欠陥が見つかったホテルのカードキーシステム、メーカーはホテル側に交換費用の負担を求める 83
ストーリー by headless
姉さん、 部門より
姉さん、 部門より
あるAnonymous Coward 曰く、
Mozillaの開発者Cody Brocious氏は7月、全世界のホテル400万室で使われているOnity社のカードキーロックシステムに欠陥があり、Arduinoで解錠可能なことをBlack Hatで明らかにした(本家/.過去記事)。これに対してOnityは8月13日、欠陥を根本的に解決するにはホテル側が費用を負担する必要があるとの声明を発表した( Onityの声明、 Forbesの記事、 本家/. )。
Onityのカードキーロックでは、客室の外側に配されている充電用のDCコネクターがデータ転送用ポートを兼ねている。そのため、データ書き換え用のポータブルプログラマーをArduinoでエミュレートすることにより、数秒で解錠が可能なのだという。この欠陥を根本的に解決するにはハードウェアの交換が必要となるが、Onityの対応はポートをふさぐカバーの提供のみを無償とし、ハードウェアの交換を希望する場合は有償というもの。コントローラー基板を交換可能なモデルでは、新しい基板の送料や技術料などをホテル側が支払う必要がある。基板を交換できない旧モデルの場合、特別価格で新モデルを提供するとしている。
Brocious氏は経営規模の小さいホテルが無償のオプションを選択する可能性を指摘し、このような重大な欠陥の修正費用はメーカー側が負担するべきだと主張したという。また、声明では外部によるセキュリティー基準の監査について言及されておらず、対策が十分であるかどうか疑問だとも述べたとのこと。
具体的なhack(crack)の内容 (スコア:5, 興味深い)
パラパラ斜め読みするだけでも面白いよ!
http://daeken.com/blackhat-paper [daeken.com]
↑
http://www.extremetech.com/computing/133448-black-hat-hacker-gains-acc... [extremetech.com]
↑
http://hardware.slashdot.org/story/12/07/25/1326225/open-millions-of-h... [slashdot.org]
リコールを叫ぶのは良いけど (スコア:4, すばらしい洞察)
ハードウェア交換が無償になった所で申し込みが多ければ採算が合わずに倒産宣言されちゃうかもね。
リコールを期待するのは正しいかもしれないけど、果たされなければ意味が無い。
車は車種や型式年式によってリコール対象をかなり詳細に分ける事ができるけど、カードキーとやらはどうなんだろう?
400万個の鍵を交換っていうからには、まぁ殆ど種類はないんだろうね。
ハードウェア交換の費用をホテル側に全部としているのは妥当かどうか分からないけど
ホテル側もある程度負担しなければ、とてもじゃないけど交換は費用的に難しいのだろうか?
第三者の財務調査とかで明らかにしてくれれば納得感もある。
広報戦略的には、まぁまぁ妥当な気がする。
中には安宿で、交換するほど神経質でなくてもいいという所も若しかしたらあるだろうし
そういうオーナーを探して、交換する割合を減らさなきゃやっていけないのかもしれない。
ちょい頑張るとしたら、カバーの螺子を特殊にしたり、安いスピーカーでも付けたりして
開けたら音がでる仕組みにして見るなんてのもありかも。費用対効果だけど。
それ以外にも例えば使用年数などで費用負担の割合を変えさせてもらうなどの話合いもありかもしれない。
(セキュリティ関連はいずれ破られる可能性があるので、使用保障年数をつけなきゃだめなのかもね)
#狭い業界で酷いリコールを見た事があるけど、その後売ってもらえるのか心配、という出来事があった。
#昔から自分が客の時に「お客様は神様」なんて思わない様にしていたけど
#震災時に「金が有っても売って貰えない」事を経験し、売ってくれる事にこっそり少しでいいので感謝すべきと思った。
