BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿
ニュース アーティクル プレゼンテーション ポッドキャスト Eブック

Topics

地域を選ぶ

QCon San Francisco - image
QCon San Francisco

Level up your software skills by uncovering the emerging trends you should focus on. Register now.

 QCon London - image
QCon London

Discover emerging trends, insights, and real-world best practices in software development & tech leadership. Join now.

 The Software Architects Newsletter - image
The Software Architects' Newsletter

Your monthly guide to all the topics, technologies and techniques that every professional needs to know about. Subscribe for free.

InfoQ ホームページ ニュース セキュリティ専門家がSQLインジェクションで空港セキュリティの抜け穴を突く

デベロップメント

セキュリティ専門家がSQLインジェクションで空港セキュリティの抜け穴を突く

ブックマーク

2024年10月10日 読了時間 4 分

作者:

翻訳者

原文リンク(2024-09-11)

SQLインジェクションによる空港セキュリティのバイパス」という記事で、2人のセキュリティ研究者が最近、単純なSQLインジェクションによって実際に勤務実態がないパイロットおよび客室乗務員が空港保安検査をバイパスすることが可能になることを実証した。研究者によると、この脆弱性によって架空のユーザーを作成し、保安検査を回避し、民間旅客機のコックピットにアクセスすることが可能になったという。

Seats.areoの創設者であるセキュリティ研究者Ian Carroll氏と、ハッカーでバグ賞金稼ぎでもあるSam Curry氏は、一部の航空会社がKCMKnown Crewmember)プログラムとCASS(Cockpit Access Security System)を管理するために使用しているサードパーティWEBサービスであるFlyCASSの脆弱性を発見した。

KCMは運輸保安局(TSA)の取り組みで、パイロットと客室乗務員が保安検査を回避可能にするもので、CASSはパイロットが旅行中にコックピットでジャンプシートを使用可能にするものである。Carroll氏はこう説明する。

雇用状況のチェックは、これらのプロセスの中でもっとも重要な要素です。現在航空会社で働いていない人は、身元調査を受けていないので、保安検査をバイパスしたり、コックピットにアクセスしたりすることは許されません。

研究者は、認証システムを管理するベンダーを調査していたところ、小規模航空会社向けに設計されたプラットフォームへのウェブベースのインターフェイスを提供するサイト、FlyCASSを発見した。Carroll氏はこう書いている。

興味をそそられた我々は、エア・トランスポート・インターナショナル(8C)が/atiというパスで利用可能であるように、すべての航空会社が独自のログインページを持っていることに気づきました。ログインページしか公開されていなかったので、行き詰まったと思いました。しかし念のため、SQLインジェクションのテストとしてユーザー名にシングルクォートを入れてみたところ、すぐにMySQLエラーが発生しました。

ユーザー名がログインSQLクエリに直接挿入されたため、研究者は管理者としてFlyCASSにログインできた。FlyCASSは参加航空会社のKCMとCASSの両システムを管理しているため、これらの航空会社に関連するパイロットと客室乗務員のリストにアクセスし、管理できた。さらに、航空会社に新しい従業員を追加する際に、それ以上のチェックや認証は必要ないことがわかった。Carroll氏はこう書いている。

その航空会社の管理者になりすまし、KCMおよびCASSの両システムの認証ユーザーを誰でも追加できました。

![](https://imgopt.infoq.com/fit-in/3000x4000/filters:quality(85)/filters:no_upscale()/news/2024/09/sql-injection-airport-security/en/resources/1Screenshot from 2024-09-04 18-01-27-1725465774244.png)

出典:Carroll氏のブログ

SQLインジェクションは、攻撃者が準備したデータがSQLコードとして実行される場合に発生する一般的なセキュリティ脆弱性である。Redditの人気スレッドでは、ほとんどのユーザーが最新のウェブアプリケーションでこのような攻撃が成立する可能性は低いと議論しており、あるユーザー、martijnonreddit はこう書いている。

2024年に、これほど重要なシステムで、目に見えるエラーベースのSQLインジェクション?ぞっとします。これはもっと注目されるべきです。

別のスレッドでは、ユーザーk-mcmがこう付け加えている。

SQLインジェクションがここ20年の長い間に渡って有効であるという事実は、まったく馬鹿げています......このような失敗をするのはかえって非常に難しいことです。

Carroll氏の記事のかなりの部分は、情報公開の困難さに費やされており、適切な連絡先を特定する際にセキュリティ研究者が直面した困難および国土安全保障省の反応が含まれている。

4月23日、我々はこの問題を国土安全保障省に開示できました。国土安全保障省はこの問題を認め、「この問題を非常に深刻に受け止めている」ことを確認しました。その後、FlyCASSはKCM/CASSで無効化され、後に問題は修正されたようです(中略)問題が修正された後、我々は今回の問題を安全に情報公開するための調整を試みました。残念なことに、国土安全保障省は我々と協力するどころか、我々への返答を止め、TSAの報道部はこの脆弱性について危険なほど誤った声明を発表し、我々が発見したことを否定しました。

研究者たちは「TSAは我々が発見したことを隠蔽しようとした」と主張しているが、運輸保安庁は、彼らのシステムは乗務員の身元確認にこのデータベースだけに依存しているわけではないと強調している。研究者の報告書が発表された後、ソフトウェアエンジニアでセキュリティ研究者のAlesandro Ortiz氏は、解析によって暗号化されたファイルと身代金のメモを示すことで、FlyCASSが2月にMedusaLockerランサムウェア攻撃を受けたようだと報告した。

作者について

Renato Losio

もっと見るより少なく

この記事に星をつける

おすすめ度
スタイル

このコンテンツのトピックは Relational Databases です。

関連記事:
BT