Last Updated on 2024-08-23 19:30 by admin
サイバーセキュリティ研究者が、ホテルやオフィスで世界中で使用されているMIFARE Classic非接触カードの特定モデルにハードウェアバックドアを発見した。この脆弱性は、上海復旦微電子が2020年に発売したMIFARE Classicの新バリアントであるFM11RF08Sに存在する。
このバックドアにより、未知のキーを使用して認証を行い、ホテルの部屋やオフィスのドアを開けることが可能になる。研究者によると、このバックドアは数分間カードにアクセスするだけで、完全に多様化されたユーザー定義キーを全て危険にさらす。
さらに、前世代のFM11RF08にも別のキーで保護された同様のバックドアが存在し、2007年11月までさかのぼるカードで観察されている。
Quarkslab社の研究者Philippe Teuwenは、このバックドアとそのキーにより、適切に多様化されたキーを持つカードでも、新たな攻撃を仕掛けてダンプやクローンが可能になると指摘している。
この脆弱性は、米国、欧州、インドのホテルで広く使用されているカードに影響を与える可能性がある。また、サプライチェーン攻撃を実行できる立場にある攻撃者は、瞬時にスケールでこのような攻撃を実行できる可能性がある。
from:Hardware Backdoor Discovered in RFID Cards Used in Hotels and Offices Worldwide
【編集部解説】
今回発見されたハードウェアバックドアは、セキュリティ業界に大きな衝撃を与えています。MIFARE Classicは長年にわたり、ホテルやオフィスのアクセス管理システムで広く使用されてきた技術ですが、今回の脆弱性はその信頼性を根本から揺るがす可能性があります。
特に注目すべきは、このバックドアが単なるソフトウェアの不具合ではなく、ハードウェアレベルで組み込まれていたという点です。これは、製造過程で意図的に追加された可能性を示唆しており、サプライチェーンセキュリティの重要性を改めて浮き彫りにしています。
この脆弱性の影響範囲は非常に広く、世界中のホテルやオフィスビルのセキュリティシステムに及ぶ可能性があります。特に、米国、欧州、インドのホテルで広く使用されているカードが影響を受ける可能性が高いとされています。
技術的な観点から見ると、このバックドアは非常に巧妙に設計されています。カードに数分間アクセスするだけで、完全に多様化されたユーザー定義キーを全て危険にさらすことができるという点は、攻撃の容易さと深刻さを物語っています。
一方で、この発見はセキュリティ研究の重要性を再確認させるものでもあります。研究者たちの努力により、潜在的な脅威が明らかになり、対策を講じる機会が生まれました。
今後、RFID技術を使用する企業や組織は、セキュリティ対策の見直しを迫られることになるでしょう。特に、多要素認証の導入や、物理的なセキュリティと電子的なセキュリティの組み合わせなど、より強固なアプローチが求められると考えられます。
長期的には、この事案をきっかけに、IoTデバイスやスマートカードのセキュリティ基準が厳格化される可能性があります。また、サプライチェーンセキュリティの重要性が再認識され、製造プロセスの透明性向上や第三者監査の強化などが進むかもしれません。
私たち一般ユーザーにとっても、この事案は日常生活におけるセキュリティ意識を高める良い機会となるでしょう。技術の利便性を享受しつつ、潜在的なリスクにも目を向ける必要性を再認識させてくれます。
【用語解説】
【参考リンク】
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
