2025年9月20日、英国 ヒースロー空港や・ドイツのベルリン空港・ベルギー ブリュッセル空港など欧州の複数空港で発生したチェックインや搭乗のシステム障害が発生しました。セキュリティ研究者によると、このシステム障害の原因がCollins AerospaceのARINC SelfServ vMUSE(マルチユーザー・チェックイン基盤)を狙ったランサムウェア攻撃である可能性が指摘されています。
システム障害の影響
影響は英国・ドイツ・ベルギー・アイルランドの主要空港に及び、ロンドン・ヒースロー、ブリュッセル、ベルリン・ブランデンブルク、ダブリン、コークなどでチェックインや搭乗処理の電子系統が止まりました。
障害の対象はセルフチェックイン、搭乗券・手荷物タグ印字、カウンター側の発券・搭乗処理まで広がり、各空港・各社が手作業に切り替え。
運航自体は継続したが、列の滞留と遅延は避けられず、ブリュッセルは出発便の半数キャンセルを要請するほどの打撃になりました。
現場対応は紙と人力への総動員で、自動化を前提に削減されていたカウンタースタッフが不足し、手書きタグや手動搭乗の列が伸び、ヒースローは大半の便を飛ばしつつも遅延が重なり、ブリュッセルはNOTAM(緊急時の施設運営に支障が出ている状態)で減便を公示しました。
研究者の観測
セキュリティ研究者のKevin Beaumont氏は、被害の中心がARINCのvMUSEと、その背後の共有ネットワーク(navAviNet/ARINC Ground Network)にあると指摘しています。報道よりも影響空港は多く、ハブ空港で遅延が目立つことで実態が見えづらくなっていると述べています。vMUSEでは乗客の生体情報やユーザーID基盤も扱われ、認証面の障害が広がった結果、航空会社スタッフがログインできずオペレーションが詰まったと見ています。
また、外部露出や古いリモートアクセスの衛生面の弱さも示され、攻撃者はドメイン管理者権限を奪ってWindows環境を徹底的に破壊し、バックアップからの復旧直後に再侵入してさらに破壊する悪循環が起きていたと指摘します。
犯行は金銭目的の色合いが濃く、影響は週単位で尾を引く可能性が高いと見られ現場で必要なのは、拙速な再立ち上げではなく、まず攻撃者の残存を完全に洗い出し、信頼できる管理プレーンを作り直してから段階的に公開する、という手順の徹底だと結論づけています。
攻撃の構図(推定)
-
初期侵入:共有ネットワーク(ARINC Ground Network)上の露出システムやリモートアクセス基盤の弱点を突かれた可能性。
-
権限昇格:ドメイン管理者権限を奪取し、認証・端末・サーバ群を横断的に制御。
-
横展開と暗号化/破壊:チェックイン系(vMUSE)を含むWindows資産へ展開し、大規模障害を誘発。
-
復旧妨害:バックアップ復旧後も持続的な再侵入で再破壊、復旧の糸口を断つ。
-
交渉・威圧:運航への影響をテコに、身代金圧力を強める典型的なランサム戦術。








