2003年、フィンランドのセキュリティ研究者トミ・トゥオミネン氏がベルリンでセキュリティ会議に出席していた際、友人のホテルの部屋から機密データが保存されたノートパソコンが盗まれました。盗難は謎に包まれていました。高級ホテル、アレクサンダープラッツ・ラディソンのスタッフは手がかりとなるものがなく、ドアには強制侵入の痕跡はなく、ドアのキーカードロック(Vingcard社が販売する一般的なRFIDカードリーダー)の電子ログには、ホテルのスタッフ以外の入室記録がありませんでした。
消えたノートパソコンの謎は解明されなかった。しかし、トゥオミネン氏とF-Secureの同僚ティモ・ヒルヴォネン氏は、Vingcardの鍵に脆弱性があり、ホテルの部屋の電子錠をすり抜けられる可能性をどうしても捨てきれなかった。そして、彼らはその後約15年間、その可能性を証明しようと奔走した。
マスターキー
今週後半にマイアミで開催される Infiltrate カンファレンスで、トゥオミネン氏とヒルボネン氏は、Vingcard の Vision ロックで使用されるキーカードの RFID コードを単に複製するだけでなく、ホテルのどの部屋でも開けられるマスターキーを作成するために発見した手法を発表する予定だ。
300ドルのProxmark RFIDカード読み取り・書き込みツール、標的のホテルのゴミ箱から回収した期限切れのキーカード、そしてVingcardがキーカードに電子的に書き込むコードを15年近くにわたって断続的に分析することで開発された一連の暗号技術を用いて、ハッカーたちはホテルのマスターキーコード候補を大幅に絞り込む方法を発見した。彼らはこの携帯型Proxmarkデバイスを使って、ホテル内のあらゆる鍵に残っている可能性のあるコードをすべて順に確認し、約20回の試行で正しいコードを特定し、そのマスターコードをカードに書き込むことで、ハッカーが建物内のどの部屋でも自由に動き回れるようにする。このプロセス全体は約1分で完了する。
Fセキュア
「基本的には、赤く数回点滅してから緑に点滅します」とトゥオミネン氏は言う。「これで施設全体のマスターキーが手に入るのです。」
2人の研究者によると、この攻撃はVingcardの旧世代Visionロックにのみ有効で、同社の新しいVisionline製品には有効ではないという。しかし、それでも世界160カ国以上の14万軒のホテルが影響を受けると推定している。研究者によると、Vingcardのスウェーデンの親会社であるAssa Abloyは、この問題が合計で数百万のロックに影響を与えることを認めたという。しかし、WIREDがAssa Abloyに問い合わせたところ、同社は脆弱なロックの総数を50万から100万の間といくらか低く提示した。ただし、古いロックがどれだけ交換されたかを詳しく追跡できないため、総数を計測するのは難しいと両氏は指摘している。トゥオミネン氏とヒルヴォネン氏は、過去10年間で友人から1000枚以上のホテルのキーカードを集め、そのうち約30パーセントが攻撃の影響を受ける可能性のあるVingcard Visionロックだったことを発見したという。
トゥオミネン氏とヒルヴォネン氏は1年前、アッサ・アブロイ社にひそかにこの発見を報告し、同社は2月にソフトウェアのセキュリティアップデートを公開しました。このアップデートはその後、ウェブサイトで公開されています。しかし、Vingcardの鍵はインターネットに接続できないため、このソフトウェアは技術者が鍵一つ一つ手作業でインストールしなければなりません。「すべてのホテルがこの問題を修正しているわけではない可能性が高い」とトゥオミネン氏は言います。
研究者たちはこのビデオで攻撃の実演を行っており、Proxmark ツールを使用してホテルのエレベーターの制限階にアクセスできることを示しています。
WIREDとの電話インタビューで、アッサ・アブロイのホスピタリティ事業部門責任者であるクリストフ・サット氏は、ホテル宿泊客へのリスクを軽視し、F-Secureの研究者がロックハッキング技術を開発するために何年ものリバースエンジニアリングと専門知識を必要としたと指摘した。しかし、サット氏はVingcard Visionロックを使用しているホテルに対し、アップグレードの導入を強く求めた。「これが新たな常識です。ソフトウェアは常にアップグレードする必要があります」とサット氏は語る。「携帯電話やコンピューターもアップグレードしています。ロックも同様にアップグレードする必要があります。」
