ヒューストンのホテルで発生した一連の侵入事件は、今年ラスベガスで開催されたブラックハット・セキュリティー・カンファレンスで明らかになった脆弱性である部屋の鍵の欠陥をハッカーが悪用したとされている。
フォーブス誌によると、ヒューストンのハイアット・ハウス・ガレリアでは、オニティ社製の鍵が、鍵の底部に差し込むだけでドアが開くというシンプルな装置で開けられていたことが判明した。Mozillaのソフトウェア開発者コーディ・ブロシャス氏は、Black Hat Securityイベントで、この驚くほど簡単なハッキングを実演した。ブロシャス氏は、簡単に作れる50ドルの装置を使って、オニティ社製の標準的なホテルの客室の鍵を破る方法を参加者に披露した。
Brociousのエクスプロイトは、錠前の外側下部にあるDCポートに接続するデバイスを使用します。このハッキングツールは、ホテルの客室係がマスターキーを受け入れるよう錠前をプログラムするために使用するデバイスを模倣しています。エクスプロイトは非常に単純です。Onityの錠前では鍵情報が保護されていないため、Brociousのツールは錠前のメモリを読み取り、鍵情報を取得してドアを解錠することができます。
Brocious 氏のハッキングはやや信頼性に欠けるものの (Forbes 誌のこの脆弱性に関する記事によると、Brocious 氏はこのデバイスを使って解錠を実演した 3 つのロックのうち 1 つしか開けることができなかった)、依然として懸念材料となっている。
「この脆弱性が馬鹿みたいに単純なので、他に1000人くらいが同じ脆弱性を見つけて他の政府に売り渡したとしても驚きません」とブロシャス氏は7月にフォーブス誌に語った。「NSAのインターンなら5分で見つけられるでしょう」
どうやら、勇敢なハッカーがブロシャス氏の挑戦を受けることにしたようだ。先月、ヒューストン警察は、盗難されたHPノートパソコンが地元の質屋に見つかったことを受け、27歳のマシュー・アレン・クック氏を逮捕した。この質屋は、警察がクック氏の身元特定に協力した。クック氏は侵入事件1件で窃盗罪に問われており、他にも数件の事件で容疑者となっている。
ホテル管理会社ホワイト・ロッジングによると、オニティ社が鍵問題の修理に着手したのは、ハイアットが9月初旬に一連の侵入事件を経験した後のことだ。さらに、同社はホテルに対し、鍵のハードウェアと回路基板の交換を含む修理費用全額の負担を求めている。ホテル側が修理費用を負担したくない場合は、オニティ社が無料で提供している、鍵の底部にあるポートを塞ぐプラスチック製のプラグ(プラグが簡単に外れないようネジを目立たなくする)を受け入れることも可能だ。
ブロシャスはこれは悪い考えだと考えています。
「低コストの取り組みではないことを考えると、多くのホテルが問題を適切に解決せず、顧客を危険にさらすことを選択することは想像に難くない」とブロシャス氏は8月に公開したブログ記事に記した。
「もし車にこれほど重大な問題があったとしたら、顧客はメーカーの負担で全面的なリコールを求めるだろう…オニティ社は自社の顧客に対して、そしてオニティ社のロックで保護されているホテルに宿泊する顧客に対して、同様の責任を負っていると感じずにはいられない」と彼は書いている。
結局のところ、修理されていないOnityロックは未だに数多く存在しています。数十万、いや数百万台と推測できます。ですから、このホリデーシーズンに旅行される際は、ホテルの部屋の鍵を必ず確認し、必ずセーフティボックスをご利用ください。
