フィンランドのセキュリティ研究者であるトミ・トゥオミネンは2003年、ベルリンで開催されたセキュリティカンファレンスに出席するために滞在していたホテルの部屋で、機密データの入った友人のノートパソコンを盗まれた。だが、どのように盗まれたのかは見当がつかなかった。
宿泊していた高級ホテル「パーク・イン・バイ・ラディソン・ベルリン・アレクサンダープラッツ」のスタッフに尋ねてみても、手がかりは得られなかった。ドアの鍵がこじ開けられた形跡はなく、ドアのキーカードロック(VingCard Elsafe社製の一般的なRFIDカードリーダー)のログデータにも、ホテルのスタッフ以外の人が入室した形跡はなかった。
結局、ノートパソコンが消えてしまった理由はわからずじまいだった。だが、フィンランドのセキュリティ企業エフセキュア(F-Secure)の研究者であるトゥオミネンと同僚のティモ・ヒルヴォネンは、VingCardのロックに存在する脆弱性を何者かが利用して、ホテルの部屋の電子ロックを解除した可能性を排除できないと考えた。
それから15年近い歳月を費やし、彼らはついに自分たちの見立てが正しかったことを証明した。
すべての始まりは、ゴミ箱から拾ったキーだった
トゥオミネンとヒルヴォネンは、フロリダ州マイアミで4月下旬に開催されたセキュリティカンファレンス「INFILTRATE」で講演し、VingCardのロックシステム「Vision」で使われているキーカードのRFIDコードのクローンを作成し、ホテルの全部屋の鍵を解錠できるマスターキーを偽造できたと明らかにした。
彼らはまず、RFIDカードの読み取りと書き込みができる「Proxmark」という機器を300ドル(約3万3,000円)で購入した。そして、調査対象にしたホテルのゴミ箱から期限切れのキーカードを入手し、電子的に記録されたコードを15年にわたって分析した。その結果、マスターキーコードの候補を大幅に絞り込むことに成功した。
Proxmarkは持ち運びできる小さな装置で、これをドアのカードロックにかざすと、すべてのコードの候補を試せる。この作業を20回ほど繰り返せば正しいマスターコードが見つかる。これをカードに書き込めば、どの部屋にも自由に入れるようになる。この全行程は1分もあれば完了するという。
「たいてい、ランプが数回赤く点滅してから、緑色に変わります」とトゥオミネンは言う。「そうすれば、建物全体で使えるマスターキーの入手は完了です」
エフセキュアの研究者らが今回発表した攻撃手法は、以前のモデルのVisionロックにしか効果がなく、VingCardの新しい製品には通用しないという。それでも、160以上の国に存在する14万軒のホテルで、この攻撃手法を利用できるとみられる。実際、VingCardの親会社であるスウェーデンのAssa Abloyは、この問題が数百万個のロックに影響を及ぼすことを認めたという。
ただし、『WIRED』US版がAssa Abloyに問い合わせたところ、同社は脆弱性があるロックの数を、研究者らが言及した数より少ない50万~100万個だと回答した。実際のところ、この数を割り出すのは難しい。古いロックのうち、どの程度が新しいロックに置き換えられたのか、正確にはわからないからだ。
トゥオミネンとヒルヴォネンはこの10年間に、友人たちの協力を得て1,000枚以上のキーカードを集めた。それらを調べたところ、およそ30パーセントが彼らの攻撃手法に対して脆弱なVisionロックだった。
全室のセキュリティプログラムを一つひとつ手動で更新
トゥオミネンらは1年前、自分たちの調査結果をAssa Abloyに報告して警告した。同社は、2018年2月にセキュリティ更新プログラムをサイトで公開した。ただし、VingCardのロックにはインターネット接続機能がないため、一つひとつのロックに技術者が手動で更新プログラムをインストールしなければならない。したがって、「この修正プログラムを適用しないホテルが出てくる可能性は十分にあります」とトゥオミネンは指摘する。
研究者たちは、この攻撃手法のデモ動画を公開した。そこには、Proxmarkを使って、部外者の立ち入りが禁止されているホテルのフロアにエレヴェーターを止める様子が映っている。
VIDEO COURTESY OF F-SECURE
Assa Abloyでホスピタリティ事業部門の責任者を務めるクリストフ・スットは、『WIRED』US版の電話取材に対し、宿泊客へのリスクはそれほど大きくないと主張した。専門的な知識をもつエフセキュアの研究者でさえ、この攻撃手法を開発するのに数年以上もリヴァースエンジニアリングを行わなければならなかったからだ。
