Macos Brawte nfaq 0 Comments

「まるで絨毯を敷いて隠したようだ」:多数の航空会社が利用する航空券予約ウェブアプリは依然として攻撃に対して脆弱だと主張

Table of Contents

「まるで絨毯を敷いて隠したようだ」:多数の航空会社が利用する航空券予約ウェブアプリは依然として攻撃に対して脆弱だと主張

独占記事 広く利用されている航空会社の予約システムにセキュリティホールが依然として存在し、悪意のある人物がオンラインで他人の旅行情報を編集できる可能性があることが、The Register紙の取材で明らかになった。この脆弱性を解消する修正は不完全で、効果がなかったとされている。

Safety Detective のホワイトハットは本日、世界の航空会社のほぼ半数が使用しているウェブベースの予約システムである Amadeus のセキュリティ欠陥は、同チームによってこの明白な欠陥が非公開で報告された後、表面的にしか修正されなかったと語った。

この脆弱性は、アマデウスと航空会社が旅行者を識別する方法に起因しています。各旅行者には固有の予約番号が割り当てられており、これは6桁の英数字からなる文字列で、乗客名簿(PNR)を取得します。この記録には、旅行者の個人情報と旅程がすべて含まれています。このシステムは、乗客とフライトの管理に利用されており、政府のセキュリティ機関が旅行者の身元を確認し、既知の不審人物がいないか確認するのにも利用されています。

バグハンターのノアム・ロテム氏は、各航空会社がホストするAmadeusのウェブスクリプトを発見しました。このスクリプトはURLに予約参照情報を入力し、有効な予約参照情報であれば、乗客の名前が記載されたページを返します。有効な予約参照情報と対応する名前があれば、その見知らぬ人物として航空会社のオンラインポータルにログインし、旅行者の予約ページやPNRの詳細にアクセスして編集することが可能です。つまり、悪意のある人物は乗客の座席指定を​​変更したり、マイレージポイントを別のアカウントにリダイレクトしたり、連絡先情報を変更または閲覧したり、さらにはフライトの変更やキャンセルさえも可能になります。

ブルートフォース攻撃対策が不十分なため、ボットは脆弱なページに繰り返しアクセスし、可能な限り多くの予約参照情報を調べ、個人名が判明した予約参照情報をメモすることができました。そして、前述のように、参照情報と名前の組み合わせを使って予約ページにアクセスすることが可能になりました。

Safety Detective 社は Amadeus 社にこの問題を報告し、初期のメディア報道ではバグが修正されたと示唆していたものの、情報セキュリティ業界ではそれらの主張は時期尚早であり、欠陥の修正は表面的なものに過ぎなかったと考えている。

豚に口紅

例えば、イスラエルの航空会社ELALは、ブリティッシュ・エアウェイズ、エールフランス、ユナイテッド航空と同様に、予約管理にAmadeusを使用しています。Safety Detectiveの担当者は、脆弱性のあるフライト予約ページはパッチが適用され、特定の予約番号の乗客名が表示されなくなったものの…

PNRコードが削除されたELALページ

乗客名が表示されないページ…クリックして拡大

HTML ソース コードには、埋め込まれた JSON 内に人物の名前がまだ含まれている、と主張されています。

PNR情報を表示するELALソースページ

しかし、ソースコードには予約にアクセスするために必要な名前が含まれています...クリックして拡大

つまり、セキュリティ業界によると、参照情報を提供すれば、そこから名前が特定され、それを航空会社のオンラインポータルに入力してさらなる悪事を働くことが可能だという。また、ブルートフォース攻撃に対する防御策もまだ導入されていないとのことだ。

ELALだけの問題ではないようだ。Safety Detectiveは、このシステムを導入している144の航空会社すべてでこの問題が依然として存在すると見ている。

「『床に汚れがありますね、きれいじゃないですよ』と言ったら、ラグを敷いて隠して、『もう見えませんよ』と言うようなものです」と、Security Detectiveの広報担当者ジョン・ブラウン氏は語った。「ラグを外せば(ChromeでCtrl+Uを押すとコードが表示されます)、(非常に不器用に)隠したからといって問題が解決したわけではないことがわかります。

ブルートフォース攻撃では、PNRコードを推測し、フライトの詳細を取得し、それを変更することができました。試行回数に制限がないため、有効なフライトを相当数推測できます。実際、すべては時間の問題です。スクリーンショットでは、実際には修正されていなかったことがわかります。ページ内の情報、例えば乗客の名前が隠されていました。

アマデウスは、CAPTCHAを使用してボットのアクセスを抑制し、検索頻度を制限し、乗客の名前を単に隠すのではなく、パスワードやパスフレーズなどの何らかの認証システムを導入するよう求められている。

ローマが燃えているのにバイオリンを弾く

ELALは、この脆弱性に関する警告を受けており、一方、アマデウスは調査中であると発表した。

「アマデウスでは、セキュリティを最優先に考えており、すべての製品とシステムを常に監視し、更新しています」と広報担当者はThe Registerに主張した。

弊社製品の一つに問題が発生したとの通知を受け、技術チームが直ちに対応いたしました。お客様と緊密に連携し、この事態によりご迷惑をおかけしましたことを深くお詫び申し上げます。

Couple in snorkelling gear at the travel agents... Comedy snap. Photo by Shutterstock

旅行予約システムは「悪用される可能性が非常に高い」と報告書

続きを読む

当社は、お客様や業界のパートナーと協力し、PNRのセキュリティ全般に取り組んでいます。航空業界は、世界規模で効率性と顧客サービスを向上させるために導入されたIATA基準に依存しています。

業界はPNRを含む共通の業界標準に基づいて作業を行っているため、さらなる改善には業界標準自体の一部見直しと変更も含まれる必要があり、そのためには業界全体の協力が不可欠です。当社は、この問題の根本原因と影響について、徹底的な社内調査と詳細な調査を実施しており、影響を受けるお客様と緊密に連携して取り組んでまいります。

研究者たちは予約番号やPNRのセキュリティについて警鐘を鳴らしているものの、業界は対応に消極的だ。規制当局も同様で、EUはシステム強化の機会を逃している。®

Macos

Smart Recommendations

Discover More