空港のセキュリティ検査回避する脆弱性発見、コックピット侵入の可能性
マイナビニュース / 2024年9月3日 7時51分
セキュリティ研究者のIan Carroll氏は8月29日(米国時間)、自身のWebサイト「Seats.aero」の記事「Bypassing airport security via SQL injection」において、アメリカ合衆国運輸保安庁(TSA: Transportation Security Administration)のセキュリティチェックを回避するSQLインジェクションの脆弱性を発見したと伝えた。一部の航空会社が使用するFlyCASSのシステムに脆弱性が存在し、架空の従業員を追加してKCM/CASSシステムに承認させることができたとみられる。
○KCMおよびCASSシステムとは
TSAが管理するセキュリティチェックには、航空会社の従業員のセキュリティチェックをパスできるようにするKCM(Known Crewmember)と呼ばれる仕組みが存在する。従業員は業務時間以外(米国内の移動に限る)においても専用レーンからKCMバーコードを提示するか、TSAのセキュリティ担当者に従業員番号と航空会社名を伝えることでチェックを回避できる(参考:「Known Crewmember | Transportation Security Administration」)。
研究者によると、コックピットへのアクセスにも「Cockpit Access Security System(CASS)」と呼ばれる同様の仕組みが存在するという。これはパイロットを含む従業員がコックピット内のジャンプシート(普段使用されない補助シート)を通勤などに使用する際に、認可された人物か確認する仕組みとされる。
○脆弱性の概要
研究者は、小規模な航空会社がKCMやCASSシステムにどのようにしてアクセスしているのか興味を持ち、調査を実施したという。その結果、Webベースのインタフェースを提供しているFlyCASSを発見。FlyCASSのWebサービスには航空会社向けのログインページが用意されており、誰でもアクセス可能とされる。
通常であれば、部外者はログインできず何もできない。しかしながら、研究者は確認のためユーザー名にシングルクォートだけを入力した。すると、残念なことにMySQLエラーが表示されたという。これは入力をサニタイズまたはエスケープ処理していないことを意味しており、SQLインジェクションの可能性を示している。
-
- 1
- 2
この記事に関連するニュース
-
Microsoftアプリ(Mac版)に特権昇格の脆弱性、MSは修正に消極的
マイナビニュース / 2024年9月5日 8時22分
-
生成AIだますプロンプトインジェクションに脆弱性、情報流出招く恐れ
マイナビニュース / 2024年8月30日 12時51分
-
divx、脆弱性診断サービスにAIによるコードレビュー機能を追加
マイナビニュース / 2024年8月30日 9時54分
-
DIVX、脆弱性診断サービスのAI化を開始。セキュリティリスクのあるソースコードをAIが検出・報告する解析機能を追加
PR TIMES / 2024年8月29日 14時15分
-
GitHub Copilot Autofix、脆弱性の発見と修正を同時に行い、3倍速くソースコードをセキュアにする新機能を発表 ~脆弱性が見つかることが修正されたことと同じ!~
Digital PR Platform / 2024年8月15日 12時4分
ランキング
-
1“ネットに未接続”のPCからデータを盗む攻撃 7m先からエアギャップPC内の機密情報を盗む
ITmedia NEWS / 2024年9月13日 8時5分
-
2「ケトルにラーメンを入れて調理していい?」「ミネラルウォーターを沸かしてもいい?」 ケトルに“入れてはいけないもの”をメーカーが解説
Fav-Log by ITmedia / 2024年9月12日 18時25分
-
3貝印が教える「切れ味が戻らない包丁を生き返らせる方法」が必見の価値! 覚えておきたい“角度”と“回数”とは?
ねとらぼ / 2024年9月13日 9時30分
-
4「日本のマクドナルドはクレイジーだ!」 アメリカ人が日本のメニューを食べてみたら…… まさかの酷評&絶賛に2500万再生「今から日本行きたい」
ねとらぼ / 2024年9月8日 12時0分
-
5使いやすく高機能な動画ダウンローダー!「EaseUS Video Downloader」レビュー
ITライフハック / 2024年9月13日 10時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください