ハッカーは高セキュリティ金庫のバックドアを探していたが、今では数秒で開けられるようになった

約2年前、セキュリティ研究者のジェームズ・ロウリー氏とマーク・オモ氏は、電子金庫の世界におけるあるスキャンダルに興味を抱きました。「アメリカNo.1の頑丈な家庭用金庫・銃器用金庫メーカー」を自称するリバティ・セーフ社が、2021年1月6日の米国議会議事堂侵入事件に関連した令状に基づき、捜査官が犯罪容疑者の金庫を開けることを可能にするコードをFBIに提供していたことが判明したのです。

政治的な問題はさておき、ローリーとオモは、法執行機関が鍵のかかった金属製の箱（インターネットに接続されたデバイスでさえも）に侵入するのが非常に容易であり、所有者以外は開けるコードを持ってはいけないという事実に愕然とした。「物理的なセキュリティ製品があるのに、王国への鍵を他人が持っているなんて、一体どう考えたらいいのでしょうか？」とオモは問いかける。

そこで彼らは、そのバックドアの仕組みを解明しようと試みました。その過程で、彼らはさらに重大なものを発見することになります。それは、認可された鍵屋がLiberty Safeデバイスだけでなく、Libertyの金庫の多くや少なくとも7つの他のブランドの金庫で使用されている高セキュリティのSecuram Prologicロックも開けられるようにするための、別の形式のバックドアでした。さらに驚くべきことに、彼らは、メーカーの協力がなければアクセスできないはずのそのバックドアをハッカーが悪用して、わずか数秒で金庫を自力で開ける方法を発見しました。研究の途中で、彼らはSecuramロックの多くの新しいバージョンに別のセキュリティ脆弱性も発見しました。この脆弱性により、デジタル金庫クラッカーはロックの隠しポートにツールを挿入し、金庫の解錠コードを瞬時に入手できるようになります。

本日ラスベガスで開催中のデフコン・ハッカー・カンファレンスで、オモ氏とロウリー氏は初めてその研究結果を公表し、個人用の銃器から小売店の現金、薬局の麻薬まであらゆるものを守るために使用されているセキュラム・プロロジック・ロック付きで販売されている電子金庫を開ける2つの異なる方法をステージ上で実演した。

どちらの手法も明らかなセキュリティ上の脆弱性を抱えているが、オモ氏によると、鍵屋が合法的に解錠する方法として想定されている機能を悪用する手法の方が、より広範囲に及んでおり、危険性も高いという。「この攻撃は、もしこの種のロックがかけられた金庫があれば、特別なハードウェアなど何も使わずに、文字通り今すぐにでもコードを呼び出すことができるようなものです」とオモ氏は語る。「私たちのテストによれば、世界中のほぼすべてのSecuram Prologicロックに突然侵入できる可能性があるようです。」

オモ氏とローリー氏は以下の 2 つのビデオで、金庫破りの方法を実演しています。ビデオでは、改造されていない標準の Securam ProLogic ロックを使用して、独自に特注した金庫でその手法を実行している様子が見られます。

セキュリティアップデート？いや、新しい鍵を買おう

オモ氏とローリー氏は、昨年春にセキュラム社に金庫を開ける技術について報告したものの、同社からの法的脅迫のため、これまでその存在を秘密にしてきたと述べている。「公表または開示という手段を選択された場合は、この件を名誉毀損で当社の弁護士に照会します」と、セキュラム社の担当者は昨年のデフコンに先立ち、二人の研究者に書簡を送った。二人はそこで初めて研究成果を発表する予定だった。

電子フロンティア財団（EFF）のコーダーズ・ライツ・プロジェクトから無償の法的支援を受けた後、二人はようやくDefconでSecuramの脆弱性について講演するという計画を実行に移すことを決意した。オモ氏とロウリー氏は、他者が彼らの技術を模倣できるよう、技術的な詳細を漏らさないよう細心の注意を払っていると述べつつ、多くのデバイスに存在する2つの異なる脆弱性について、金庫所有者に警告を発し続けようとしている。

WIREDがSecuram社にコメントを求めたところ、同社のCEOである周春雷氏は声明で回答した。「Omo氏とRowley氏が主張する具体的な『脆弱性』は、業界の専門家の間では既に周知の事実であり、実際、同様のチップを使用している他の金庫用ロックプロバイダーにも影響を与えています」と周氏は述べている。「これらの脆弱性に基づく攻撃には、専門的な知識、スキル、そして機材が必要です。この攻撃によって金庫用ロックが破られたという記録は、当社には一切ありません。」

周氏の声明では、ドリルや切断から、一部の電子金庫の脆弱性を突く「リトル・ブラック・ボックス」と呼ばれる錠前屋の装置の使用まで、金庫の錠前を開ける他の方法も指摘されている。

オモ氏とロウリー氏は、彼らが発見した脆弱性はこれまで公に知られていなかったこと、周氏の主張に反して2つのうち1つは特別な機器を必要としないこと、そして周氏が挙げる他の手法はどれも、Securam ProLogic錠に関する彼らの発見ほど深刻なセキュリティ上の欠陥ではないことを反論する。周氏が指摘する切断やドリルといったブルートフォース式の金庫破り手法は、はるかに時間がかかり、ステルス性も低い。あるいは、リトル・ブラック・ボックスのように、鍵屋だけが利用できるものであり、権限のないハッカーによって悪用可能であることが公に示されたことはない。

周氏は声明の中で、SecuramはOmo氏とRowley氏がProLogicロックの将来モデルで発見した脆弱性を修正する予定だと付け加えた。「顧客のセキュリティは私たちの最優先事項であり、これらの潜在的な攻撃を阻止するための次世代製品の開発プロセスを開始しました」と述べ、「年末までに新しいロックを市場に投入する予定です」と付け加えた。

フォローアップの電話会議で、Securamの営業部長ジェレミー・ブルックス氏は、Securamは顧客の金庫で既に使用されている錠前の脆弱性を修正する予定はないことを確認したが、懸念のある金庫所有者には新しい錠前を購入し、金庫に取り付けられている錠前を交換することを提案した。「ファームウェアパッケージによるアップグレードは提供しません」とブルックス氏は述べた。「新製品を提供する予定です。」

ブルックス氏はさらに、オモ氏とローリー氏がセキュラム社を「標的」にしているのは同社の「信用を落とす」意図があると考えていると付け加えた。

オモ氏は、それは全く意図していないと反論する。「私たちは、市場で最も普及している金庫の錠前の一つに存在する脆弱性を、一般の人々に知ってもらいたいのです」と彼は言う。

上院議員の警告

オモ氏とロウリー氏の調査によると、Liberty Safe以外にも、Fort Knox、High Noble、FireKing、ProSteel、Rhino Metals、Sun Welding、Corporate Safe Specialists、そして薬局用金庫メーカーのCennoxやNarcSafeなど、幅広い金庫メーカーがSecuram ProLogicロックを採用しています。また、CVSの麻薬保管用金庫や、複数の米国レストランチェーンの現金保管用金庫にもこのロックが採用されています。

セキュラム錠のセキュリティについて懸念を表明したのは、ロウリー氏とオモ氏だけではありません。昨年3月、ロン・ワイデン上院議員は、当時国家防諜・安全保障センター（NCSC）所長だったマイケル・ケーシー氏に公開書簡を送り、中国の親会社が所有するセキュラム社製の金庫錠にはメーカーリセット機能が搭載されていることを米国企業に明確に伝えるよう求めました。ワイデン議員によると、この機能はバックドアとして利用される可能性があり、このリスクから、セキュラム錠は米国の民間企業で広く使用されているにもかかわらず、メーカーリセット機能を搭載した他のすべての錠と同様に、米国政府機関での使用が禁止されています。

ロウリー氏とオモ氏の研究について知ったワイデン氏は、WIREDへの声明で、研究者らの発見はまさに、金庫であろうと暗号化ソフトウェアであろうと、自身が注意を喚起しようとしてきたバックドアのリスクを表していると述べた。

「専門家は長年、バックドアが敵対勢力に悪用されると警告してきた。しかし、政府は私やセキュリティ専門家の警告に基づいて行動するどころか、アメリカ国民を脆弱な状態に放置してきた」とワイデン氏は記している。「だからこそ議会は、暗号化技術に新たなバックドアを求める声を拒否し、英国などの他国政府が米国企業に暗号化を弱体化させて政府の監視を容易にしようとするあらゆる試みに対抗しなければならないのだ。」

リセットハイスト

ロウリー氏とオモ氏の研究は、金庫の解錠方法がほとんど公開されていないことが、より広範なセキュリティリスクをもたらす可能性があるという、まさに同じ懸念から始まりました。彼らはまず、2023年に同社への反発を引き起こしたリバティセーフのバックドアの背後にあるメカニズムを調査し、比較的単純な答えを見つけました。リバティセーフはすべての金庫にリセットコードを保管しており、場合によっては米国の法執行機関に公開しているのです。

リバティ・セーフはその後、マスターコードを引き渡すには召喚状、裁判所命令、またはその他の強制的な法的手続きが必要となり、金庫所有者の要請があればコードのコピーも削除するとウェブサイトに掲載した。

ロウリー氏とオモ氏は、法執行機関が利用しやすいバックドアを悪用できるようなセキュリティ上の欠陥は発見しませんでした。しかし、Securam ProLogicロックの調査を開始した際、Liberty Safe製品に使用されている2種類のSecuramロックのうち上位版について調査したところ、より興味深い事実が明らかになりました。これらのロックには、マニュアルに記載されたリセット方法があり、理論的には、解錠コードを忘れてしまった金庫所有者を鍵屋がサポートするために使用することを想定しています。

ロックに「リカバリコード」（デフォルトでは「999999」に設定）を入力すると、その値と、ロック内に保存されている暗号化コードと呼ばれる別の数値、そして3つ目のランダム変数を用いて、画面に表示されるコードが計算されます。認定された鍵屋は、そのコードをSecuramの担当者に電話で読み上げます。担当者は、その値と秘密のアルゴリズムを用いてリセットコードを計算します。鍵屋はリセットコードをキーパッドに入力し、新しいロック解除の組み合わせを設定します。

しかし、オモ氏とロウリー氏は、Securam ProLogicのファームウェアを解析することで、リセットコードを計算するために必要な情報をすべて見つけられることを発見した。「ハードウェアセキュリティと呼べるものは何もありません」とロウリー氏は言う。「つまり、ロックに内蔵されているファームウェアを読み取るだけで、秘密のアルゴリズム全体をリバースエンジニアリングできるのです。」こうして得られた金庫破りの手法は、彼らが書いたPythonスクリプトにいくつかの数字を入力するだけで済む。彼らはこの手法を「ResetHeist」と呼んでいる。

研究者らは、金庫の所有者はロックの復旧コードまたは暗号化コードを変更することで、このResetHeistの手法を阻止できると指摘している。しかし、Securamは研究者らがオンラインで見つけたユーザー向け資料の中で、この安全策を推奨しておらず、一部のメーカーや鍵屋向けのマニュアルでのみ推奨している。オモ氏とローリー氏が発見したSecuramの別のウェビナーでは、Securamはコードの変更は可能だが必須ではなく、「通常は」変更されないと述べている。研究者らがテストしたすべてのロック（eBayで中古品を購入した数個を含む）において、コードは変更されていなかった。「この復旧方法が機能しなかったロックは購入したことがありません」とオモ氏は言う。

コードスナッチ

研究者らが開発した2つ目の手法は、CodeSnatchと呼ばれ、より単純なものだ。Securam ProLogic製のロックからバッテリーを取り外し、Raspberry Piミニコンピューターで自作した小型のハンドヘルドツールを内部の露出したデバッグポートに挿入することで、ロックから「スーパーコード」の組み合わせを抽出し、ツールの画面に表示することで、即座にロックを解除できる。

研究者たちは、ロックのメインプロセッサとして機能するルネサス製チップをリバースエンジニアリングすることで、CodeSnatchのトリックを発見した。この作業は、fail0verflowと呼ばれるグループの成果によって大幅に容易になった。fail0verflowは、同じくルネサス製チップを搭載したPlayStation 4のクラッキングの一環として、このチップの解析結果を公開していた。オモとロウリーは、チップのファームウェアを再プログラムし、デバッグポート経由ですべての情報をダンプするツールを開発した。これには、暗号化された「スーパーコード」と、チップに保存されているそれを復号するための鍵も含まれる。「実際にはそれほど難しいことではありません」とロウリーは言う。「私たちの小さなツールがそれを実行し、スーパーコードが何であるかを教えてくれます。」

デバッグポート経由でロックのコードにアクセスするには、パスワードの入力が必要です。しかし、オモ氏とロウリー氏によると、そのパスワードは途方もなく単純で、彼らはそれを推測することに成功したそうです。彼らは、今年3月に製造されたSecuram ProLogicの新しいロックの一つで、Securamがパスワードを変更していたことを発見しました。しかし、彼らは「電圧グリッチ」という手法を使ってパスワードを再び知ることができました。チップ上の電圧レギュレータにスイッチをはんだ付けすることで、パスワードチェックを実行するまさにその瞬間に電圧を操作し、チェックをバイパスしてチップの内容（新しいパスワードを含む）をダンプすることができたのです。

WIREDは、Securamに加え、Securam ProLogicロックを金庫に使用していると思われる金庫メーカー10社とCVSにも連絡を取った。ほとんどの企業からは回答がなかったが、High Noble Safe Companyの広報担当者は声明の中で、WIREDの問い合わせがSecuramの脆弱性を初めて知ったこと、そして現在、自社製品ラインで使用されているロックのセキュリティを見直し、「追加の物理的セキュリティ対策や代替案」を含む顧客向けガイダンスを準備中であると述べた。

リバティ・セーフの担当者も同様に、同社が以前はSecuramの脆弱性を認識していなかったと述べています。「現在、SecuRamに関するこの問題を調査中です。お客様を守るために、他の潜在的なロックサプライヤーの検証や、独自の新しいロックシステムの開発など、あらゆる手段を講じます」と広報担当者は声明で述べています。

CVSの広報担当者は「具体的なセキュリティプロトコルやデバイス」についてはコメントを控えたが、「従業員と患者の安全は最優先事項であり、最高の物理的セキュリティ基準を維持することに尽力しています」と述べている。

「安全ではない金庫」

ロウリー氏とオモ氏は、Securam Locksのセキュリティ欠陥へのパッチ適用は可能だと述べている。実際、同社独自のCodeSnatchツールを使えば、ロックのファームウェアをアップデートできる。しかし、そのような修正はロックごとに手作業で実施する必要があり、時間と費用がかかる。

オモ氏とロウリー氏は、彼らの技術に関する詳細な技術的詳細や概念実証コードを公開していないものの、悪意のない第三者が彼らの金庫破りのトリックを再現する方法を見つけ出す可能性があると警告している。「ハードウェアと技術があれば、これは約1週間でできるでしょう」とオモ氏は言う。

彼とローリーは、そうしたリスクを承知の上で研究結果を公表することに決めた。金庫の所有者に、施錠された金属製の金庫は思っているほど安全ではないかもしれないと認識してもらうためだ。オモ氏によると、より広い視点で見ると、消費者向け製品に関する米国のサイバーセキュリティ基準に大きな欠陥があることに注目を集めたかったという。セキュラムの金庫はアンダーライターズ・ラボラトリー（ULL）の認証を受けているにもかかわらず、修正が困難な重大なセキュリティ上の欠陥を抱えていたとオモ氏は指摘する。（ULLはWIREDのコメント要請にすぐには応じなかった。）

一方、金庫の所有者は少なくとも金庫の欠陥について知っておくべきであり、誤った安心感に頼るべきではないと彼らは言う。

「セキュラム社にはこの問題を解決してもらいたいのですが、それよりも重要なのは、これがどれほど深刻な事態になり得るかを人々に知ってもらいたいということです」とオモ氏は言う。「電子錠には電子機器が内蔵されており、その電子機器を安全に守るのは難しいのです。」

2025年8月26日午前11時（東部標準時）更新：影響を受ける金庫のリストからTracker Safeブランドを削除しました。Tracker Safeは、既存のTracker金庫にSecuram ProLogicロックを取り付けるためのキットを販売していますが、Securam ProLogicがプリインストールされた金庫は販売していません。