き続きエンタープライズ セキュリティ アドバイザリを顧客に発行していますが、これらのアドバイザリは業界全体の公開アドバイザリとしてではなく、制限された顧客ポータルを通じてのみ入手可能です。たとえば、ファーウェイは先月、CVE 番号なしでポータルを介したパケット解析に関わるサービス拒否の脆弱性に関するセキュリティ勧告を発行しました。現時点では、この発表がルクセンブルク事件に関連しているという証拠はありません。

攻撃後、ルクセンブルクは事件の原因を究明するためにファーウェイと一連の技術会議を開催した。ルクセンブルクのサイバーセキュリティ当局は、既存の政府協力チャンネルを通じて、ヨーロッパ全土の協力的な緊急対応チームに関連状況を伝えています。しかし、今日に至るまで、この重大なゼロデイ脆弱性に対して正式に CVE が提出されていないため、世界のサイバーセキュリティ コミュニティは完全な公的警告を受けていません。

CVE番号の提出責任が誰にあるのかという問題に関して、ルクセンブルク国家保護高等委員会の広報担当者は、一般的な開示プロセスによれば、決定は製造業者にあると述べた。 POSTは、同社は技術情報を関係者に提供しているが、それを外部にどのように開示するかを決定する権利はないと述べた。報告書は、ファーウェイが国中の通信を妨害した脆弱性に対するCVEをなぜ公表しなかったのかという問い合わせに応じなかったと指摘した。事件から10か月が経った今でも、外部の世界は、脆弱性が完全に修正されたかどうか、世界中で何人の通信事業者がリスクにさらされているか、今もリスクにさらされているのか、現在同様のファーウェイのシステムを実行しているネットワーク機器に依然として危険が潜んでいるかどうかをまだ知りません。