ただしスットは、Visionロックを使用しているホテルには、更新プログラムをインストールするよう要請している。「これがいまの新しい常識です。ソフトウェアは必ず更新しなければなりません。スマートフォンやコンピューターを更新するのと同じように、ロックも更新する必要があるのです」
研究者の発表により、侵入事件が発生
トゥオミネンとヒルヴォネンは、VingCardのロックに存在する脆弱性について詳しい情報を公開していない。窃盗犯やスパイが、その情報を利用してホテルの部屋に侵入する危険性があるからだ。
実際、6年前には問題が起こった。あるセキュリティ研究者が、よく利用されているOnityのキーカードロックに深刻な脆弱性[日本語版記事]があるのを発見し、悪用できるコードをウェブで公開したのだ。その結果、世界各地で100室に上るホテルの部屋に窃盗犯が侵入する事件が発生した。
ただし、トゥオミネンとヒルヴォネンによると、VingCardのコードシステムに脆弱性があるかもしれないと気づいたのは、2003年に調査を始めた直後のことだったという。当時、VingCardのシステムは、非接触型のRFID技術ではなく磁気ストライプ技術を使っていた。固有の暗号鍵をエンコードして各キーカードに記録し、さらに別の暗号鍵を、それぞれのホテルのマスターキーに記録する仕組みだった。
これらはすべて、推測できないよう設計されていた。だが研究者らは、システムで利用されたキーカードから、磁気的にエンコードされたキーの値を読み取った。そしてパターンを探し、これらのキーで解錠できそうな空間を絞り込み始めた。
マスターキーのコードを特定した「ある決定的な方法」
とはいえ、マスターキーコードの候補数は非常に多かったため、部屋に侵入するのは実際には難しかった。カードキーをドアのロックに通す作業を果てしなく繰り返さなければならなかったのだ。「実装上のミスがあったにしても、そのキーが有効となる空間の範囲は大きすぎるように見えました」とヒルヴォネンはいう。
しかし彼は、トゥオミネンとともに、このシステムの調査を何年にもわたって断続的に行った。その間に、VisionロックはRFIDに切り替わったが、2人はキーカードを収集して分析を続けた。また、ホテルのフロントが利用するVingCard製ソフトウェアを入手して、リヴァースエンジニアリングを行った。
最終的に、彼らはある「決定的な方法」を発見し、Visionロックで使われているマスターキーコードの候補を絞り込んだ。そのヒントとなったのは、ホテルスタッフのトレーニング用サイト「Assa Abloy Academy」に書かれていた情報だ。
彼らはその詳しい内容を明らかにしていないが、ホテル内のドアの場所と各ドアのRFID暗号化コードに何らかの相関性があったようだ。すべてのドアを解錠できるマスターキーを作成するだけでなく、特定の「フロア」や「セクション」の鍵のコピーを作成し、限られたエリアのドアだけを解錠することもできるという。ホテルの清掃員がもっているような、機能が限定されたカードキーを偽造するには、このほうが適している。
脆弱性がなければ「ハマス」幹部は殺されなかった?
エフセキュアの研究者らは、VingCardに対する攻撃が実際に行われたかどうか確認していない。だが、警察で鍵を解除する訓練を実施している米国のLockmasters Security Instituteは、解錠方法を教えることができる製品のひとつとしてVingCardの名を挙げている。
またトゥオミネンらは、2010年にドバイのホテルでパレスチナのイスラム原理主義組織「ハマス」の幹部が暗殺された事件[日本語版記事]に言及した(この事件は、イスラエルの諜報機関モサドの仕業だと言われている)。暗殺実行犯が、VingCard製ロックの脆弱性を利用して幹部の部屋に侵入した可能性があるという(ただし犯人らは、ロックのプログラムを書き換えたようだ)。「モサドがこのようなことを実行する能力を持っているのは、ほぼ間違いありません」とトゥオミネンは述べている。
トゥオミネンらはAssa Abloyと連携して、この脆弱性の修正に取り組んでいる。同社のRFIDキーが実際に解錠されるリスクは、今後さらに低くなるだろう。だが、すべてのホテルにソフトウェアの更新を依頼するには数カ月かかる。それまでの間は、チェーン錠などをかけておくに越したことはない。
TEXT BY ANDY GREENBERG
TRANSLATION BY TAKU SATO/GALILEO