何千人ものセキュリティ専門家が毎年8月ラスベガスに集結する「Black Hat」と「Defcon」は連続して開催されるため、あわせて“ハッカーのサマーキャンプ”の異名をとる。参加者の一部はカジノや娯楽施設の高度なテックが詰まったラスベガスのインフラを実際にハッキングしてみるのがお決まりだ。2022年には、特別に選ばれた者がラスベガスのホテルの部屋をハッキングするようプライベートな集まりに招かれ、スイートルームにノートPCとRed Bullを何本も持ち込んで、テレビからベッド脇のVoIP電話まであらゆる機器をハッキングする競争を繰り広げた。
あるハッカーチームは、与えられた日数を使ってドアの鍵に集中した。おそらく部屋の中で最もセンシティブなテクノロジーだ。それから1年半の時を経て、チームは成果を披露した。世界中のホテルで何百万枚も使われているカードキーを侵入者が瞬時に開ける方法を見つけたのだ。わずかふたつのステップで。
カードキーを“読み書き”して解錠
イアン・キャロルとレナート・ワウタースらセキュリティ研究者チームは今月、「Unsaflok」(アンサフロック)と名付けたカードキーのハッキング技術を明かした。この技術は(電波でICタグを読み書きする)RFID方式のサフロック・カードキー数種をハッカーが瞬時に解錠できるセキュリティ上の脆弱性を突いたものだ。スイスの鍵メーカー・ドルマカバが販売するサフロック・システムは、世界131カ国の13,000のホテルで300万枚以上のドアに取り付けられている。
ドルマカバの暗号と、同社が採用する「MIFAREクラシック」というRFIDシステム両方の脆弱性を突いて、キャロルとワウタースは、サフロックのカードキーを破るのがどれほど簡単かを見せてくれた。彼らの技術は、部屋を予約するか、使用済みカードの箱から盗み出すなどの方法で標的とするホテルのカードキーを手に入れることから始まる。次に、300ドルのRFIDリーダーを使って、そのカードキーからあるコードを読み出す。最後に、独自のカードキーを2枚つくる。このカードを鍵にかざすと、最初の1枚が鍵のデータのある部分を書き換え、2枚目のカードで解錠できる。
「2枚のカードをかざすだけで、ドアを開けることができます」。ベルギーのルーヴェン・カトリック大学の「コンピュータ・セキュリティと産業暗号」グループの研究者であるワウタースは言う。「しかも、そのホテル内の部屋ならどんなドアでも開けることができるのです」
ハッキング技術の詳細はメーカーに共有
ワウタースと、独立のセキュリティ研究者で旅行サイトSeats.aeroの創立者であるキャロルは、22年11月、発見したハッキング技術の詳細をすべてドルマカバに提供した。ドルマカバは、去年初めからサフロックを使うホテルにセキュリティ上の問題があることを伝えて、改修するか脆弱な鍵を交換する支援をしている。この8年間に販売されたサフロック・システムの多くに関しては、個別の鍵を物理的に交換する必要はない。ホテルはフロントデスクの管理システムをアップデートするか差し替えれば、あとは技術者が部屋ごとのドアに簡単な再プログラムをすればいい。
ワウタースとキャロルがドルマカバから聞いたところによると、今年3月の時点でアップデートされたサフロックは36%に過ぎない。鍵がインターネットに繋がっておらず、古いものは鍵自体を交換しなければならないことから、完全に対策が取られるには少なくとも何カ月もかかるという。古いものに関しては数年かかる可能性もある。
「パートナーたちと連携しながら脆弱な部分を特定し、長期的な解決とともに、脆弱性を迅速に軽減する対策をとっています」。ドルマカバは文書で『WIRED』の取材にこう答えた。だが、「迅速に軽減する」方法の具体的な中身は明らかにしなかった。「わたしたちのお客様とパートナーは安全を大切にしています。この問題に対して責任ある対処をすべく、あらゆる適切な手段が講じられることを確信しています」
ふたつの脆弱性
ワウタースとキャロルのチームが見つけたドルマカバの鍵をハッキングする技術は、特徴あるふたつの脆弱性を突く。ひとつはカードキーへの書き込みができてしまうこと。もうひとつは、サフロックを誤解させて解錠するため、カードに何を書き込めばいいかがわかってしまうことだ。
サフロックのカードキーを分析すると、MIFAREクラシックRFIDシステムを使っていることがわかった。このシステムは10年以上前から、ハッキングでカードキーを書き換えられる弱点があるとわかっていた。ただし、当時の強引なやり方では20秒以上かかった。次に研究者たちは、鍵導出関数を使ったドルマカバの暗号システムの一部を攻略した。これにより、カードに素早く書き込みをすることが可能になった。この手順でサフロックのカードキーを複製することが可能になった。ただ、ほかの部屋には使えなかった。
ここで必要になったのは、ドルマカバがホテルに配布する鍵のプログラミング機器と、鍵を管理するためのフロントデスクのソフトウエアのコピーを手に入れることだった。このソフトをリバースエンジニアリングすれば、カードに記録されたデータがわかる。ホテルのプロパティコードと個々の部屋のコードを引き出し、ドルマカバのシステムがやるのと同じように独自の値をつくって暗号化すれば、ホテル内のどの部屋でも開けられる立派な「なりすましマスターキー」ができるというわけだ。「ドルマカバのソフトでつくったとしか思えないカードができます」と、ワウターズは言う。
