空港のセキュリティ検査回避する脆弱性発見、コックピット侵入の可能性
マイナビニュース / 2024年9月3日 7時51分
セキュリティ研究者のIan Carroll氏は8月29日(米国時間)、自身のWebサイト「Seats.aero」の記事「Bypassing airport security via SQL injection」において、アメリカ合衆国運輸保安庁(TSA: Transportation Security Administration)のセキュリティチェックを回避するSQLインジェクションの脆弱性を発見したと伝えた。一部の航空会社が使用するFlyCASSのシステムに脆弱性が存在し、架空の従業員を追加してKCM/CASSシステムに承認させることができたとみられる。
○KCMおよびCASSシステムとは
TSAが管理するセキュリティチェックには、航空会社の従業員のセキュリティチェックをパスできるようにするKCM(Known Crewmember)と呼ばれる仕組みが存在する。従業員は業務時間以外(米国内の移動に限る)においても専用レーンからKCMバーコードを提示するか、TSAのセキュリティ担当者に従業員番号と航空会社名を伝えることでチェックを回避できる(参考:「Known Crewmember | Transportation Security Administration」)。
研究者によると、コックピットへのアクセスにも「Cockpit Access Security System(CASS)」と呼ばれる同様の仕組みが存在するという。これはパイロットを含む従業員がコックピット内のジャンプシート(普段使用されない補助シート)を通勤などに使用する際に、認可された人物か確認する仕組みとされる。
○脆弱性の概要
研究者は、小規模な航空会社がKCMやCASSシステムにどのようにしてアクセスしているのか興味を持ち、調査を実施したという。その結果、Webベースのインタフェースを提供しているFlyCASSを発見。FlyCASSのWebサービスには航空会社向けのログインページが用意されており、誰でもアクセス可能とされる。
通常であれば、部外者はログインできず何もできない。しかしながら、研究者は確認のためユーザー名にシングルクォートだけを入力した。すると、残念なことにMySQLエラーが表示されたという。これは入力をサニタイズまたはエスケープ処理していないことを意味しており、SQLインジェクションの可能性を示している。
-
- 1
- 2
この記事に関連するニュース
-
Microsoftアプリ(Mac版)に特権昇格の脆弱性、MSは修正に消極的
マイナビニュース / 2024年9月5日 8時22分
-
生成AIだますプロンプトインジェクションに脆弱性、情報流出招く恐れ
マイナビニュース / 2024年8月30日 12時51分
-
divx、脆弱性診断サービスにAIによるコードレビュー機能を追加
マイナビニュース / 2024年8月30日 9時54分
-
DIVX、脆弱性診断サービスのAI化を開始。セキュリティリスクのあるソースコードをAIが検出・報告する解析機能を追加
PR TIMES / 2024年8月29日 14時15分
-
GitHub Copilot Autofix、脆弱性の発見と修正を同時に行い、3倍速くソースコードをセキュアにする新機能を発表 ~脆弱性が見つかることが修正されたことと同じ!~
Digital PR Platform / 2024年8月15日 12時4分
ランキング
-
1「ケトルにラーメンを入れて調理していい?」「ミネラルウォーターを沸かしてもいい?」 ケトルに“入れてはいけないもの”をメーカーが解説
Fav-Log by ITmedia / 2024年9月12日 18時25分
-
2「日本のマクドナルドはクレイジーだ!」 アメリカ人が日本のメニューを食べてみたら…… まさかの酷評&絶賛に2500万再生「今から日本行きたい」
ねとらぼ / 2024年9月8日 12時0分
-
3ソニーが「Xperia 5」新機種を見送った理由 小型スマホは終焉を迎えるのか
ITmedia Mobile / 2024年9月10日 19時32分
-
4【無料ゲーム】アマゾン「Prime Gaming」2024年9月の特典はこれだ
ASCII.jp / 2024年9月11日 12時15分
-
5「なんという革命」 永谷園がついに……お湯を注ぐだけのカップ入りお茶漬けを発売 「こういうの待ってた」
ねとらぼ / 2024年9月9日 17時12分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください