2025年9月19日、コリンズ・エアロスペースの旅客処理プラットフォーム「MUSE」へのサイバー攻撃により、欧州の主要空港は紙とペンによる業務への回帰を余儀なくされました。本レポートでは、何が起きたのか、なぜそれが重要だったのか、そして空港、航空会社、ベンダーが再発を防ぐために取るべき実践的な対策について解説します。
何が起こったか ― 作戦上のショック
2025年9月19日、高度なサイバーインシデントが ミューズ コリンズ・エアロスペース(しばしば cMUSE or vMUSE)。この攻撃により、ロンドン・ヒースロー空港、ブリュッセル空港、ベルリン・ブランデンブルク空港など、複数の空港で自動チェックイン機、手荷物預け入れインターフェース、搭乗ゲートシステムが混乱し、長い行列、遅延、多数の欠航、一時的な迂回便が発生した。
業界情報会社や報道機関の報告によれば、この障害により空港は数時間にわたり手動フォールバックモードを余儀なくされ、単一のベンダー障害が航空会社やターミナル全体に及ぶ体系的な運用の混乱に連鎖する可能性があることが示された。
MUSEとは何か?航空会社のPSSプラットフォームとの違い
MUSEは 共用旅客処理システム(CUPPS)その役割は、キオスク、カウンター、搭乗ゲートといったターミナルインフラを複数の航空会社が共有できるようにすることです。これは、予約、発券、マーチャンダイジング、収益管理といった航空会社の商取引に重点を置くNavitaire(アマデウス傘下)などの旅客サービスシステム(PSS)とは対照的です。
要するに: ミューズ 空港での実際の乗客の流れを管理します。 ナビタワール 航空会社の商用システムを運用しています。どちらも極めて重要ですが、トラベルスタックの異なるレイヤーに存在します。CUPPSレイヤーに障害が発生すると、キオスクや搭乗ゲートに並ぶ数千人の乗客に即座に影響が及ぶ可能性があります。
| 側面 | ミューズ / cMUSE / vMUSE | ナビタワール |
| 主な機能 | 共用の旅客処理(チェックイン、キオスク、手荷物預かり所、搭乗ゲート) | 旅客サービスシステム(PSS):予約、発券、商品管理、収益管理 |
| プライマリユーザー | 空港とターミナル運営者、共有インフラを利用する航空会社 | 航空会社 |
| 展開モデル | オンプレミスまたはクラウド、CUPPS準拠の統合 | クラウドネイティブ、API 駆動型 PSS |
| 一般的なインターフェース | キオスク、プリンター、生体認証リーダー、ゲートシステム(CUTE/CUPPS規格) | コマースと予約のための配信API、NDC、EDIFACT、REST |
| 運用リスク | ターミナルレベルでの単一障害点 - 乗客への即時の物理的影響 | 空港システムと統合した場合の事業継続性、収益損失、チェックインの整合性 |
攻撃の解剖
複数のセキュリティ会社が収集した情報によると、 サプライチェーンの妥協 パターン:ベンダー環境への最初の侵入、そしてテナント空港への拡散。脅威アクターの帰属は依然として不明瞭であり、アナリストはハクティビストによる妨害行為からランサムウェアによる妨害、国家支援による攻撃まで、様々な動機や能力を提唱している。しかし、一般的な手法はMITRE攻撃分類のサプライチェーンアクセス(T1195)、フィッシング(T1566)、ラテラルムーブメント、サービス停止(T1489)と一致している。
- チェックインおよび搭乗口での処理時間が延長されます。
- 影響を受けた空港では複数の欠航、迂回、遅延が発生しています。
- 継続性を維持するためにペンと紙のログを使用します。
MUSEとNavitaireが旅行スタックの中でどこに位置するか
実践的な推奨事項(運用および技術)
- 定期的なフォールバック訓練: 航空会社および地上スタッフと現実的な手動チェックインおよび搭乗訓練を実行し、タイムラインとコミュニケーション計画をテストします。
- ベンダーリスクガバナンス: CUPPS/PSS ベンダーとの契約には、厳格なサイバーセキュリティ SLA、独立監査、および侵害通知期間の義務化が含まれます。
- ネットワーク セグメンテーション: CUPPS インフラストラクチャを一般的な企業ネットワークから分離し、フィッシング耐性のある MFA とジャンプ ホストを使用してベンダーのリモート アクセスを厳密に制御します。
- 不変バックアップ: ランサムウェアや破壊的な攻撃を受けた後の復元を可能にするために、重要な構成と資産のオフラインの書き込み可能なバックアップを維持します。
- 積極的な脅威ハンティング: 空港の資産やベンダーのサービスに関連する資格情報の漏洩、不審な管理者ログイン、ダークウェブでのやり取りを監視します。
- スタッフトレーニング: 最前線のスタッフがエスカレーション パスを把握し、手動操作モードのクイック リファレンス手順を備えていることを確認します。
技術表: 推奨される互換性とインターフェースのチェックリスト
| 成分 | プロトコル/標準 | セキュリティ管理 | Notes |
| CUPPS / MUSEエンドポイント | CUPPS / CUTE、ベンダーAPI用のSOAP/REST | 相互 TLS、クライアント証明書、管理者アクセス用の強力な MFA | セグメント化されたVLAN; ベンダー管理のためにソースIPを制限 |
| キオスクとゲートハードウェア | 独自のデバイスプロトコル、管理用のSSH/SNMP | デバイスの強化、署名されたファームウェア、改ざん検出 | 最小権限ネットワーク; オフライン機能フォールバック |
| PSS(ナビテール) | NDC、EDIFACT、REST API | APIゲートウェイ、WAF、レート制限、クライアントごとの認証情報 | 航空会社ごとにサービスアカウントを使用し、キーを頻繁に切り替える |
| 管理者とベンダーのアクセス | RDP/SSH、VPN、ベンダーポータル | 特権アクセス管理、ジャストインタイムアクセス、セッション記録 | 永続的な管理者アカウントを避ける |
| テレメトリと検出 | Syslog、EDR、SIEMの統合 | 集中ログ、長期保存、異常検出 | ベンダーテレメトリと空港テレメトリを相関させる |
認定条件 RELIANOID これらのアプリケーションのセキュリティを確保します
ベンダーの注意は必要ですが、十分ではありません。 RELIANOIDアプリケーションデリバリーコントローラ(ADC)は、ベンダーのセキュリティ強化を強化する階層型保護モデルを提供します。高度な負荷分散によりトラフィックの急増を吸収・分散し、統合されたWebアプリケーションファイアウォール(WAF)ルールにより一般的なアプリケーション層攻撃をブロックし、SSL/TLSの終端処理と検査により悪意のあるペイロードを検出し、DDoS攻撃の緩和によりボリュームインシデント発生時の可用性を維持します。CUPPSエンドポイントまたは航空会社のPSS(Navitaireなど)の前面に導入され、 RELIANOID 厳格なアクセス ポリシー、レート制限、ヘルス チェックに基づくフェイルオーバーを実装できるため、単一ベンダーの停止をシステム全体のシャットダウンではなく管理可能なインシデントに変えることができます。 技術記事をご覧ください これらのアプリケーションの負荷分散 および RELIANOID 現場でのユースケース.
まとめ
2025年9月に発生した混乱により、空港は「MUSEから手動へ」移行しました。これは、デジタル化が運用リスクを集中させることを如実に示しています。航空業界がサードパーティプラットフォームに依存するには、業界全体の連携、すなわち定期的なフォールバックテスト、契約に基づくセキュリティ保証、セグメント化されたアーキテクチャ、そして強固なインフラ整備が不可欠です。運用上の準備と、ADC、WAF、不変のバックアップ、そして強力なアクセスガバナンスといった技術的管理策を組み合わせることで、空港と航空会社は、単一のベンダーによるセキュリティ侵害が大陸規模の旅行危機に発展する可能性を低減できます。
関連ブログ
