セキュリティ

ホテルのルームキーシステムをハックすると全部屋を開錠できるマスターキーを作成可能


多くのホテルではカードキーを使った電子ロックがドアの鍵に採用されています。しかし、電子ロックはデジタル制御された端末ということでハッキングの対象であることは間違いなく、実際に「世界最大の電子キーメーカー製のホテルのルームキーをハックできる」という事実がセキュリティ専門家によって発表されています。

F-Secure Press Room | Global
https://press.f-secure.com/2018/04/25/f-secure-researchers-master-keys-to-hotels-can-be-created-out-of-thin-air/

セキュリティコンサルティング会社のF-Secureが、世界中のホテルチェーンで採用されているAssa Abloy社製の電子ロックシステムには脆弱性があり、ハッキングできることを明らかにしました。開錠に成功したのはVisionと呼ばれるホテルロックの管理システムを採用するカードキーで、Visionにある脆弱性を突くことで、どんなカードキーでも開錠できる「マスターキー」を作り出すことが可能だとのこと。


F-Secureがホテルのルームキーのセキュリティ面に関心を寄せることになったのは、同社の技術者の盗難被害がきっかけだとのこと。ある技術者がセキュリティ会議に参加するために宿泊したホテルでノートPCを部屋から盗まれるという被害に遭いましたが、ホテル側は「ロックが解除された痕跡がシステム上で確認できない」と、盗難被害の訴えを却下したそうです。技術者は、「痕跡を残すことなく電子キーを採用したルームキーのロックを解除できないか?」をテーマに、数千時間かけてセキュリティホールを見つけ出し、Assa AbloyのVisionシステムをハックすることに成功したとのこと。


F-Secureはすでに不正にマスターキーを作り出すことでロックを解除されてしまうというセキュリティリスクの詳細をAssa Abloyに通知しており、発見された脆弱性はシステムアップデートで対策済み。ただし、ホテルの電子キー管理システムに潜む脆弱性は今回発見されたものだけとは限らず、実際に電子キーがハッキングされている可能性は否定できないとのこと。「セキュリティホールを修正可能なソフトウェア面だけでなく、事後的な修正が困難なハードウェア面を含めて、設計段階からセキュリティを厳重に確保することが大切だ」とF-Secureは述べています。

なお、F-Secureはホテルのデータベースへ侵入するデモムービーを公開しています。アナログ制御からデジタル制御に移行したシステムには、常にサイバー攻撃を受ける危険性を想定しなければいけないようです。

Hacking a Hotel Database - YouTube

・関連記事
ホテルのPCにキーロガーが仕込まれていて個人情報や財務データを盗まれる可能性がある - GIGAZINE

400万部屋以上のホテルのカードキーロックが秒単位で解錠可能な技術が公開される - GIGAZINE

現地の人と部屋を貸し借りする「Airbnb」で部屋を借りたら隠しカメラで盗撮されていた - GIGAZINE

わずか60秒で自動車のセキュリティを「ハック」して車を盗む手口、誰もが遭遇し得る盗難への対処法とは - GIGAZINE

スマートキーをハックして遠隔チームプレイで手際よく高級車を盗み出す驚愕の手口が明らかに - GIGAZINE

創業100年以上のカギメーカーの老舗が開発した「近づくだけで解錠される」スマート南京錠「Bluetooth Smart Padlocks」 - GIGAZINE

解錠に時間がかかりそうなセキュリティー万全のドアチェーン - GIGAZINE

in ハードウェア,   動画,   セキュリティ, Posted by logv_to