Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

主要な旅行サイトが抱える脆弱性

考えてみた。

英国の6point6は、旅行業界を合法的なオンラインツールで調査した所、ホテルや航空会社、旅行旅客の主要なWebサイトに数百の脆弱性を発見したとの調査結果を発表しました。

www.infosecurity-magazine.com

 

彼らは、マリオットが所有するWebサイトが497のバグでだまされていることを発見しました。100を超えるバグは「高」(96)または「クリティカル」(18)と評価されました。これらのいくつかは、攻撃者がユーザーとそのデータを標的にすることを可能にする可能性があります。
(中略)
マリオットは昨年、規制当局の情報コミッショナーズオフィス(ICO)から、3億3900万の顧客データの歴史的な違反を明らかにしたことにより、多額の罰金に直面しています。

今年、 900万人の顧客に影響を及ぼしている違反を明らかにした Airline easyJet、攻撃者がユーザーのブラウジングセッションを乗っ取ることができる1つの重大なバグを含め、9つのWebドメインにわたって222の脆弱性があることが判明しました。
同社は明らかに3つのドメインをオフラインにし、他の6つのサイトで明らかにされた脆弱性を修正しました。

ブリティッシュエアウェイズのWebサイトには、重大と判断された12を含む115の脆弱性が見つかりました。識別された問題のほとんどは、古いバージョンのソフトウェアの実行に関連していると考えられていましたが、通信事業者は、どちらへの対応について何の指摘もしていませんでしたか?それらが更新されること。

他の場所では、アメリカン航空291の潜在的脆弱性が見つかりました。Lastminute.comに重大な脆弱性があり、攻撃者が偽のログインアカウントを作成する可能性があります。

(InfoSecurity Magazine記事より引用)※機械翻訳

 

キタきつねの所感

ここで留意すべきなのが、ここで挙げられているマリオットホテル、easyjet、BritishAirwaysは全て、過去にデータ漏えい事件を発表し、多額の罰金(訴訟和解金)を支払っているという事です。

 

当然の事ながら、これらの大手企業は事件を受けて自社サイトのセキュリティ対策を相当強化したはずです。それでも外部のツールで調べるとCritical(重大)な脆弱性が多数検出されたという結果には、正直驚きです。

 

これらの調査結果は既に6point6社から各社に伝えられており、既に改善が始まっているので、今後大きなインシデントにはならずに終わるのかと思いますが、旅行業のWebサイトは潜在的に多くの脆弱性を抱えている可能性がありそうです。

 

この調査では日本の航空会社やホテル等が含まれているとは明示されていません(多分調査対象外だと思われます)ので、日本の傾向と必ずしも合致しないかも知れません。

しかし、海外の大手企業で脆弱性が見つかるという事は、恐らく日本の航空会社、ホテル、旅行予約サイトでも潜在的脆弱性が多数ある可能性が高いと、個人的には思います。

 

こう書くと、「当社のWebサイトはきちんとセキュリティ対策をしている」と反論される日本企業が多いのかと思いますが、6pointの調査対象をよく見て頂くと、もしかすると・・・という部分があるかも知れません。

英国に本拠を置く消費者権利グループどれ?技術コンサルタント会社6point6は、98の旅行業界の企業、調査用のWebサイトサブドメイン、従業員ポータル、その他のWebプロパティを合法的なオンラインツールで調査しました。

(InfoSecurity Magazine記事より引用)※機械翻訳

 

最近の攻撃は、要塞化されているメインのWebサイトを避けてサブドメインや従業員サイト等を経由して内部ネットワークに侵入する、そうした手法が採られる事もあり、こうした周辺部分はあまり対策がされてない(あるいは対策されているか把握してない)企業が多いかと思います。

また、自社のサイトが仮に問題なかったとしても、NTTドコモやゆうちょ銀行等がそうであった様に、提携先経由での攻撃があったとしたら・・・と考えると、サプライチェーンのすそ野が広い日本の旅行業界は、やはり潜在的に脆弱な部分がある気がします。

 

こうした対策には自社Webサイトでは定期的な脆弱性テスト(侵入テスト含む)が重要かと思います。しかし恐らくそれだけでは不十分で、サプライチェーン(提携先)企業にも同等なセキュリティ対策を要求/チェックするか、ゼロ・トラスト思考外部アクセスをUntrustとして自社サイト側の認証を強化するといった事が必要かと思います。

 

余談ですが、日本でも、6point6の調査の様な、外部からのホワイトハッカー脆弱性調査を認めるべき時期なのではないかと思います。そうでないとブラックハッカーが有利な状況は変わらない、すなわち防衛側が不利な状況は変わらないのではないでしょうか。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 旅行に疲れた家族のイラスト

 

更新履歴

  • 2020年9月21日 AM(予約投稿)