空港のセキュリティ検査回避する脆弱性発見、コックピット侵入の可能性
マイナビニュース / 2024年9月3日 7時51分
そこで、研究者はSQLインジェクション専用のペネトレーションテストツール「sqlmapproject/sqlmap」を使用して脆弱性を特定。ユーザー名「' or '1'='1」、パスワード「') OR MD5('1')=MD5('1」を入力し、管理者としてログインに成功している。
次に研究者は「Test TestOnly」という氏名の従業員を追加し、KCMおよびCASSへのアクセス許可が可能か実験している。その結果、KCMおよびCASS双方の使用が承認されたと報告している。
○責任ある開示(Responsible Disclosure)
研究者は責任のある情報開示のためFlyCASSに連絡を取ろうとしたが、担当者が1人のみと推測されたため、影響を考慮して4月23日(米国時間)、アメリカ合衆国国土安全保障省(DHS: United States Department of Homeland Security)に報告した。その結果、「非常に深刻」と評価され、FlyCASSはKCMおよびCASSの使用を一時的に禁止された。その後、問題は修正されている。
脆弱性の修正後、研究者は情報開示の調整を試みたが、DHSからの連絡は途絶え、TSAの広報室は脆弱性の発見を否定したという。このような隠蔽とも捉えられかねない対応は、研究者の努力と能力を否定することになり、将来、発見の証明として脆弱性の修正前に情報を公開することにつながる可能性がある。
このような事態を防止するために関係者の間では「責任ある開示(Responsible Disclosure)」の取り組みが推進されている。当局もこのような取り組みを理解しているものと考えられるが、今回なぜこのような行動を取ったのかは明らかになっていない。
(後藤大地)
-
- 1
- 2
この記事に関連するニュース
-
Microsoftアプリ(Mac版)に特権昇格の脆弱性、MSは修正に消極的
マイナビニュース / 2024年9月5日 8時22分
-
生成AIだますプロンプトインジェクションに脆弱性、情報流出招く恐れ
マイナビニュース / 2024年8月30日 12時51分
-
divx、脆弱性診断サービスにAIによるコードレビュー機能を追加
マイナビニュース / 2024年8月30日 9時54分
-
DIVX、脆弱性診断サービスのAI化を開始。セキュリティリスクのあるソースコードをAIが検出・報告する解析機能を追加
PR TIMES / 2024年8月29日 14時15分
-
GitHub Copilot Autofix、脆弱性の発見と修正を同時に行い、3倍速くソースコードをセキュアにする新機能を発表 ~脆弱性が見つかることが修正されたことと同じ!~
Digital PR Platform / 2024年8月15日 12時4分
ランキング
-
1「ケトルにラーメンを入れて調理していい?」「ミネラルウォーターを沸かしてもいい?」 ケトルに“入れてはいけないもの”をメーカーが解説
Fav-Log by ITmedia / 2024年9月12日 18時25分
-
2“ネットに未接続”のPCからデータを盗む攻撃 7m先からエアギャップPC内の機密情報を盗む
ITmedia NEWS / 2024年9月13日 8時5分
-
3「日本のマクドナルドはクレイジーだ!」 アメリカ人が日本のメニューを食べてみたら…… まさかの酷評&絶賛に2500万再生「今から日本行きたい」
ねとらぼ / 2024年9月8日 12時0分
-
4【無料ゲーム】アマゾン「Prime Gaming」2024年9月の特典はこれだ
ASCII.jp / 2024年9月11日 12時15分
-
5電車の遅延情報などが一発でわかる「運行情報キャスト」が超便利! 開発者たちにオススメの使い方を聞いてみた
マイナビニュース / 2024年9月12日 17時33分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください