セキュリティ企業のPentagridは6月5日(現地時間)、「Kiosk mode bypass for an Ariane Allegro Scenario Player based hotel check-in terminal|Pentagrid AG」において、Ariane Systemsの宿泊施設向けセルフチェックイン/チェックアウト端末から脆弱性を発見したと報じた。この脆弱性を悪用すると、攻撃者はチェックイン/チェックアウトアプリケーションの「Ariane Allegro Scenario Player」を強制終了させて個人識別情報(PII: Personally Identifiable Information)、予約情報、請求書などを閲覧できるとされる。

  • Kiosk mode bypass for an Ariane Allegro Scenario Player based hotel check-in terminal|Pentagrid AG

    Kiosk mode bypass for an Ariane Allegro Scenario Player based hotel check-in terminal|Pentagrid AG

ホテル向け端末が抱えている脆弱性の概要

Ariane Systemsの宿泊施設向けセルフチェックイン/チェックアウト端末は、Windows上で動作するキオスク端末とされる。通常、この端末が設置された施設にはフロントに従業員が配置されておらず、宿泊客は端末を操作してチェックイン、チェックアウトの手続きを行う。

チェックインの手続きは、最初に予約コードまたは自分の名字を入力して宿泊予約を確認する。このとき名字にシングルクォートを含めて検索すると、アプリケーションが動作を停止する。この状態で再度画面をタッチすると、Windowsがアプリケーションを強制終了するか尋ねてくるため、強制終了させるとWindowsのデスクトップ画面が表示される。

  • アプリケーションを終了するか尋ねる画面 - 引用:Pentagrid

    アプリケーションを終了するか尋ねる画面 引用:Pentagrid

この状態になると、宿泊客は通常のWindowsコンピュータとして操作が可能になり、内部のデータを閲覧できるようになる。ただ、幸いなことにUSBポートなどは無効になっており、データの持ち出しはできないとみられている。

  • キオスク端末のデスクトップ画面 - 引用:Pentagrid

    キオスク端末のデスクトップ画面 引用:Pentagrid

対策

Ariane Systemsはすでにこの脆弱性を修正し、端末のアプリケーションを更新したとされる。しかしながら、Ariane Systemsは本件に関する情報を公開していないため、すべての端末が更新されたかはわかっていない。

Pentagridは脆弱性の有無を心配する宿泊客に対し、Ariane Systemsに問い合わせてから端末を操作することを推奨している。また、Ariane Systemsのセルフチェックイン/チェックアウト端末を導入している宿泊施設には、セキュリティ脆弱性が存在するか確認し、必要に応じてアップデートをベンダーに依頼することが望まれている。