パスワードを忘れた? アカウント作成
13103562 story
ネットワーク

パナソニック、同社製機内エンターテインメントシステムの脆弱性で旅客機乗っ取りが可能になるという主張に反論 54

ストーリー by headless
反論 部門より
多くの航空会社が採用しているPanasonicの機内エンターテインメントシステムの脆弱性により旅客機の乗っ取りが可能になるとするIOActiveの主張に対し、Panasonic Avionicsが反論している(Runway Girlに転載されたPanasonicの声明Mashableの記事Softpediaの記事)。

IOActiveが発見した脆弱性は有料サービスでのクレジットカードのチェックをバイパスするというものや、任意ファイルアクセス、SQLインジェクションなど。IOActiveによれば、機内のデータネットワークは飛行制御システムとPAシステム、エンターテインメントシステム、各席に設置されたデバイスの4つのドメインに分離されているが、機体によってはゲートウェイを通じて相互に接続されているものもあるという( IOActiveのブログ記事The Registerの記事Softpediaの記事[2])。

IOActiveはジープ・チェロキーの車載システムの脆弱性を利用して遠隔操作するデモを行っており、SATCOMの脆弱性も発見している。そのため、ドメインを超えて飛行制御システムや機内PAシステムを乗っ取られる可能性もあると述べている。また、乗客が機内で使用したクレジットカードの情報が盗まれる可能性にも言及している。IOActiveでは2015年3月に脆弱性をPanasonic Avionicsへ報告しており、修正に十分な期間が経過したとして情報を開示したが、すべての旅客機で修正が適用されていない可能性があるとも述べている。

ただし、システムの乗っ取りやクレジットカード情報の摂取の可能性についてはあくまで仮説であり、実証されたものではない。Panasonicでは発見された脆弱性の影響範囲は各席のデバイスに送られる情報のみであり、エンターテインメントシステムやPAシステム、飛行制御システムへの影響は及ばないと説明。PanasonicはAviation ISACのメンバーであり、脆弱性などの情報は共有して対策を行っているとし、報道に対して仮説の部分を強調した説明をするIOActiveが乗客に誤った警告を与えているなどと批判している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年12月23日 22時06分 (#3134780)

    ゼイジャックっていうんだぜ

  • 外部メモリ経由とか、人間を介して侵入されることはありうる。
    システムだけでは防ぎきれない。
    • by Anonymous Coward on 2016年12月23日 23時15分 (#3134800)

      客席娯楽用ネットワークの脆弱性をついたらそれとは繋がっていない別の機体制御システムを乗っ取れるんですか?

      親コメント
      • いろいろな方法が考えられるが、

        1.娯楽システムを乗っ取る
        2.この飛行機は制御が不能になると警告を出す
        3.制御を正常に戻すために娯楽システムにUSBメモリを差し込めとメッセージを出す
        4.そのメモリを機体制御システムに差し込めとメッセージを出す
        5.悪意のあるプログラムを機体制御システムに侵入させる

        人間を介すれば、つながっていないネットワークを繋げることはできる。
        親コメント
        • 「不可能だと言えないんだから可能だ!」「スーパーハカーの組んだ悪意あるプログラムに無理は無い!」
          という屁理屈をごり押しするのでしたらそれで十分でしょうけど、普通に考えたらかなり無理のある仮定ですね。

          まず1が成立すれば、2~4のメッセージを表示させることは可能でしょう。
          しかし、2~4のメッセージでだまされる人間≒素人の乗客が機体制御システムの管理者権限を持っているとは思えません。
          また、機体制御システムの脆弱性がわからない状態では、管理者権限を持っている人間をだまさないと自動プログラムだけでシステムに侵入させることは容易ではありません。
          そのハードルを越えないと5が成立しない。

          素人が何も考えずにOKを押す家庭用機器じゃないんですよ?

          --

          ψアレゲな事を真面目にやることこそアレゲだと思う。
          親コメント
          • 最近のハッキングは人間が絡んでいるのがほとんどですからね。
            人間を教育しないとシステムの安全性は担保できないということです。

            機内の娯楽システムの不調に出くわす事はよくありますが、
            CAがやってくれるのはリセットボタンを押すことか席を代えてくれるくらいです。
            航空機にシステムに詳しい乗員が乗っているわけではないです。
            親コメント
            • by Anonymous Coward

              航空会社が捏造されたシステムエラーを鵜呑みにするような社員教育してると思ってるなら頭おかしい

        • by Anonymous Coward

          ハードルの高さを考えるとその例はつなげないことの利点を示しているように見える

          • by Anonymous Coward
            ソーシャルエンジニアリングは極めて有効
            • by Anonymous Coward

              ただの一般論じゃん。

              • by Anonymous Coward

                つまり一般的には
                ソーシャルハックはつながっていないネットワークを繋ぐことに対して有効
                ということね。

          • by Anonymous Coward

            そもそも機体制御システムにアクセス可能なUSBポートがあるのかという問題が。
            整備用端末の接続も流石に専用コネクタじゃなかったっけ?

