Last Updated on 2024-08-08 09:14 by admin

Ian Carroll、Lennert Woutersらのセキュリティ研究チームが、SaflokブランドのRFIDベースのキーカードロックに関する新たなハッキング手法「Unsaflok」を公開した。この手法は、スイスのロックメーカーDormakabaが販売するSaflokの複数モデルに存在するセキュリティ脆弱性を利用し、ハッカーがほぼ瞬時にロックを開けることを可能にする。Saflokシステムは、世界中の131カ国、13,000の施設にある300万のドアにインストールされている。

この脆弱性の利用は、対象のホテルから任意のキーカードを入手し、$300のRFID読み書きデバイスで特定のコードを読み取り、その後自分たちのキーカードを2枚作成することから始まる。これら2枚のカードをロックにタップするだけで、最初のカードがロックのデータの一部を書き換え、2枚目のカードでロックを開けることができる。

Dormakabaは昨年初めから、Saflokを使用するホテルにセキュリティの欠陥を知らせ、脆弱なロックの修正または交換を支援していると述べている。過去8年間に販売されたSaflokシステムの多くでは、個々のロックのハードウェアを交換する必要はなく、ホテルはフロントデスクの管理システムを更新または交換し、技術者が各ロックをドアごとに比較的迅速に再プログラミングするだけで済む。

しかし、WoutersとCarrollによると、Dormakabaは今月時点で、インストールされたSaflokのうち36%しか更新されていないと伝えられている。ロックがインターネットに接続されておらず、一部の古いロックはハードウェアのアップグレードが必要であるため、完全な修正が実施されるまでには少なくとも数ヶ月、場合によっては数年かかる可能性がある。

【ニュース解説】

Ian Carroll、Lennert Woutersらのセキュリティ研究チームが、SaflokブランドのRFIDベースのキーカードロックにおける新たなセキュリティ脆弱性を発見しました。この脆弱性は、「Unsaflok」と名付けられ、ハッカーがDormakaba社が販売する複数モデルのSaflokキーカードロックをほぼ瞬時に開けることを可能にします。Saflokシステムは、世界中の131カ国、13,000の施設にある300万のドアに設置されており、この発見は広範囲に影響を及ぼす可能性があります。

このハッキング手法は、対象ホテルから任意のキーカードを入手し、$300のRFID読み書きデバイスを使用して特定のコードを読み取り、その後、自分たちのキーカードを2枚作成することから始まります。これら2枚のカードをロックにタップすることで、最初のカードがロックのデータの一部を書き換え、2枚目のカードでロックを開けることができます。

Dormakaba社は、このセキュリティの欠陥について昨年初めから認識しており、Saflokを使用するホテルに対してセキュリティの欠陥を知らせ、脆弱なロックの修正または交換を支援しています。過去8年間に販売されたSaflokシステムの多くでは、個々のロックのハードウェア交換は不要で、フロントデスクの管理システムの更新または交換と、技術者による各ロックの再プログラミングが必要です。

しかし、WoutersとCarrollによると、今月時点でインストールされたSaflokのうち36%しか更新されていないとのことです。ロックがインターネットに接続されていないため、完全な修正が実施されるまでには時間がかかり、特に古いロックの場合はハードウェアのアップグレードが必要になることがあります。

この発見は、ホテル業界におけるセキュリティの重要性を改めて浮き彫りにし、RFID技術の脆弱性に対する認識を高めることになります。また、ホテル運営者にとっては、セキュリティシステムの継続的な更新と監視の必要性を示唆しています。一方で、このような脆弱性の存在は、不正アクセスのリスクを高め、顧客の安全とプライバシーを脅かす可能性があります。長期的には、より安全な技術への移行や、セキュリティプロトコルの強化が求められるでしょう。

from Security Vulnerability in Saflok’s RFID-Based Keycard Locks.