Last Updated on 2024-06-08 10:37 by 門倉 朋宏
Ariane Systemsのホテルチェックインキオスクにおけるソフトウェアの脆弱性が、世界中の3,000以上のホテルで自己チェックインを行う端末に影響を及ぼしていることが明らかになった。この脆弱性(CVE-2024-37364、CVSS 3.0スコア6.8)を悪用することで、攻撃者はチェックイン端末に装備されたソフトウェアを介して、ホテルのゲストの個人データやローカルに保存された予約情報、請求書、個人識別情報(PII)にアクセスできる可能性がある。さらに、端末上でRFIDトランスポンダーを作成する機能が実装されているため、他のホテルの部屋の鍵を作成することも可能であると警告されている。
この問題は、Pentagridのセキュリティ研究者Martin Schobertによって3月に発見された。攻撃者は物理的にチェックイン端末にアクセスする必要があり、端末での作業にはある程度の時間が必要であるため、適切な物理的監視によってインシデントを防ぐことが可能である。Arianeは、この脆弱性がAllegro Scenario Playerの新バージョンで修正されたと述べているが、問題が修正された正確なバージョンは公開されていない。
ホテル運営者は、すべてのチェックイン端末がAriane Allegro Scenario Playerの最新バージョンを実行していることを確認する必要があり、IoTデバイスは最新のセキュリティアップデートでパッチを当てることが重要である。また、端末を重要システムから分離するために、VLANやネットワークセグメントに端末を配置すること、そしてセキュリティ侵害に迅速に対応するためのインシデント対応計画を用意することが重要である。
【ニュース解説】
Ariane Systemsが提供するホテルチェックインキオスクのソフトウェアに、重大な脆弱性が見つかりました。この脆弱性は、世界中の3,000以上のホテルで使用されている自己チェックイン端末に影響を及ぼし、攻撃者がホテルのゲストの個人データや部屋の鍵にアクセスできる可能性があることが判明しました。
この問題は、端末のソフトウェアにおける「キオスクモードバイパス」の脆弱性を悪用することで発生します。具体的には、端末で名前や予約番号を検索する際に特定の操作を行うと、ソフトウェアがフリーズし、その後の操作でWindowsのデスクトップにアクセスできるようになります。これにより、攻撃者は端末に保存されているデータや、さらにはRFIDトランスポンダーを用いて他の部屋の鍵を作成することが可能になります。
この脆弱性の発見者であるセキュリティ研究者は、攻撃を実行するには物理的に端末にアクセスする必要があると指摘しています。そのため、端末が適切に監視されていれば、このような攻撃を防ぐことが可能です。Ariane Systemsは、この問題を修正した新しいバージョンのソフトウェアをリリースしていると報告していますが、どのバージョンで修正されたかは明らかにされていません。
この問題の発覚は、ホテル運営者にとって重要な警告となります。すべてのチェックイン端末が最新のソフトウェアを実行していることを確認すること、そしてIoTデバイスを常に最新のセキュリティアップデートで更新することの重要性を改めて認識する必要があります。また、端末を重要なシステムから物理的に分離し、セキュリティ侵害が発生した際に迅速に対応できるようにインシデント対応計画を準備することも重要です。
この脆弱性の発見は、ホテル業界におけるセキュリティ対策の重要性を浮き彫りにします。ゲストの個人情報保護と安全な滞在を確保するためには、技術的な対策だけでなく、物理的な監視や従業員の教育も含めた総合的なセキュリティ対策が求められます。また、将来的には、より高度なセキュリティ機能を備えたチェックインシステムの開発や、セキュリティの観点からの業界全体の基準設定などが進むことが期待されます。