#ついでにいうと十分に金を払わない客や会社は「神は神でも貧乏神なので退治していい」と思ってる。
だいぶ前に見た気がしたけど… (スコア:3, 参考になる)
gigazine [gigazine.net]だったか(思い出せなかったので結局ぐぐった)
発見した経緯が起業しやすい国らしいし、廃業時に投資を可能な限り回収しようというところも流石
> Brociousさんは以前、ホテルのフロント業務汎用システムとロック技術の
> スタートアップ企業Unified Platform Management(UPM)という会社に所属しており、
> Onityのホテルフロントシステムをリバースエンジニアリングしてもっと安くて互換性のあるシステムを製作。
> その際にこの脆弱性を発見しました。「故意に見つけたわけではなかった」というBrociousさんでしたが、
> UPM社には顧客がつかず、投資も得られなかったのですぐに潰れてしまい、
> Brociousさんのリバースエンジニアリングで得られた知的財産は
> LSIという錠前屋養成機関に2万ドル(約160万円)で売却されました。
> Brociousさんによれば、LSIの学生なら誰でも自分と同じようにOnity社の鍵を開けられるとのことで、
> 「バカなことをしたものです。他にも1000人以上が同じように脆弱性のことを知っていて、
> 他国政府に売っていたとしてもまったく驚きませんよ」と語っています。
リコールに相当するかどうかが焦点では? (スコア:2)
この話、単なるバージョンアップ的なものなら、ユーザー負担で何の問題もないのだろう。でもリコールなら、話は変わってくる気がする。
Onity社としては、どちらのつもりなのだろう?
それとも、リコールの場合、無償で交換ってのは、日本企業だけの慣習なのかいな?
Re: (スコア:0)
自動車のリコールは無償ですし、リコール=無償なイメージ。
今回の件も数が多いし、防犯上の重要な問題点ですし、国に訴えれば行政命令でも出してくれるんじゃないですかね。
訴訟天国のアメリカなら誰かが訴えるでしょう。
Re: (スコア:0)
まぁ、訴訟で負けたらリコールにしようって事では
某M社 (スコア:2)
所有者が自腹でディンプルキーとかピンシリンダーに交換したので、
売り上げが増えてウハウハだったんじゃないでしょうか。
わざと開錠情報を流したのではと勘繰りたくなりますね。
このケースはどうなんでしょう。裏でつながっているとか。
Re:某M社 (スコア:2)
> どちらがどっちとも言えない程度に同じ話だと思う。
いや、まったく違う話だな。
その時は開発者を訴えよう (スコア:2)
ソフトウェアの安全性欠陥による損害に対し、開発者を訴えられるようにすべきという議論 [srad.jp]
っていうのが有ったなー、っと。
ホテルの客が訴えるってカタチになるのカナ。
完璧な物は存在しない・・・・が・・・ (スコア:1)
この手のもので100%完全な物は存在しないのは間違いないと思うのだけど、一方で
この会社(の誰か)はそのリスクを認知していた、正しくリスク評価ができていたのか
どうかが気になります。
製品のジャンルも何も違うのだけど、自分の会社の製品の開発中にとんでもない穴が
あるのをレビューだったりふとした拍子に気づいて修正や対策を依頼しても、
「そんなことする奴いるか!?」で一蹴されることが多いです。
自分がプロジェクトマネージャであった場合でも、自分の権限で指示してもさらに上の
人間や品質部門の偉い人(!)を使ってひっくり返されてしまう。
いや、確かに、大した数が出る製品じゃないし、直接公衆の人々がアクセスできるような
ものではないけれども、開発者の視点に立てば比較的気づきやすい大穴が開いている
のはいかんと思うのです。
電子機器の開発も、あるセキュリティレベル以上の商品や職位は資格を必要(士業)と
すべきではないかと本気で思うんですよね。
Re: (スコア:0)
1,すでに出荷されている製品に欠陥発見
2,報告
3,億単位の費用がかかるから隠蔽
4,内部告発なんて同族系企業だから無理
どこかに密告しかない
なんて、経験ありますか?
