世界中の10000軒以上のホテルで、ドアのロックを解除することができる脆弱性が発見された。この問題は、SaflokブランドのRFIDベースのキーカードロックに関連しており、これらのロックは36年間にわたって使用されてきた。2022年の夏の終わりに、7人の研究者がこの脆弱性を特定し、カスタマイズされたキーカードを使用して、デッドボルトを含むすべてのドアを開けることが可能であることを発見した。
Saflokロックは、131カ国の13000軒のホテルや多世帯住宅環境において、300万以上のドアに設置されている。Dormakabaは昨年11月にパッチを展開し始めたが、各デバイスを一つずつ更新する必要がある。今月時点で、影響を受けるロックの36%のみが更新または交換されている。
この攻撃を行うには、対象のホテルの任意のキーカード(自分の部屋のキー、他人のキー、またはゴミ箱で見つかった期限切れのものでもよい)、さらに書き込み可能な2枚のMIFARE Classicキーカード、そしてProxmark3、Flipper Zero、またはNFC対応のAndroid電話など、市販の製品が必要である。
この脆弱性を完全に解消するには時間がかかる可能性がある。近年販売された一部の接続されたロックは、フロントデスクの管理システムを介して更新できるが、世界中の大多数のSaflokについては、各ホテルをアップグレードすることが集中的なプロセスである。すべてのロックにソフトウェア更新が必要であり、すべてのキーカードを再発行し、フロントデスクのソフトウェアとカードエンコーダをアップグレードする必要がある。また、エレベーターや駐車場、支払いシステムなどの第三者統合も追加のアップグレードが必要である。
ホテルのセキュリティに関しては、廊下のカメラ、不審な活動を監視するためのスタッフの訓練、ゲストがドアを開けた数秒後に自動的にロックがかかるメカニズムなど、ゲストを潜在的な侵入者から守るための手段が多数存在する。さらに、特に洗練されたホテルでは、セキュリティ検出をより広範なビルディングオートメーション管理システムに組み込むこともできる。
【ニュース解説】
世界中の10000軒以上のホテルで使用されているSaflokブランドのRFIDベースのキーカードロックに、重大な脆弱性が発見されました。この問題は、研究者たちによって2022年の夏の終わりに特定され、カスタマイズされたキーカードを使用して、デッドボルトを含むドアを開けることが可能であることが明らかになりました。Saflokロックは、131カ国の13000軒のホテルや多世帯住宅環境において、300万以上のドアに設置されています。
この脆弱性を悪用するためには、対象のホテルの任意のキーカード、さらに書き込み可能な2枚のMIFARE Classicキーカード、そしてProxmark3、Flipper Zero、またはNFC対応のAndroid電話などの市販の製品が必要です。攻撃者は、ホテルのカードからコードを読み取り、その後、2枚のカードに書き込むことで、Saflokロックの重要なデータを上書きし、ドアを開けることができます。
この問題の解決には、全世界のホテルでの集中的なアップグレード作業が必要となります。すべてのロックにソフトウェア更新が必要であり、キーカードの再発行、フロントデスクのソフトウェアとカードエンコーダのアップグレード、さらにはエレベーターや駐車場、支払いシステムなどの第三者統合も追加のアップグレードが必要です。
ホテルのセキュリティに関しては、物理的なセキュリティ対策(廊下のカメラ、スタッフの訓練、自動ロックメカニズムなど)や、ビルディングオートメーション管理システムにセキュリティ検出を組み込むことで、ゲストを潜在的な侵入者から守る手段があります。しかし、これらのロックをより安全にするための方法には、多要素認証の導入やパスワード保護、生体認証ロックの追加などがありますが、これらにはそれぞれ異なるリスクや規制上の問題が伴います。
このような脆弱性の発見は、ホテル業界にとって重要なセキュリティ上の課題を浮き彫りにします。特に重要な人物が宿泊するホテルや、ゲストに関する機密データを保持している施設では、サイバー攻撃による情報窃取のリスクが高まります。この問題への対応として、ホテルはセキュリティ対策を強化し、最新の技術を取り入れることが求められます。また、ゲスト自身も、宿泊先のセキュリティ状況を確認し、可能であれば追加のセキュリティ対策を講じることが重要です。長期的には、このような脆弱性を未然に防ぐための技術的な進歩や、業界全体でのセキュリティ基準の向上が期待されます。
from Millions of Hotel Rooms Worldwide Vulnerable to Door Lock Exploit.