          • by Anonymous Coward
            スタックスネットな
        • by Anonymous Coward

          そんな事言い出したらどんなセキュリティも無駄ですね
          おしまい

        • by Anonymous Coward

          そんなの心配する前に、自分地に泥棒が入る可能性を心配したほうがよくないですか?

      • by Anonymous Coward

        > 客席娯楽用ネットワークの脆弱性をついたらそれとは繋がっていない別の機体制御システムを乗っ取れるんですか?

        客席娯楽用ネットワークを掌握し
        乗客にサブリミナル映像を見せて
        乗員にその映像を見せさせることを誘発することで
        コックピットへのアクセス(物理)を開かせるんじゃなかろうか

        # 無理筋ホームラン

      • by Anonymous Coward

        普通のネットとは物理的につながっていないから攻撃されることはないと豪語していた住基ネットを思い出した

  • by Anonymous Coward on 2016年12月23日 19時34分 (#3134728)

    人間の作ったものに完璧はない。
    Windowsですら毎月セキュリティ問題。
    それによるアップデートを毎月やってる。
    コンピュータなんて、常にそのリスクが。
    いわば「いたちごっこ」だろうね。
    それでも少しでも減らせるよう努力を!
    パナソニックもマイクロソフトも他も。

    • by Anonymous Coward

      つながってないものはつながってないから。
      どんなに技術がすすんでも、因果律は壊せないから。

      • by Anonymous Coward

        パナエンタシステムが標準オプションになったBlock-B(適当)から
        空調や照明の余力問い合わせで繋がってたり
        ロギングがアビオ経由の直列になってたりとか
        飛ばすエンジニアの把握しきれないところでインジェクション攻撃を試せる繋がりが出来上がってる可能性も無きにしも非ず

    • by Anonymous Coward

      Windowsですら毎月セキュリティ問題。

      「ですら」の使用法を今の今まで勘違いしていたようだぜ…。

      # 私の一番楽しい時間を下らんコメントで邪魔しないでくれたまえ

      • by Anonymous Coward

        でも真面目に考えれば「ですら」なんだよな
        Windowsのセキュリティがどうこうとか(windowsに限らず)文句いう奴らの内で、作ってる人よりも優れた奴なんて何人いることか

        #そのコメント書いている時間が一番楽しい時間だったでしょ?

        • by vax730 (32985) on 2016年12月24日 10時23分 (#3134877)

          日本のソフトウエア技術者は,アメリカの技術者の時間当たり1.7倍のプログラムを書き,バグの発生率は1/20なのです。
          http://d.hatena.ne.jp/kibashiri/20070323/1174629051 [hatena.ne.jp]

          親コメント
          • by Anonymous Coward on 2016年12月24日 13時40分 (#3134915)

            米印の人も同じ事言ってたな。
            開発者の技術力「は」文句無しと。

            これでPJ炎上で経営だめなのはなんでだろうね(ニコリ
            という皮肉タップリでしたが。

            親コメント
          • by Anonymous Coward

            みずほのシステムはいつになったらできるんだろう(棒

            • by Anonymous Coward

              匙を投げられた米国防総省の年金システムに比べれば、まだ若いシステムよ。

          • by Anonymous Coward

            マネジメントがクソなので意味ないんですけどね
            #戦闘で戦術はひっくり返せない。

        • by Anonymous Coward

          うーん、論点が違うような。
          最近のWindowsしか知らないし、無印「宇宙戦艦ヤマト」も知らない、ということでしょうか。

  • by Anonymous Coward on 2016年12月23日 19時54分 (#3134739)

    機内で映画などを流すサーバーに脆弱性があるから、(脆弱性が見つかったのとは別の)機体制御システムを乗っ取られる可能性がある。
    ってことか。
    根拠なくインパクト大きくしてるニュースかな。

    • Re:要するに (スコア:2, 興味深い)

      by Anonymous Coward on 2016年12月23日 22時33分 (#3134790)

      スイス航空111便墜落事故 [wikipedia.org]では、ファーストクラスの映画見たりネットカジノ楽しんだりする娯楽システムの配線から発火して全員死亡と相成った。

      親コメント
    • by Anonymous Coward on 2016年12月23日 21時50分 (#3134774)

      可能性としては、全チャンネルにアダルト向け映像が流される事件が発生しうる、という事ですかね。

      逆に考えて機体制御システムのデータが映像などを流すサーバに流れるようになっていたら、機体の制御が映像に影響を与える可能性があるという事になりますが(なぜそんな風にシステムを構築したのか理解不能ですが)、離陸時には出会った二人がウフフ、エヘヘな事をする映像が流れて、着陸時には興奮冷めやらぬ二人が満足感に浸る様子の映像が流れる・・・これはあってはならぬ事だとIOActiveは考えている、という事ですかね。

