ホテルのルームキーシステムをハックすると全部屋を開錠できるマスターキーを作成可能

多くのホテルではカードキーを使った電子ロックがドアの鍵に採用されています。しかし、電子ロックはデジタル制御された端末ということでハッキングの対象であることは間違いなく、実際に「世界最大の電子キーメーカー製のホテルのルームキーをハックできる」という事実がセキュリティ専門家によって発表されています。

F-Secure Press Room | Global
https://press.f-secure.com/2018/04/25/f-secure-researchers-master-keys-to-hotels-can-be-created-out-of-thin-air/

セキュリティコンサルティング会社のF-Secureが、世界中のホテルチェーンで採用されているAssa Abloy社製の電子ロックシステムには脆弱性があり、ハッキングできることを明らかにしました。開錠に成功したのはVisionと呼ばれるホテルロックの管理システムを採用するカードキーで、Visionにある脆弱性を突くことで、どんなカードキーでも開錠できる「マスターキー」を作り出すことが可能だとのこと。

F-Secureがホテルのルームキーのセキュリティ面に関心を寄せることになったのは、同社の技術者の盗難被害がきっかけだとのこと。ある技術者がセキュリティ会議に参加するために宿泊したホテルでノートPCを部屋から盗まれるという被害に遭いましたが、ホテル側は「ロックが解除された痕跡がシステム上で確認できない」と、盗難被害の訴えを却下したそうです。技術者は、「痕跡を残すことなく電子キーを採用したルームキーのロックを解除できないか？」をテーマに、数千時間かけてセキュリティホールを見つけ出し、Assa AbloyのVisionシステムをハックすることに成功したとのこと。

F-Secureはすでに不正にマスターキーを作り出すことでロックを解除されてしまうというセキュリティリスクの詳細をAssa Abloyに通知しており、発見された脆弱性はシステムアップデートで対策済み。ただし、ホテルの電子キー管理システムに潜む脆弱性は今回発見されたものだけとは限らず、実際に電子キーがハッキングされている可能性は否定できないとのこと。「セキュリティホールを修正可能なソフトウェア面だけでなく、事後的な修正が困難なハードウェア面を含めて、設計段階からセキュリティを厳重に確保することが大切だ」とF-Secureは述べています。

なお、F-Secureはホテルのデータベースへ侵入するデモムービーを公開しています。アナログ制御からデジタル制御に移行したシステムには、常にサイバー攻撃を受ける危険性を想定しなければいけないようです。

Hacking a Hotel Database - YouTube