SpiceJetのオンライン予約システムにおいて、乗客のプライバシーに影響を与える可能性のある2つの重大な脆弱性が特定されました。以下に詳述するこれらの脆弱性は、攻撃者が適切な権限なしに機密情報にアクセスすることを可能にする可能性があります。 ### 脆弱性の概要 CISAの報告によると、これらの脆弱性が悪用された場合、攻撃者は機密情報を開示できるようになります。 以下のバージョンのSpiceJetオンライン予約システムが影響を受けます： * オンライン予約システム vers:all/* (**CVE-2026-6375**, **CVE-2026-6376**) | CVSS | ベンダー | 機器 | 脆弱性 | | :----- | :-------- | :---------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | v3 7.5 | SpiceJet | SpiceJet Online Booking System | ユーザー制御キーによる認証バイパス、重要機能における認証漏れ | * **重要インフラセクター:** 交通システム * **展開されている国/地域:** 世界中 * **本社所在地:** インド ### CVE-2026-6375: ユーザー制御キーによる認証バイパス この脆弱性により、認証されていないユーザーがアクセス制御なしで乗客名記録（PNR）を照会できます。PNR識別子は予測可能なパターンに従うため、攻撃者は有効なレコードを体系的に列挙し、関連する乗客名を取得できます。この欠陥は、認証済みプロファイルアクセスを目的としたエンドポイントにおける認証チェックの欠如に起因します。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-6375) **影響を受ける製品:** * **ベンダー:** SpiceJet * **製品バージョン:** SpiceJet Online Booking System: vers:all/* * **製品ステータス:** known_affected * **関連CWE:** [CWE-639 ユーザー制御キーによる認証バイパス](https://cwe.mitre.org/data/definitions/639.html) ### CVE-2026-6376: 重要機能における認証漏れ この脆弱性により、PNRと姓のみを使用して、認証や検証メカニズムなしに乗客の予約詳細全体にアクセスできるようになります。これにより、これらの基本的な入力情報を取得または推測できる認証されていないユーザーに、広範な個人情報、旅行情報、予約メタデータが公開されることになります。この問題は、機密データ取得機能における不適切なアクセス制御に起因します。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-6376) **影響を受ける製品:** * **ベンダー:** SpiceJet * **製品バージョン:** SpiceJet Online Booking System: vers:all/* * **製品ステータス:** known_affected * **関連CWE:** [CWE-306 重要機能における認証漏れ](https://cwe.mitre.org/data/definitions/306.html) ### 対策 CISAは、これらの脆弱性の悪用リスクを最小限に抑えるために、ユーザーに防御策を講じることを推奨しています： * すべての制御システムデバイスおよび/またはシステムについて、インターネットからアクセスできないようにネットワーク公開を最小限に抑える。 * 制御システムネットワークとリモートデバイスをファイアウォールの背後に配置し、ビジネスネットワークから隔離する。 * リモートアクセスが必要な場合は、Virtual Private Network（VPN）などのより安全な方法を使用する。ただし、VPNにも脆弱性が存在する可能性があり、利用可能な最新バージョンに更新する必要があることに留意する。また、VPNは接続されているデバイスと同等のセキュリティしか持たないことも認識する。 CISAは、組織に対し、防御策を展開する前に適切な影響分析とリスク評価を実施するよう念を押しています。 疑わしい悪意のあるアクティビティを観察した組織は、確立された内部手順に従い、他のインシデントとの相関分析のためにCISAに調査結果を報告する必要があります。 CISAはまた、ユーザーがソーシャルエンジニアリング攻撃から身を守るために、以下の対策を講じることを推奨しています： * 未承諾の電子メールメッセージ内のウェブリンクをクリックしたり、添付ファイルを開いたりしない。 * 電子メール詐欺を回避するための詳細については、「電子メール詐欺の認識と回避」を参照する。 * ソーシャルエンジニアリング攻撃やフィッシング攻撃を回避するための詳細については、「ソーシャルエンジニアリングとフィッシング攻撃の回避」を参照する。