テクノロジー

2018.09.07 06:00

グーグル社員が発見した「ビルセキュリティ」の致命的欠陥

Benny Marty / Shutterstock.com

Benny Marty / Shutterstock.com

昨年7月、カリフォルニア州サニーベールにあるグーグルのオフィスで、ハッカーがRFIDカードを使わずにスマートロックを解錠するという「事件」が起きた。グーグルにとって幸いだったのは、このハッカーがDavid Tomaschikという名のグーグル社員で、悪意を持っていなかったことだ。

グーグルのオフィスでは、スマートロックのセキュリティを「Software House」製のデバイスで管理しているが、Tomaschikはそのデバイスの脆弱性を発見することに成功した。彼がグーグルのネットワークに悪意のあるコードを送ったところ、ドアロックのライトが赤から緑に変わり、解錠音が聞こえたという。

昨年の夏、TomaschikはSoftware Houseのデバイス(「iStar Ultra」と「IP-ACM」)がグーグルのネットワークに送信している暗号化メッセージが、ランダムでないことに気が付いたという。彼がさらに調べたところ、全てのSoftware House製デバイスに使われているハードコード(内部に埋め込まれた)された暗号化キーを発見した。

これにより、Tomaschikは正規のコマンドを送ってドアを解錠するだけでなく、キーを複製してコマンドを偽造できるようになった。

Tomaschikは、記録を残すことなくハッキングを実行したり、グーグル社員がドアを解錠できなくすることも可能であることに気がついたという。「セキュリティの脆弱性は最悪の状態だった。問題に気がついてからは、これらを防ぐことが最優先事項になった」とTomaschikは話す。彼によると、グーグルは直ちに対策を講じたという。

グーグルの広報担当者は、悪意のあるハッカーからスマートロックが攻撃された形跡はないとしている。その後、「iStar v2 Board」はTLSによる暗号化に変更され、これによりある程度問題は解消するという。広報担当者によると、グーグルはネットワークをセグメント化することでハッカーによる攻撃からシステムを保護しているという。

しかし、Software Houseのテクノロジーを使っている他の企業にとってはまだ問題が残っている。Tomaschikによると、Software Houseは対策を講じているものの、同社のシステムには新しいファームウェアをインストールするメモリが不足しているため、TLSに切り替えるためには企業側でハードウェアを交換する必要があるという。

Software Houseの親会社であるJohnson Controlsの広報担当者は、「問題には対処している」とコメントしている。同社にデバイス交換の必要性を確認したが、回答を得ることはできなかった。
次ページ > 他企業にも被害のリスク

編集=上田裕資

タグ:

advertisement

ForbesBrandVoice

人気記事