Re:完璧な物は存在しない・・・・が・・・ (スコア:2, 興味深い)
そんなもん、何度でもありますよ。(4はないですが)
ただ、現実に被害が出る欠陥なのかの見極めが難しいんですよ。
だから必ずしも隠蔽、ということではなくて、(その時は)判断という扱い。
ただ、欠陥が露見する可能性の見極め、露見した場合(および悪用された場合)の
影響の見極めが甘くて、「そんなことする奴はいないだろう」という「判断」
に名を借りた「隠蔽」になりかねない・・・。
明らかに法に触れるような話なら隠蔽はないけれども、普通は露見してない
セキュリティリスクの存在は法には触れませんからねぇ・・・。
まあ、直接命に関わったり、金銭を扱ったりする機器じゃないのが救いですけど。
(そういうところはもっとしっかり判断してると信じたいですね)
実際のところ、大問題になったことはないけれども、小規模な問題で結局「判断」が
間違っていて傷口広げた(広げられた)ことはあります。
「絶対露見して問題になる」と警告した通りのことが起きただけなのですが、
当時
隠蔽した馬鹿判断した人間に『なんでもっとちゃんと強く言わなかったんだよ』とか責められました。
・・・が、呆れて馬鹿馬鹿しいとしか言いようがなかったです。
普通の鍵だって (スコア:0)
よりセキュアなものにするのは顧客の責任だろ。
鍵こそ、安全性を評価する責任が利用者にあるように思う。
Re: (スコア:0)
他社に乗り換えるにしても費用はかかる訳だし、費用負担額や特別価格次第だろうな。
メーカーが全額負担すべき、という意見はあっても良いけど、宿泊客が被害にあった時の賠償責任はホテルにある。
「メーカーが費用をとるので…」と言い訳したところでホテルの評判が堕ちるだけだし、ホテルは顧客(宿泊客)のほうを見て対応せんといかんよね。
ホテルが鍵の安全性を評価できるかどうかは俺にはわからん。
自宅の鍵だって鍵メーカーの売り文句を信じるしかないからね。
Re:普通の鍵だって (スコア:2)
普通のシリンダー錠のドアだってピッキングやサムターン回しという脆弱性が露呈しているけど、メーカーは責任を取ってくれたりしないしねぇ……
むしろ、カバーの配布をする分だけ良心的な気さえしないでもないです。
とは言え、業務用と家庭用では事情が違うのかも知れませんが。
ともあれ、困るのはホテルにチェックインしてみないとorチェックインしても対応済みかどうか分からないと言うことですね。
被害に遭うのは客ですし、金ぐらいならホテルに賠償請求もできますが……
Re:普通の鍵だって (スコア:3)
普通の鍵は時間があればピッキングされうる(ので複数鍵つけましょう)というのは説明書とかに書いてませんかね?昔から錠前破りが存在することは知られていたわけですし。
電子錠は安全です、というのが売り文句なら無償でのリコールが当然と思うのですが。
#法人契約だと免責特約が酷いとか?
Re:普通の鍵だって (スコア:2)
「電子錠は安全です、という売り文句」くらいで、解約できるとしたら、
日本の消費者保護法+マスコミによる世論操作+行政指導の3段コンボくらいでしょ。
そもそも、原理的に解錠不能な電子錠前なんてあり得ないし、かつ製造物責任法のある国なら、免責事項として明記してあって当然だと思う。さもないと、どんな電子攻撃に対しても賠償責任を負いかねないからね。
Re:普通の鍵だって (スコア:2)
犯罪的な行為に限定せず、通常の運用の範囲内で意図さず解錠することがあります、なんて免責事項あり得ますかね?これは正しい合鍵作れるとか錠前破壊できるというのとは違い、錠の機能の外でのバックドアですよ。
日本で言えば不正アクセスや不正電磁記録関連の法に抵触するとは思えないですし。
Re:普通の鍵だって (スコア:1)
>データ書き換え用のポータブルプログラマーをArduinoでエミュレートすることにより、
これが「通常の運用の範囲内で意図さず解錠すること」なの?
