Last Updated on 2024-06-21 10:18 by admin

エアバス傘下のITサービス会社NAVBLUEが開発した、航空機のパイロットが重要なフライト計画に使用するモバイルアプリ「Flysmart+ Manager」に、安全な離着陸手順に干渉する可能性のある攻撃に対して脆弱性が存在していたことが明らかになりました。この問題は、App Transport Security（ATS）機能が無効にされており、HTTPSを使用するように強制することができなかったため、開かれた信頼できないネットワーク上での傍受にさらされていました。英国のペネトレーションテスト会社Pen Test Partners（PTP）がこの問題をNAVBLUEに報告した後、昨年修正されました。

PTPは、この脆弱性により、特にアプリの更新中に、攻撃者がWi-Fi範囲内にいる必要があるなど、実際に攻撃を行うのはそれほど容易ではないと指摘しています。しかし、パイロットが乗り継ぎの際にホテルなどでEFB（Electronic Flight Bag）デバイスを使用することが多いため、攻撃の機会は存在します。EFBは、フライト計画計算やデジタル文書へのアクセスなど、飛行中のさまざまな機能に使用されるデバイスです。Flysmart+ Managerでは、データの同期を可能にするアプリであり、攻撃者が中間者攻撃を行い、改ざんされたデータベース更新をEFBにプッシュする可能性がありました。

この問題は、NAVBLUEによって修正され、PTPがエアバスのアプリケーションの成功した修正措置を受けて、その発見の詳細を今週公開しました。

【ニュース解説】

エアバス傘下のITサービス会社NAVBLUEが開発した、航空機のパイロットが使用する重要なフライト計画アプリ「Flysmart+ Manager」に、安全な離着陸手順に干渉する可能性のある脆弱性が存在していたことが発覚しました。この脆弱性は、アプリの通信セキュリティを強化するApp Transport Security（ATS）機能が無効にされていたため、信頼できないネットワーク上でのデータ傍受が可能となっていました。この問題は、英国のペネトレーションテスト会社Pen Test Partners（PTP）によって指摘され、昨年NAVBLUEによって修正されました。

この脆弱性の存在は、航空業界におけるサイバーセキュリティの重要性を改めて浮き彫りにします。特に、飛行計画や安全な離着陸に直接関わるようなアプリケーションのセキュリティは、乗客や乗員の安全に直結するため、最高レベルの保護が求められます。この事件は、航空業界が直面するサイバーセキュリティの課題を示しており、航空会社や関連企業がシステムのセキュリティ対策を常に最新の状態に保つことの重要性を強調しています。

攻撃者がこの脆弱性を悪用するには、Wi-Fi範囲内にいる必要があり、特にアプリの更新中に攻撃を行う必要があるため、実際に攻撃を成功させるのは容易ではありませんでした。しかし、パイロットが乗り継ぎの際にホテルなどでEFBデバイスを使用することが多いため、攻撃の機会は存在しました。このような攻撃が成功すると、飛行計画データの改ざんや、パイロットが受け取る情報の信頼性が損なわれる可能性があり、最悪の場合、飛行安全に重大な影響を及ぼす恐れがあります。

この問題の修正により、Flysmart+ Managerアプリはより安全になりましたが、この事件は航空業界におけるデジタルセキュリティの継続的な改善の必要性を示しています。航空会社やアプリ開発者は、サイバーセキュリティの脅威が常に進化していることを認識し、システムやアプリケーションのセキュリティ対策を定期的に見直し、更新することが不可欠です。また、このような脆弱性が発見された場合の迅速な対応と、関係者への透明な情報提供も、信頼の維持において重要な役割を果たします。

from Crucial Airline Flight Planning App Open to Interception Risks.

admin

自己紹介の全文を表示