パナソニック、機内エンタメシステム脆弱性で飛行機乗っ取り指摘に反論

多くの航空会社が採用しているPanasonicの機内エンターテインメントシステムの脆弱性により旅客機の乗っ取りが可能になるとするIOActiveの主張に対し、Panasonic Avionicsが反論している(Runway Girlに転載されたPanasonicの声明、Mashableの記事、Softpediaの記事)。

IOActiveが発見した脆弱性は有料サービスでのクレジットカードのチェックをバイパスするというものや、任意ファイルアクセス、SQLインジェクションなど。IOActiveによれば、機内のデータネットワークは飛行制御システムとPAシステム、エンターテインメントシステム、各席に設置されたデバイスの4つのドメインに分離されているが、機体によってはゲートウェイを通じて相互に接続されているものもあるという(IOActiveのブログ記事、The Registerの記事、Softpediaの記事[2])。

IOActiveはジープ・チェロキーの車載システムの脆弱性を利用して遠隔操作するデモを行っており、SATCOMの脆弱性も発見している。そのため、ドメインを超えて飛行制御システムや機内PAシステムを乗っ取られる可能性もあると述べている。また、乗客が機内で使用したクレジットカードの情報が盗まれる可能性にも言及している。IOActiveでは2015年3月に脆弱性をPanasonic Avionicsへ報告しており、修正に十分な期間が経過したとして情報を開示したが、すべての旅客機で修正が適用されていない可能性があるとも述べている。

ただし、システムの乗っ取りやクレジットカード情報の摂取の可能性についてはあくまで仮説であり、実証されたものではない。Panasonicでは発見された脆弱性の影響範囲は各席のデバイスに送られる情報のみであり、エンターテインメントシステムやPAシステム、飛行制御システムへの影響は及ばないと説明。PanasonicはAviation ISACのメンバーであり、脆弱性などの情報は共有して対策を行っているとし、報道に対して仮説の部分を強調した説明をするIOActiveが乗客に誤った警告を与えているなどと批判している。　スラドのコメントを読む | セキュリティセクション | セキュリティ | ネットワーク | バグ | 娯楽 | 交通

　関連ストーリー：
車載システムの脆弱性による米国でのリコール、USBメモリーで更新プログラムを配布 2015年07月26日
ヴァージンアメリカ、機内エンターテインメントシステムにAndroidを採用 2015年06月19日
「リモートからの攻撃を受けやすい自動車」が公表される 2014年08月05日
あなたがハッカーになったきっかけは？ 2014年06月01日
SATCOMのセキュリティは穴だらけ 2014年04月23日
米放送局が採用している「緊急警報システム」の脆弱性により、テレビに「緊急ゾンビ警報」が流れる 2013年07月12日
ペースメーカーをハッキングして過電圧を与えることができる脆弱性 2012年10月22日
JALのボーイング787、22日から就航。SKY MANGAサービスも開始 2012年04月21日
ATM をハイジャックする方法、Black Hat で発表される 2010年08月05日