キャロルらはどうやってドルマカバのフロントデスク・ソフトウエアを手に入れたか? ワウタースは答える。「礼儀正しく何人かにお願いしてみました。メーカーは、自分たちの製品がeBayで売られるなんて思ってもいません。誰かがソフトウエアをコピーするなんて考えてもいません。ご存じのとおり、こうした前提が間違っているのです」
リバースエンジニアリングが終わったら、最後の攻撃には、わずか300ドルほどで買えるProxmark RFID読み書き機と初期化された2枚のRFIDカードか、アンドロイド携帯、あるいは無線ハッキングツール「フリッパー・ゼロ」があればいい。
脆弱な鍵を見分ける方法
ハッカーたちがつくったアンサフロック技術の最大のネックは、使用済みでもいいから狙いをつけたホテルのカードキーの実物を1枚手に入れなければならないことだ。なぜなら、それぞれのカードにはそのホテル独自のコードが組み込まれており、なりすましカードをつくるには、部屋の鍵のコードだけでなく、ホテルのコードを読み込んで複製しなければならない。
ホテルのコードが手に入ったら、次に必要なのは2枚のカードキーをつくるためのRFIDリーダーだ。1枚のカードは標的の鍵を再プログラムする。そして、もう1枚のなりすましカードが解錠する(2枚のカードキーの代わりに、アンドロイド携帯かフリッパー・ゼロでも、2つの信号を続けて出すことができると研究者たちは言う)。1枚目のカードでホテル独自の認証システムをすり抜けて部屋のドアを開けることができるようになるのだが、具体的に何をするかに関して研究者たちは口を閉ざす。潜在的な侵入者や窃盗者を利することのないよう技術の肝の部分は秘匿しているのだ。
対照的に、あるセキュリティ研究者は2012年のBlack Hatで、似たようなカードキーのハッキングによってオニティという会社が販売した鍵を、やり方を隠しもせずに破ってみせた。世界で1,000万枚販売されていたオニティの鍵をどれでも開けられる道具をハッカーたちに示したわけだ。オニティは問題を解決するためのハードウエアのアップグレードを拒み、ホテル側に責任を押し付けたことで、多くのホテルで脆弱な鍵が放置された。結果、少なくともひとりのハッカーが全米のホテルを巡る窃盗の旅をしたことがわかっている。
キャロルとワウタースはもっと慎重なアプローチを取ることで同じことが起きないよう気をつけていると語る。一方で、自分たちが見つけた技術を公にすることで、人々に警告を発したいとも考えている。ドルマカバが対応することを表明していても、何百ものホテルでカードキーが破られる危険は残っているからだ。「ドルマカバが問題を早く解決できるよう、落とし所を探る一方で、宿泊客にも警告しています」とキャロルは言う。「もし誰かがリバースエンジニアリングして、人々が危険に気づく前に悪用してしまったら、問題はもっと大きくなるかもしれません」
被害を防ぐにはどうするか。キャロルとワウタースは、宿泊客が脆弱な鍵を見分ける方法を教えてくれた。すべてではないが多くの場合、脆弱な鍵には特徴がある。部屋の入り口にあるRFIDリーダーが丸く、波線が横切っているもの。もしも部屋の鍵がサフロックだったら、iOSでもAndroidでも手に入るNXPのNFC Taginfoアプリを使ってシステムがアップデートされているか確認することができる。ドルマカバ製で、アプリを使ってMIFAREクラシックカードであることがわかったら、その鍵は脆弱だ。
その場合、貴重品を部屋に残さないくらいしか打つ手はないと研究者2人は言う。そして部屋にいるときはチェーンをかけること。(サムターンを)室内から回してかけるタイプの鍵のデッドボルト(カンヌキの役割をする金属)は、カードキーと同じように操作でき、安全性を高めてはくれない。「デッドボルトでロックをしても、守られていないのです。キャロルは言う。
仮に十分な対策が取られたとしても、宿泊客は安全性を誤信せず、リスクが存在することを認識しておいた方がいいと2人は指摘する。つまるところ、サフロック・ブランドの鍵が30年以上も販売されてきたことを考えると、同じくらいの期間、脆弱なままだった可能性はあるのだ。ドルマカバは、研究者たちが見つけた技術が過去に悪用された事実は認識していないと言うが、密かに起きていた可能性がないとは言えない。
「カードキーの脆弱性は、長い間そこにあったのだと思います。わたしたちが最初に発見したというわけではないでしょうから」。ワウタースの言葉だ。
(Originally published on wired.com, translated by Akiko Kusaoi, edited by Mamiko Nakano)
※『WIRED』によるセキュリティの関連記事はこちら。
.jpg)
雑誌『WIRED』日本版 VOL.52
「FASHION FUTURE AH!」は3月28日発売!
ファッションとはつまり、服のことである。布が何からつくられるのかを知ることであり、拾ったペットボトルを糸にできる現実と、古着を繊維にする困難さについて考えることでもある。次の世代がいかに育まれるべきか、彼ら/彼女らに投げかけるべき言葉を真剣に語り合うことであり、クラフツマンシップを受け継ぐこと、モードと楽観性について洞察すること、そしてとびきりのクリエイティビティのもち主の言葉に耳を傾けることである。あるいは当然、テクノロジーが拡張する可能性を想像することでもあり、自らミシンを踏むことでもある──。およそ10年ぶりとなる『WIRED』のファッション特集。詳細はこちら。