日本だと、FTPではアクセス制限掛かってて、HTTPでは公開されていたファイルを閲覧しても、不正アクセスよ。
http://japan.cnet.com/news/sec/20082116/ [cnet.com]
Re:普通の鍵だって (スコア:2)
露出した充電端子でバールでこじ開ける必要もアクセス制限も何も無いようなので、そこへのアクセスは通常の運用の範疇だと思います。
ドアノブ引いたら鍵が開いた、とかシリーズの鍵が全て同じだったくらいの瑕疵だと思います。
Re: (スコア:0)
>被害に遭うのは客ですし、金ぐらいならホテルに賠償請求もできますが……
貞操の危機を感じてしまった…由々しき問題(困惑)
30代・男性
Re:普通の鍵だって (スコア:2)
貴方は魔法使いだから、自己防衛は容易いハズ。
ターミネーター2のワンシーンを思い出す (スコア:0)
Arduinoも「ツール」に使われると強力ですね。
Re:ターミネーター2のワンシーンを思い出す (スコア:2)
Arduinoでなくても、たとえば秋月H8マイコンボードでも同じことができるし
犯罪スレスレのハードウェアハックネタもラジオライフやアクションバンド
という雑誌もあった(前者は過去形じゃないか)くらいで、ハードウェアや
ソフトウェアの知識がヤバいツールになるという点は別に新しくはない
かもですね。
Arduinoのおかげでわりと誰でもできるようになったということはあるか
もしれないけど、例に出したH8も環境さえ整えてしまえばCで書けるので、
そんなに難しいわけじゃないし。
昔ならコソコソとアングラーなところでやってたようなことを、大々的に
アナウンスしてしまうのが新しいかな。Arduinoに象徴されるように昨今はツールが
整備されているので、作りが甘い製造物はやられるぞ、注意しよう
ってことでしょうねえ。
Re:ターミネーター2のワンシーンを思い出す (スコア:1)
>Arduinoも「ツール」に使われると強力ですね。
Arduinoは、単に、今時の環境でマイクロ秒単位の信号を扱うのに便利だから使われているだけでしょう。
お手軽という点で、確かに強力ですね。
http://demoseen.com/bhpaper.html [demoseen.com] より抜粋
Re: (スコア:0)
逆じゃないかな
Arduino程度の低スペックなハードウエアでも簡単に解析できる程度の脆弱性って話でそ?
自作プログラムを動かせるから強力、という主張なら否定はしませんがw
おもいきって (スコア:0)
通路側に泊まるとか
Re:おもいきって (スコア:1)
いや。ドアを表裏逆にする
Re:おもいきって (スコア:1)
Re: (スコア:0)
外で寝る
Re: (スコア:0)
クラインの壺?
Re: (スコア:0)
スニーカーズって映画があってな > おもいきって
Re: (スコア:0)
内開きなら、ドアのそばに寝ればいいんじゃね?
開けようにも開けられないでしょ。物理的に。
外開きなら…やっぱり通路側に寝るしかないか…
日本でも (スコア:0)
カードキーロックシステムボロボロな所があるらしい。
連番で認証コード割り振ってるとか、暗号化してなくて規則性がすぐわかる所とか多いらしい
大手でもダメな所があると聞いたことがある
Re:日本でも (スコア:2)
前にいたところだと、鍵を破らなくてもドア開けれた。
引き戸のドアにシリンダー錠という組み合わせだったので、ドアをレールからはずせばごく普通の外開きのドアに早変わり。
Re: (スコア:0)
俺が昔いた職場は、古いドアにあとからカードキーのロックシステム取り付けたもんだから、
その気になればドアの横のガラスをブチ割れば楽に入れる代物だった。
ドアやその枠が木製の華奢なものでギシギシいってたから、力入れればドアごと外せたような気もする。
Re:日本でも (スコア:1)
横にあるICカードリーダーの意味は……
これって (スコア:0)
充電用のDCコネクターをデータ転送用ポートにしないファームで上書きでOKじゃね?