      // うまく表現できてないけど、関連付ける必要性のないシステムが繋がっているという前提で話を勝手に膨らませるな、
      // と言いたいんだけどなぁ。

      親コメント
      • by Anonymous Coward on 2016年12月23日 23時42分 (#3134809)

        アダルト向けなら兎も角、たとえば「この飛行機はハイジャックした、我々に従わなければ墜落させる」とか表示させることで客のパニックを誘い、本当にハイジャックや自爆テロをしやすくする、みたいなことは可能かもしれない
        冷静な人は信じなくても、扇動される数が一定数いればそれだけで攻撃になるといえばなるから

        親コメント
        • by Anonymous Coward

          映画化決定。『フライト・ゲーム』の亜種だな。

        • by Anonymous Coward

          「この飛行機はハイジャックした、我々に従わなければ墜落させる」

          AYB [wikipedia.org]で機長も含めて大爆笑そして操縦不能で墜落ですねわかりますん

          • by Anonymous Coward

            そんな馬鹿なのならいいんだがね。

            液晶画面+ヘッドホンで何かしらのコンテンツを見てる客は多数居るわけだが、そこで突然画面が真っ暗になって
            「エンジン不調、なおりません、このままでは時間の問題です・・・都市部に落ちる前に山にぶつけるしか」
            「おい馬鹿、機内アナウンス中に何を」
            「あっ(ブチッ)」
            みたいな演技を放送されたら、そんだけで結構な数の客はパニックになると思うんだぜ。

            # そのパニック自体で致命的な結果は生じないにせよ、たとえばテロリストが分散して隠し持ってた武器を組み立てるとか
            # 或いは狙っていた乗客を暗殺する、人質を取る等の行動を起こしやすくなるだろうとは思うわけだ

        • by Anonymous Coward

          アダルト向けなら兎も角、たとえば「この飛行機はハイジャックした、我々に従わなければ墜落させる」とか表示させることで客のパニックを誘い、本当にハイジャックや自爆テロをしやすくする、みたいなことは可能かもしれない
          冷静な人は信じなくても、扇動される数が一定数いればそれだけで攻撃になるといえばなるから

          という映画だと思った by 乗客の声

      • by Anonymous Coward

        座席の画面で機体の位置や高度、速度などの飛行情報が見れると思うのですが
        制御系とエンタテイメント系は何らかの形で繋がっているのでは?

        • 逆に操作される可能性を考えるとそのくらいのことだったら別途センサを用意しても割に合うのでは。
          センサを共用するにしても片方向のみのデータバスを使用するとか。

          親コメント
        • by Anonymous Coward

          つまり、あなたは「座席の画面を破壊するなどすれば、制御系になんらかの影響を与えられるはずだ。」と言いたいのですね。

          乗客全員にゲームパッドが配られて、
          「皆様、非常事態が発生したため、全員が協力してこの機体を安全に着陸させましょう。」
          というイベントが見られるようになるわけですね。

          // 無茶な操作をしたがるやつがいるから、スリル満点のアミューズメントになりそうだなぁ。
          // 「成功報酬はお前たちの命だ!」

      • by Anonymous Coward

        関連付ける必要性のないシステムが繋げられるとしたら、コスト削減名目かな、、、と考えてたが。。。

        あーすまん「繋げられる」からの妄想と言うことで良いのかな?

        すまんがそっち系の発想欠けてるもんでな。

    • by Anonymous Coward

      ネットワーク物理的に切り離せよって意味ならわからんこともない

    • by Anonymous Coward

      実環境でのテストが許されなかったので、実装しうる最悪をシミュレーションしたら最悪の結果が出た、なら納得できませんか?

      ちょっと違うけど、これとか
      住基ネット侵入実験に関する専門家の発表に総務省が「待った」
      https://srad.jp/story/04/11/14/0922221/ [srad.jp]

  • by Anonymous Coward on 2016年12月23日 20時11分 (#3134740)

    針小棒大なタイトルをつけたかっただけだろ。
    アホかぐらいの感想しかない。

  • by Anonymous Coward on 2016年12月23日 21時21分 (#3134763)

    あえて機体制御側ネットワークと客席娯楽用ネットワークに抜け穴が掘ってある…っていうことは、ないよねー?

    • by Anonymous Coward

      クルーの休憩室には設置してあっても不思議じゃないですね。

    • by Anonymous Coward

      経路だけあっても機体制御側の装置には映画を出力できる装置がないだろ。
      出力装置があるなら素直に娯楽用ネットワークに繋げとけよ

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...