空港のセキュリティ検査回避する脆弱性発見、コックピット侵入の可能性

そこで、研究者はSQLインジェクション専用のペネトレーションテストツール「sqlmapproject/sqlmap」を使用して脆弱性を特定。ユーザー名「' or '1'='1」、パスワード「') OR MD5('1')=MD5('1」を入力し、管理者としてログインに成功している。

次に研究者は「Test TestOnly」という氏名の従業員を追加し、KCMおよびCASSへのアクセス許可が可能か実験している。その結果、KCMおよびCASS双方の使用が承認されたと報告している。

○責任ある開示(Responsible Disclosure)

研究者は責任のある情報開示のためFlyCASSに連絡を取ろうとしたが、担当者が1人のみと推測されたため、影響を考慮して4月23日(米国時間)、アメリカ合衆国国土安全保障省(DHS: United States Department of Homeland Security)に報告した。その結果、「非常に深刻」と評価され、FlyCASSはKCMおよびCASSの使用を一時的に禁止された。その後、問題は修正されている。

脆弱性の修正後、研究者は情報開示の調整を試みたが、DHSからの連絡は途絶え、TSAの広報室は脆弱性の発見を否定したという。このような隠蔽とも捉えられかねない対応は、研究者の努力と能力を否定することになり、将来、発見の証明として脆弱性の修正前に情報を公開することにつながる可能性がある。

このような事態を防止するために関係者の間では「責任ある開示(Responsible Disclosure)」の取り組みが推進されている。当局もこのような取り組みを理解しているものと考えられるが、今回なぜこのような行動を取ったのかは明らかになっていない。
（後藤大地）