エフセキュアのリサーチャー、ホテルのマスターキーは偽造できると警告

エフセキュアのリサーチャーは、世界中のホテルチェーンやホテルのルームキーにハッキングし、どの部屋にも侵入できることを確認しました。

著者: F-Secure Business Security Insider
日付: 2018年04月25日
読了時間: 1 分

フィンランド、ヘルシンキ発 – 2018年4月25日:エフセキュアのリサーチャーは、世界中のホテルチェーンやホテルが導入している電子ロックシステムが、攻撃者によってホテル内のどの部屋にもアクセスできるように悪用される恐れがあることを確認しました。世界中の何百万ものホテルの部屋を安全に保つために使用されているソフトウェアは、VingCard ホテルロックシステムのVisionとして知られています。今回Visionで発見された設計上の欠陥により、このシステムを提供している世界最大の錠前製造メーカーである
Assa Abloy社は、この問題を修正するセキュリティ修正プログラムを公開することになりました。

エフセキュアのリサーチャーによる対象施設への攻撃は、通常の電子キーを使用して行われており、これには有効期限切れのキーや、廃棄されたキー、ガレージやクローゼットのキーなども含まれています。同リサーチャーによると、キーに保存されている情報を使用して、建物内のすべての部屋を開錠する特権を持つマスターキーを作成することができ、その攻撃は誰にも気付かれることなく実行することが可能です。

エフセキュアのサイバーセキュリティサービスの実践リーダーであるTomi Tuominen(トミ・トゥオミネン)は次のように述べています。「悪意のある人が、何もないところからマスターキーを作り出して、ホテルのどの部屋にでも入れるとしたら、いったい何をするか想像できるでしょう。今のところ、実際にこの攻撃を実行している者は確認されていません。」

このリサーチャーがホテルの鍵のハッキングに関心を持ったきっかけは10年前に遡ります。あるセキュリティカンファレンスで、同僚のノートパソコンがホテルの部屋から盗まれた時、このリサーチャーは盗難の事実をホテルのスタッフに訴えました。しかし、侵入した形跡は全くなく、入室ログに不正アクセスの記録も無かったことから、この訴えは退けられました。リサーチャーは、この問題をさらに調査することを決意し、高品質、高セキュリティで知られる錠前のブランド企業をターゲットに選びました。見逃されていた複数のセキュリティーホールを探すことは容易なことではありませんでした。攻撃を生み出すために組み合わせる小さな欠陥を特定するためには、システム全体の設計を完全に理解する必要があったからです。この調査には数千時間を要し、断続的に行われ、かなりの回数の試行錯誤が重ねられました。

エフセキュアのシニアセキュリティコンサルタントであるTimo Hirvonen(ティモ・ヒルボネン)は次のように述べています。「追跡記録を残さずに電子ロックをバイパスできるかどうかを知りたかったのです。安全なアクセス制御システムを構築することは極めて困難を伴います。なぜなら、正確性を求められる項目が数多くあるからです。私たちは、そのシステムがどのように設計されたかを完全に理解したからこそ、一見無害に見えた欠陥を特定することができたのです。私たちは、これらの欠陥をうまく組み合わせて、マスターキーを作成する方法にたどり着きました。」

エフセキュアはAssa Abloy社にこの調査結果を通知し、1年前から両社が協力してソフトウェア修正プログラムを開発しました。そして、このアップデートによって、影響を受けていた施設に適用できるようになりました。

「これらの問題を是正する上で、Assa Abloy社の研究開発チームから多大なる協力を頂いたことに個人的に感謝したいと思います。」とTuominenは語っています。「私たちの調査によって明らかにされた問題に取り組むAssa Abloy社の勤勉さと意欲によって、ホスピタリティー業界に安全性がもたらされました。
エフセキュアは、このソフトウェアを使用しているすべての施設ができるだけ早くアップデートを適用することを強く推奨します。」

免責事項:この調査の過程で実際のホテルの部屋が被害を被ったことはありません。このツールをご利用することはできません。

※記載されているロゴ、会社名、製品・サービス名は、各社の登録商標または商標です。

以下フォームより登録のうえインフォグラフィックをダウンロードしてください。

 


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

w

%s と連携中