以降の書き換えはできなくなるけどさ
Re:これって (スコア:2, 興味深い)
なぜ書き換え出来るようになっているかというと、キーの紛失・盗難等に備えてのことなので、それでは困るホテルも多いはず
組込系でセキュリティというかリバースエンジニアというか、そのあたりのことにいろいろ気をつかってるところはマイコン等の書き換え用のISPやJTAGポートのコネクタのピンアサインを意図的に入れ替えたり、信号の極性を反転させたりとかしてるんですけどね
うちはデバッグ用の通信ポートに非同期シリアルではなく同期シリアルを使うことを検討したことがあるけど(今時は同期シリアルにも対応したRS-232Cポートを持っている機器は少ない)
Re:これって (スコア:2)
> ピンアサインを意図的に入れ替えたり、信号の極性を反転
この程度の対策しかされてなかったから
ホテルのカードキーシステムもArduinoで解錠可能になったんじゃないかな?
ピンアサインなんか基板見ればすぐ判るし,
同期シリアルでも PICとかArduinoのようなデバイスは簡単に対応できますよ.全然対策になっていません.
ピンアサインとか極性反転程度では,一旦そのカラクリがバレてしまえば,それでおしまいです.
全世界のホテル400万室分のデバイスが無意味になる.
ちゃんと公開鍵暗号などで認証を行うようにして
ホテル毎に鍵を個別に設定しておけばカラクリがバレても被害は最小限で済んだ筈です.
組み込み系の人もちゃんとセキュリティホールに気を使って欲しいものです.
Re:これって (スコア:2)
まともなところは書込ロック領域のブートローダにファームの署名検証コード入れてると思いますけど?
最終製品でデバッガ動かせる場合も最低限秘密鍵で認証後のみにするとかしないんですかね。
Re: (スコア:0)
16bitデータ長UARTとかもっと変な形式にした方がいいよ。
同期式なら普通に売っているが、こう言うのだとFPGAで作るしかなくなる。
乗り換えキャンペーン (スコア:0)
有料で対処に不満なら他社に乗り換えちゃうんじゃないかな?
他社もOnity社から乗り換えるなら料金安くしますよみたいな営業かけそうだし
#というのがどこかであったような記憶が・・・
アップデートサービス (スコア:0)
こういうのっていたちごっこな面もあると思うので、いっそ年間契約の鍵保守サービスにしちゃえばいいんじゃないですかね
とオラクルが申しております
Re: (スコア:0)
その一部がキャンディのエサ代になるのか。
キャンディ就任の画像と比較すると、えらくモッフモフになったよねぇ
Re: (スコア:0)
欠陥ならリコール (スコア:0)
・実装当初の時代でも破られる穴なら欠陥
・暗号強度を解析力が上回ったなら欠陥とは言えない
今回のは前者ですよね?
リコールせずに費用請求するのって
詐欺には当たらないんでしょうか?
Re:欠陥ならリコール (スコア:2)
・実装当初の時代でも破られる穴なら欠陥
・暗号強度を解析力が上回ったなら欠陥とは言えない
今回のは前者ですよね?
リコールせずに費用請求するのって
詐欺には当たらないんでしょうか?
今回の場合、購入時の契約(保証書?)がどうなっているか、が焦点じゃないんですかね~
まぁ、アメリカなのでどこかのホテルが裁判を起こすんじゃないかとは思いますが、その結果次第でしょう。
いきなり公開したようだけど (スコア:0)
この人はメーカーに連絡する前にいきなり公開したようだけど、ソフトでも穴見つけたら同じことするんかね?
Re:カードキーロックによる防犯はオマケみたいなもんでしょ? (スコア:1)
実際、手癖の悪いのはいるよ。
貴重品に手をつける奴がどのくらいいるかはわからないけど、
冷蔵庫の中のビールとかに手を出す奴は結構いるみたい。
開けてもいない冷蔵庫の中のものでトラブルになったことが何度かある。
よっぽど酷い地域ではセーフティボックスだけじゃなくて冷蔵庫にも
鍵がついてたりするね。