May 3, 2018 / 11:34 PM / 6 months ago

アングル:ホテル期限切れカードキー、ハッカー不正開錠の恐れ

[ヘルシンキ 25日 ロイター] - ホテルでよく見るカード型のルームキーが1枚あれば、侵入者はそのホテルのどの部屋でも痕跡を残さずに開錠できるマスターキーを作ることができる──。

 4月25日、ホテルでよく見るカード型のルームキーが1枚あれば、侵入者はそのホテルのどの部屋でも痕跡を残さずに開錠できるマスターキーを作ることができる──。写真はアッサアブロイが提供するホテルのルームキー。ヘルシンキで20日撮影(2018年 ロイター/Attila Cser)

フィンランドのセキュリティー研究者が、そんな研究結果を25日に公表。14年来の謎を解くものとして注目されている。

この研究者2人は、世界最大の鍵メーカーで、問題のルームキーの制御システムを所有しているアッサアブロイ(ASSAb.ST)と協力し、この欠陥を修正したとしている。一方、この欠陥が何年も認識されずにいたことは、宿泊業業界に警鐘を鳴らしている。

フィンランドのデータセキュリティー会社F-セキュア(FSC1V.HE)のコンサルタント、トミー・トゥオミネン(45)とテイモ・ヒルボネン(32)の両氏は、1年ほど前に欠陥を見つけ、アッサアブロイに連絡したと話す。

「ホテルの部屋のカードキーがあれば、そのホテルのどんな部屋でも入れるマスターキーを作れる。有効なキーである必要はなく、期限切れのものでも構わない」と、ヒルボネン氏はインタビューで語った。

両研究者はアッサアブロイに協力し、同社は修正したソフトウエアを2月にホテル側に提供した。アッサアブロイは、一部のホテルではアップデートが完了したものの、問題の全体的な解決にはなお数週間かかるとの見通しを示した。

「ホテルには、この修正ソフトウエアのインストールを強く勧める」とヒルボネン氏は話し、「かといって、脅威がすぐそこまで迫っているというわけではない。この方法で侵入できるまでには、時間がかかるからだ」と付け加えた。

アッサアブロイは、(欠陥を特定した)研究者の手法などは公表しないため、新たにセキュリティーリスクが生じる可能性は低いとしている。

問題のキーシステム「Vision by Vingcard」は、電波を使って自動認識を行うもので、すでに多くのホテルではより新しい技術を使ったシステムに置き換えられている。だがアッサアブロイは、古いシステムを使ったホテルの部屋が世界にまだ数十万部屋あると推測する。

トゥオミネン氏は、欠陥発見のきっかけは、鍵の設置状況の弱点と、一見重要ではない技術的なデザインの欠陥を見つけたことにあったと話す。

<未解決の事件>

ハッキングできるデバイスを見せる研究者のヒルボネンさん。ヘルシンキで19日撮影(2018年 ロイター/Attila Cser)

バルト海に面したF-セキュアのガラスと鉄鋼で建てられた本社で、研究者2人は小さなデバイスを見せてくれた。Vingcardのカードキーが1枚あれば、このデバイスを使ってそこから情報を得てマスターキーを作れるのだという。

発端は2003年、ベルリンの高級ホテルのセキュリティー専門家の部屋から、ノートパソコンが消えた事件だった。

侵入者は、電子ロックが装備された部屋に何の痕跡も残さなかったと、このホテルのスタッフは話す。盗まれたノートパソコンはセキュリティー会議でのプレゼンテーションに使われたもので、再び見つかることはなかった。

会議でこの盗難事件について耳にしたトゥオミネン氏とヒルボネン氏(当時は、ハッカーのイメージがある黒いフード付きスタイルをした若者だった)は自問してみた。「このキーシステムを、痕跡なく破ることはできるのか」

2人はその後、宿泊客がホテルに返却するのを忘れがちなプラスチックのカードキーの謎について、何年も断続的に取り組んできた。最初は単なる趣味だったが、その後、プロとしてのミッションになった。

「単独では問題ない点が、2つ一緒になると悪用可能になる」と、ヒルボネン氏は説明する。

「他の電子ロックシステムに似たような欠陥があったとしても驚かない。誰かが真剣に突破を試みない限り、あるシステムがどの程度安全かは分からない」と、同氏は付け加えた。

また2人は、今回発見した欠陥が、犯罪者に悪用された証拠は見つからなかったと話した。

アッサアブロイは、同社の新型システムでは、宿泊客がスマートフォンを使って部屋を開錠できるようにするなど、異なる技術を採用していると強調する。

「セキュリティービジネスの難しいところは、対象が常に変化することだ。いまこの瞬間に安全なことは、20年後には安全ではなくなる」と、アッサアブロイ ホスピタリティの幹部クリストフ・サット氏は電話取材で話した。

研究者2人は、アッサアブロイ側から一切報酬を受け取っておらず、チャレンジ精神で取り組んだだけだと言う。

「サッカーが好きな人もいれば、ヨットが好きな人も、写真が好きな人もいる。これが私たちのホビーなんだ」と、トゥオミネン氏は話した。

(翻訳:山口香子 編集:伊藤典子)

0 : 0
  • narrow-browser-and-phone
  • medium-browser-and-portrait-tablet
  • landscape-tablet
  • medium-wide-browser
  • wide-browser-and-larger
  • medium-browser-and-landscape-tablet
  • medium-wide-browser-and-larger
  • above-phone
  • portrait-tablet-and-above
  • above-portrait-tablet
  • landscape-tablet-and-above
  • landscape-tablet-and-medium-wide-browser
  • portrait-tablet-and-below
  • landscape-tablet-and-below