対象範囲を絞り込む
トゥオミネン氏とヒルヴォネン氏は、強盗やスパイが部屋に侵入するのを手助けしてしまう恐れがあるため、Vingcardのキーカードの脆弱性の詳細をすべて公開していないと述べています。対照的に、6年前、あるセキュリティ研究者が、広く使用されているOnityのキーカードロックの明白な脆弱性を悪用するために必要なコードをウェブ上で公開しました。この暴露がきっかけとなり、全米で100室にも及ぶホテルの客室が狙われた一連の強盗事件が発生しました。
しかし、フィンランド人2人は、2003年にVingcardのコードシステムを調査した直後から、その弱点と思われる点に気づいたと述べている。当時、Vingcardのシステムは非接触型無線周波数(RFID)ではなく磁気ストライプ技術を採用していた。Vingcardのシステムは、各キーカードに固有の暗号鍵をエンコードし、さらに各ホテルのマスターキーにも別の暗号鍵をエンコードしている。これらの鍵はすべて推測不可能な設計となっている。しかし、システムで使用されていたキーカードの磁気エンコードされた鍵値を読み取り、その数字のパターンを探すことで、彼らは可能性のあるコードの「鍵空間」を絞り込み始めた。
それでも、マスターキーコードの候補数は膨大で、実際に侵入するには何千回もの試行が必要でした。「実装上のミスがあったとしても、キー空間が大きすぎるように思えました」とヒルヴォネン氏は言います。しかし、彼とトゥオミネン氏は、VingcardがVisionロックをRFIDに切り替えた後も、何年もの間、断続的にこのシステムについて考え続け、収集したキーカードを分析し、入手したVingcardのフロントデスクソフトウェアのコピーをリバースエンジニアリングしました。
最終的に、Vingcard Visionロックのマスターキーコードを絞り込むための最終的な方法を、同社がホテルスタッフの研修用に開設したアッサ・アブロイ大学のウェブサイトに掲載されていた手がかりから得たという。研究者らはそれ以上の詳細は明かしていないものの、この方法はホテル内のドアの位置とRFID暗号化コードとの相関関係を利用しているという。このシステムにより、ホテル内のあらゆるドアを開けられるマスターキーを作成できるだけでなく、建物内の一部のドアだけを開ける特定の「フロア」や「セクション」のキーを偽装することもできる。例えば、ホテルのハウスキーピングスタッフが持つような、それほど強力ではないキーを偽装するのに適している。
F-Secureの研究者たちは、Vinguard攻撃が現実世界で実際に発生したかどうかは不明だと認めている。しかし、法執行機関にロック解除の訓練を行う米国企業LSIは、学生にロック解除方法を教える製品としてVingcardの製品を宣伝している。また、F-Secureの研究者たちは、2010年にドバイのホテルで起きたパレスチナのハマス幹部暗殺事件を例に挙げている。この事件は、イスラエルの諜報機関モサドが実行したと広く信じられている。この事件の暗殺者は、Vingcardのロックの脆弱性を利用して標的の部屋に侵入したとみられるが、ロックの再プログラミングが必要だった。「モサドにはおそらくこのようなことを行う能力があるだろう」とトゥオミネン氏は述べている。
トゥオミネン氏とヒルヴォネン氏はその後、アッサ・アブロイ社と協力して脆弱性の修正に取り組んできたため、RFIDを利用した侵入の現実世界でのリスクはかつてないほど小さくなっている可能性がある。しかし、今後数ヶ月間、ホテル各社がソフトウェアのアップグレードを求めるメッセージを受け取る中、ドアのボルトも交換しておくのは決して悪いことではないだろう。
キーマスター
- 別のタイプのホテルの部屋の鍵の既知の脆弱性が、ある男の全国的な窃盗事件を引き起こした。
- ハッカーはホテルの客室内の電子機器を制御する能力も実証している。
- 教育と娯楽のために自作した金庫破りロボットをご紹介します
