全球許多國家的鐵路運輸系統，其運作和乘客安全嚴重依賴於一套能夠在緊急情況下自主介入並使列車停止的自動化系統。這是為了彌補人為失誤的風險，特別是在列車高速行駛或面臨障礙物時。然而，一個令人警覺的事實是，世界各地大多數的列車保護系統設計都相當老舊過時。這些系統在設計之初，根本未曾將網路威脅或惡意入侵納入考量，使得它們在當代環境下成為重大的網路物理安全漏洞。

當一列大型列車高速行駛，即將撞上障礙物時，僅依靠列車員來應對前方情況是遠遠不夠的。為了應對人為失誤，在緊急情況下，列車本身需要配備一套能夠自動使列車停止的系統。然而，在世界大多數國家，這些安全系統都相當老舊過時。例如，在西班牙，主要的列車保護系統－自動訊號和故障自動警報系統（簡稱ASFA）－可以追溯到1960年代。「當然，在60年代，沒有人會試圖入侵信號系統，因為當時人們都在忙其他事情」，TechFrontiers聯合創始人加布里埃拉·加西亞說。

最近，加布里埃拉·加西亞和另一位TechFrontiers聯合創始人戴維·梅倫德斯測試瞭如果今天有駭客嘗試入侵會發生什麼。加布里埃拉·加西亞表示，如今除了最先進的安全系統外，其他所有安全系統“都不太安全，因為在這些系統設計之初，安全問題並沒有被納入考慮。我們並非要指責任何公共機構沒有做出改變，我們只是想發出一個警鐘：現在是時候改變所有這些系統了。”

根據 DarkReading 這篇報導，研究人員證實傳統鐵路煞車系統（如西班牙的 ASFA）極易遭到竄改。駭客只需利用回收罐、銅線和廉價訊號產生器，就能偽造或干擾軌道上的 balise 信號，進而誤導列車司機或直接觸發錯誤的煞車/速度指令，造成潛在的危險事故。

1. 研究背景

• ASFA 系統：西班牙主要的列車保護系統，設計於 1960 年代，缺乏現代資安考量。
• 研究團隊：TechFrontiers 的 Gabriela Garcia 與 David Melendez 在 Black Hat Europe 2025 發表研究。
• 問題核心：系統過於老舊，沒有任何防護機制，容易被模擬或干擾。

2. 攻擊方式

• Balise 信號偽造：balise 是軌道上的被動訊號器，透過感應與列車交換指令。
• 簡易設備：研究人員用回收罐纏繞銅線、舊電源供應器的電容器、廉價訊號產生器，就能模擬 balise。
• 可能後果：

3. 系統弱點

• 缺乏安全設計：ASFA 屬於純類比系統，沒有驗證或加密。
• 物理防護不足：西班牙的 balise 接線僅用塑膠管保護，容易被攻擊者接觸並竄改。
• 全球影響：德國、英國、美國 Amtrak 等使用類似系統，也存在相同風險。

4. 現代系統狀況

• ERTMS/ETCS：歐盟推動的現代化系統，採用數位化設計，並增加持續通訊。
• 潛在風險：雖然更先進，但也可能遭遇數位干擾、訊號欺騙、重放攻擊。
• 挑戰：更新整個鐵路信號系統需龐大資金與政治決策，推動困難。

5. 安全啟示

• 鐵路安全需升級：老舊系統設計時未考慮駭客威脅，如今已成重大風險。
• 多層防護必要：除了技術升級，也需加強物理防護與監控。
• 國際影響：此問題不僅限於西班牙，全球多數鐵路仍依賴類似技術。

這項研究發出了明確的警鐘：當前全球許多鐵路依賴的老舊控制系統已無法抵禦現代威脅。ASFA這類系統由於是純類比設計，信號中缺乏任何驗證或加密機制，使其可以輕易被模擬設備複製或干擾。此外，缺乏足夠的物理安全防護，例如簡單的塑膠管無法有效阻止攻擊者接觸軌道旁的balise接線。

雖然現代化的歐洲列車控制系統（ERTMS/ETCS）已經過渡到數位化設計，並增加了持續通訊能力，但它們也面臨著數位世界特有的挑戰，包括訊號欺騙或重放攻擊。然而，全面替換整個鐵路信號基礎設施需要龐大的資金投入和複雜的政治決策，這使得系統現代化的進程緩慢。因此，在無法立即進行全面替換的情況下，軌道營運商必須採取多層次的防護策略，不僅要考慮技術升級，還應立即加強對軌道資產的物理保護和主動監控，以應對日益增長的網路實體威脅，確保鐵路系統的最終安全與韌性。

資料來源：https://www.darkreading.com/ics-ot-security/critical-railway-braking-systems-tampering