エミレーツ航空の予約システムに存在する致命的なセキュリティ問題が発覚

ネットショッピングや飛行機の搭乗予約などの手続きの多くは、インターネット上で行われることが主流になってきています。その際には氏名や住所などの個人情報をオンラインシステムに入力することになるので、当然ながらシステム側は絶対に個人情報が漏れない仕組みを準備することが求められます。しかし、ソフトウェアエンジニアのコナーラク・モディ氏によると、エミレーツ航空のオンライン予約システムには欠陥があり、2018年3月3日(土)時点でも悪用可能な状態であることが確認されているとのことです。

How Airlines don’t care about your privacy: Case Study Emirates.com
https://medium.com/@konarkmodi/how-airlines-dont-care-about-your-privacy-case-study-emirates-com-6271b3b8474b

モディ氏は2017年、家族旅行のためにエミレーツ航空のオンラインシステムを利用して便の予約を行いました。その時に座席や食事の内容を設定するために「予約管理画面」へのリンクをクリックすると、なぜか「Google」や「Facebook」「Crazy egg」など14の異なるウェブサイトに「予約ID」と「姓」の情報が渡されていることがわかったとのことです。

モディ氏はその時の様子を再現し、実際のスクリーンショットなども併せて公開しています。まず、エミレーツ航空のオンラインシステムで搭乗予約をすると、予約確認メールが届きます。

このメールには「Manage booking」のボタンが表示されていて、このボタンをクリックすることで、座席と食事の情報を設定する「予約管理画面」にアクセスできるのですが……

このボタンをクリックすると、本来アクセスするべきページ(以下画像の黒字URL)の前に、赤字で示された2つのURLにリダイレクトされることを確認したとのこと。リダイレクト自体はシステム側の仕様の都合もあるため問題ないものの、この2つのURLは「Google」や「Facebook」など14の異なるトラッキングサイトにアクセスし、「予約ID」などの情報を送信していることも確認したようです。

そして3番目のURLへのアクセスが行われると、予約情報の管理を行うためのリンク「Passenger preferences」が表示されます。しかし、このリンクはHTTPのリンクとなっており、このリンクをクリックするとオンラインシステムとユーザー間で行われる予約情報などのデータのやりとりが、一切暗号化されていない平文で行われることが発覚しました。

つまり、エミレーツ航空のオンラインシステムはユーザー情報を外部のトラッキングサイトに送信するだけでなく、個人用ページへのアクセスを第三者に許可している状態であるといえます。モディ氏は、以下のような操作を第三者によって容易に行われてしまう可能性があると指摘しています。

1. 便の予約変更またはキャンセル
2. 座席または食事内容の変更
3. 勝手に複数の便を予約
4. パスポート情報を変更・追加
5. フリークエントフライヤーの変更

モディ氏は既にエミレーツ航空に対し、この問題を2017年10月にTwitterのダイレクトメールで連絡し、対策の実施の有無を確認しています。しかし、エミレーツ航空側からは「内部で検討中」との回答しか得られなかったとのことです。

その後、モディ氏の指摘による影響からかエミレーツ航空側で不具合の一部について対処がなされたようです。これまでユーザーの情報はウェブページのソースコード上に変数名や値などのパラメータの内容が埋め込まれていて、通信を傍受されれば誰でも読める状態であったそうですが、変数名の難読化により読み取りが困難になったとのこと。

しかし、モバイルアプリでやり取りされる情報は難読化されておらず、そのままの変数名で読み取れる状態のようです。

モディ氏によると、2017年10月時点ではエミレーツ航空に限らず、KLMオランダ航空など他の多くの航空会社のシステムでも同様の問題を抱えていることを確認しているとのことで、業界全体でセキュリティに関する意識が低いと指摘しています。

エミレーツ航空のオンラインシステムの問題は、2018年3月3日(土)時点でもまだ続いていることをモディ氏は確認しており、特にユーザー情報漏えいの問題について、「実装が難しく対処に時間がかかるから問題を放置するのではなく、個人情報を保護するという『最も基本的な約束』は何よりも優先的に取り組み、速やかに果たさなければならない」と語っています。