Googleのオフィスはハッキングにより解錠可能で誰でも入れる状態だったと判明

by PhotoMIX-Company

アメリカ・カリフォルニア州サニーベールにあるGoogleのオフィスのスマートロックに脆弱性があり、RFIDを使ったキーカードなしで誰でも入れる状態にできたことが判明しました。

Google's Doors Hacked Wide Open By Own Employee
https://www.forbes.com/sites/thomasbrewster/2018/09/03/googles-doors-hacked-wide-open-by-own-employee

この脆弱性を発見したのはGoogleの従業員であるDavid Tomaschik氏。Googleのオフィスの扉はSoftware Houseというメーカーのデバイスで制御されていますが、Tomaschik氏がGoogleのネットワークに悪意のあるコードを送ったところ、カギに点灯しているライトが赤から緑に変わり、ロックが解除される「ガチャッ」という音が聞こえたとのこと。

2017年の夏にTomaschik氏は、Software HouseのデバイスがGoogleのネットワークに送っている暗号化されたメッセージを目にした時に、メッセージの暗号化がランダムではないことに気づきました。そこで調査が進められたところ、Tomaschik氏はSoftware Houseの全てのデバイスで利用されているハードコードされた暗号鍵を発見。これにより、解錠コマンドが送れるようになったそうです。

記録を残さずに解錠が実行できたほか、これとは反対に、勝手に施錠してGoogleの従業員を建物に入れなくすることも可能な状態でした。Tomaschik氏が脆弱性についてGoogleに報告すると、Googleはすぐに問題の対処にあたりました。

Google広報によると、これまでのところ、悪意あるハッカーに脆弱性が利用された証拠は見つかっていないとのこと。また、Software Houseも問題を解決する方法を見つけ出したとしています。

現代では多くの家電でインターネットが利用されていますが、このようなIoTはセキュリティに脆弱性が残されており、ハッキングのターゲットにされやすいという指摘も。政府機関が利用するFAXを利用すれば社内ネットワークに入り込んで機密文書を持ち出せるという方法なども、研究者によって発表されています。

セキュリティ対策ゼロの「FAX」から政府機関や企業がハッキングにあう危険性があると判明 - GIGAZINE