スイスのWebセキュリティ会社ImmuniWebによる新しいレポートは、世界のセキュリティの状態に焦点を当てています 100 最大の空港.
分析の結果は、 97 の 100 空港は、ウェブサイトを守るためのシステムの効率的な保護を欠いています, モバイルアプリ, とパブリッククラウド.
たった3つの空港, アムステルダム空港スキポール, ヘルシンキ-ヴァンター空港とダブリン空港, 研究者のテストに問題なく合格し、問題は検出されませんでした. これらの3つの空港, 研究者 言った, 役立つかもしれません航空業界だけでなく、他のすべての業界にとっても称賛に値する例.」
空港のセキュリティに関するImmuniWebのテストはどのように実施されましたか?
研究者は、トップの銀行機関のアプリケーションセキュリティに関する以前の研究で使用したのと同じ「強化された方法論」を適用しました. この方法論は、オープンソースインテリジェンスから採用されたアプローチも借用しています (OSINT), そのような:
– パブリッククラウドストレージの検出と非侵入型セキュリティテスト, AWSS3など;
– ダークウェブの露出の監視, マーケットプレイスやフォーラムなど;
– パブリックコードリポジトリの監視, GitHubなど.
ImmuniWebが、問題が確認された後、空港のサイバーセキュリティを調査することを決定したことは注目に値します。 2020 世界経済フォーラム. で 別レポート 航空業界で, 世界経済フォーラムは、空港に新たなサイバーセキュリティ問題に取り組むよう促しました.
Webアプリケーションのセキュリティの観点から, そのうちの3つだけ 100 空港はA+グレードを取得しました.
「「と同じくらい 24 主要なウェブサイトの一部が「F」グレードに失敗しました, つまり、CMSに既知の悪用可能なセキュリティの脆弱性を備えた古いソフトウェアがあったということです。 (例えば. WordPress) および/またはWebコンポーネント (例えば. jQuery). 一部のWebサイトには、脆弱なコンポーネントがいくつか含まれていました。」, 報告書は指摘しました.
詳細については、以下の表をご覧ください。:
発見の概要:
メインのウェブサイトのセキュリティ:
97% のウェブサイトには古いウェブソフトウェアが含まれています
24% のWebサイトには、既知の悪用可能な脆弱性が含まれています
76% と 73% のウェブサイトはそれぞれGDPRとPCIDSSに準拠していません
24% 一部のWebサイトにはSSL暗号化がないか、廃止されたSSLv3を使用しています
55% のWebサイトはWAFによって保護されていますモバイルアプリケーションのセキュリティ:
100% のモバイルアプリには少なくとも 5 外部ソフトウェアフレームワーク
100% のモバイルアプリには少なくとも 2 脆弱性
15 セキュリティまたはプライバシーの問題は、平均してアプリごとに検出されます
33.7% モバイルアプリの発信トラフィックは暗号化されていませんダークウェブの露出, コードリポジトリとクラウド:
66% の空港はダークウェブで公開されています
72 から 325 ばく露は重大または高リスクであり、重大な違反を示します
87% の空港では、パブリックコードリポジトリでデータ漏洩が発生しています
503 から 3184 リークは重大または高リスクであり、侵害を引き起こす可能性があります
3% の空港には、機密データを含む保護されていないパブリッククラウドがあります
空港に対するサイバー攻撃
九月に 2019, 英国のブリストル空港 ランサムウェア攻撃の犠牲者になりました. 結果として, 到着および出発のフライト情報を表示するために必要な空港の社内テレビ画面が影響を受け、文字通り黒く塗りつぶされました.
到着と出発のスケジュールを表示せずに空港が適切に機能することは非常に困難です. ランサムウェア感染の結果を処理するには, 空港の従業員は創造的にならなければなりませんでした. 彼らはすべてのフライト情報を発表するために紙のポスターとホワイトボードを使用していました, ほぼ3日間.