MagLink LX・Franklin TS-550などATG製品に重大脆弱性発覚｜Bitsight・主要ベンダーの燃料タンク監視システムがサイバー攻撃リスク

2025年4月30日7:52

サイバーセキュリティニュース

MagLink LX・Franklin TS-550などATG製品に重大脆弱性発覚｜Bitsight・主要ベンダーの燃料タンク監視システムがサイバー攻撃リスク - innovaTopia - （イノベトピア）

Last Updated on 2025-04-30 10:49 by admin

2025年4月、米国サンフランシスコで開催されたRSAカンファレンスにて、Bitsight Technologiesの主任研究科学者Pedro Umbelino氏が、燃料タンク監視用の自動タンクゲージ（ATG）システムに深刻な脆弱性が存在することを発表した。

この脆弱性は、世界中のガソリンスタンドや燃料貯蔵施設、空港、病院、軍事基地などで稼働するATGシステムに影響し、米国だけでもインターネット経由でアクセス可能なATGが11,000台以上存在する。

主要メーカーはGilbarco Veeder-Root、Dover Fueling Solutions、Franklin Fueling Systems、OPW Fuel Management Systems、Alisonicなど。

発見された脆弱性は11件にのぼり、OSコマンドインジェクション、認証バイパス、権限昇格、SQLインジェクションなどが含まれる。

MagLink LXシリーズのCVE-2024-45066およびCVE-2024-43693はCVSSスコア10と評価されている。攻撃者がこれらの脆弱性を悪用した場合、燃料在庫データの改ざん、警報やポンプの無効化、誤った再充填のトリガー、リレーや接続機器の物理的損傷などが発生しうる。

2025年1月にはロシア系ハクティビストによる米国石油施設への侵害も報告されている。

多くのATGシステムはデフォルトパスワード「123456」のまま運用されており、Shodanなどの検索ツールで容易に発見・侵害が可能。アップデートやパッチの適用も現場での物理作業が必要な場合が多く、既にサポート終了となっているモデルも少なくない。

この問題は2015年から指摘されていたが、2022年時点で脆弱なATGの台数は120％増加しており、状況は悪化している。現時点で複数の製品で修正パッチが未提供のままとなっている。

from:Many Fuel Tank Monitoring Systems Vulnerable to Disruption

【編集部解説】

自動タンクゲージ（ATG）システムの脆弱性は、サイバー空間と物理インフラが密接に結びついた現代社会において、極めて現実的なリスクとなっている。Bitsightの調査では、MagLink LXやFranklin TS-550など複数の製品で11件のクリティカルな脆弱性が発見され、CVSSスコア10のものも含まれている。特に米国では1万台以上のATGがインターネットに直接接続されており、ガソリンスタンド、空港、病院、軍事基地など社会インフラの幅広い現場で利用されている。

ATGシステムはもともと物理的な現場での運用を前提に設計されており、インターネット時代のセキュリティ要件を十分に満たしていない。認証が弱く、デフォルトパスワードのまま運用されているケースも多い。Shodanなどの検索エンジンを使えば、攻撃者が容易に標的を特定できてしまう現状だ。

攻撃による被害はサービス妨害にとどまらず、燃料在庫データの改ざんや警報・漏洩検知の無効化、リレーの物理的破壊など、実際に燃料供給や安全管理を崩壊させる危険性がある。2025年1月にはロシア系ハクティビストによる米国石油施設への侵害も報告されており、現実の脅威となっている。

一方で、ATGのIoT化やデジタル化は燃料管理の効率化や自動化、遠隔監視など多くのメリットももたらしてきた。今後も燃料のみならず、他分野への応用が進むだろう。しかし、物理インフラとサイバー空間の融合は新たなリスクも生み出している。レガシー機器のアップデート難易度や現場でのパッチ適用の遅れ、ベンダーごとの対応差など課題は多い。

サイバー攻撃の高度化が進む中で、燃料インフラのような社会基盤システムのセキュリティ対策は、経営や社会全体のリスクマネジメントとして再定義されるべき段階に来ている。デジタル化の恩恵とリスク、その両面を見据えた長期的な視点が求められる。