Onity社キーカードロックの脆弱性、実際に悪用される 33
ストーリー by hylom
脆弱性を放置していた場合の法律的責任について 部門より
脆弱性を放置していた場合の法律的責任について 部門より
taraiok 曰く、
7月のBlack HatでOnity社のカードキーロックシステムに欠陥があり、Arduinoで解錠可能なことが公開された。このカードロックキーは全世界のホテル約400万室で使用されているのだが、その2か月後に、テキサス州のヒューストンにあるホテル「The Hyatt House Galleria」でこの欠陥を用いた盗難が発生し、宿泊中の女性が持つノートPCが盗難されていたという(Forbes、/.J過去記事、本家/.)。
この事件の犯人は逮捕されたものの、保険会社のPetra Risk Solutionsによれば、同様の手口と思われる方法でテキサスにある2件のホテルが被害に遭ったと指摘している。このセキュリティホールを完全にふさぐためにはコントローラー基板を交換する必要があるが、Onity社は交換費用はホテル側が費用を負担するよう要請している。
一方日本では (スコア:4, おもしろおかしい)
一方日本では、Arduinoを特殊開錠用具に指定して取り締まった。
・・・なんてことにならなければいいが。
Re:一方日本では (スコア:2)
いやいやありえます。
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re: (スコア:0)
うちのマンションのエントランスで番号開錠してる住人がいて、
不動産屋に聞いてみたけど知らなかったんで、
説明書ダウンロードしてみたら、設定方法部分が黒塗りされてたんだけど、
ごにょごにょしたら読めちゃったんで、
晴れて俺も番号開錠住人の仲間入りしましたとさ。
Re:一方日本では (スコア:1)
>まあ、免許制が妥当だと思います。
Arduinoの売買・取得・所持・取扱に免許が必要なら、その文章を書いてPOSTした何らかのコンピュータにも免許が必要でしょう。そんな世がご希望ですか?
本気でそう思っているとしたら、それはないわー。ディストピアものの近未来SFにはありそうな設定だけど、現実にはないわー。
#「警察だ。任意プログラムを実行可能なコンピュータの不法所持の現行犯で逮捕する。」
#押収されるファミリーコンピュータ+ファミリーベーシック
Re:一方日本では (スコア:1)
つーかこのAC [srad.jp]、Arduino [wikipedia.org]が何だか知らないんじゃないの? 知ってたらこんなバカなこと書けないでしょ。
そこいらのエンタテイメント・マルチメディア系専門学校でも使っているようなものを規制したって、ねえ。
Re: (スコア:0)
Visual Studioが何だか知らない新聞が「専門的で高価な素人が購入するとは考えづらいソフトウェア」とか報道しちゃう世の中だからなあ。
Re: (スコア:0)
そんなバカなことは書かないと同じようにおもって、知ってた上でわざと書いてるんだと思ってよんでました
なんでもかんでも考えずに規制するなって意味で。
Re: (スコア:0)
arduinoがどんなものか知っているから、警鐘を鳴らしているのです。現在のハードウェアに主流で使われている制御プロトコルも使えるし、
しかもそれが簡単に、極端に言ってしまえばそんなに深い知識がなくてもコピペで実現できてしまう。
あなたの方こそよくわかってないのでは、と思います。
>そこいらのエンタテイメント・マルチメディア系専門学校でも使っているようなものを規制したって、ねえ。
この発言の真意はよくわかりませんが、現在たくさんの人が使っているから規制しようがない、ってことでしょうか?
それなら全く理論になってませんね。問題になるから規制するのであり、規制されれば絶対数は減ります。
Re:一方日本では (スコア:1)
現在のハードウェアに主流で使われている制御プロトコルも使えるし、しかもそれが簡単に、極端に言ってしまえばそんなに深い知識がなくてもコピペで実現できてしまう。
オリジナルArduino以外にも、Arduinoクローンや、Arduinoとは無関係のものでも実現できますよ。PCだってスマホにインターフェースを付けるキットなんか出れば、それらでも実現できるでしょう。
それを理解した上で、どの様な基準で規制しますか? 現実的な規制基準はあるんでしょうか?
現在たくさんの人が使っているから規制しようがない、ってことでしょうか?
それもありますね。これだけ安価かつ自由に流通しているものを、実際どうやって規制しますか?
完成品のArduinoだけ取り締まっても、ダメですよ。Arduinoの設計は公開されていて、部品も汎用品なのですから。
そもそも、Arduino+コピペ程度で破られるシステムの方に問題があるのです。無闇にArduinoの類を規制するより、その程度では破れないシステムに公的認証を与える、とかの方がよっぽど現実的です。
今回のシステムだって、汎用品+標準的な手順で外側からアクセスできる設計がダメダメだったわけです。そんなダメダメなシステムを保護する以外に、Arduinoを潰して、ハードウェア技術者への道を狭めることに、何のメリットがありますか? そんなダメダメなシステムを保護しても、むしろ社会に害悪でしょう。
Re:一方日本では (スコア:1)
「arduinoがどんなものか知っている」(キリッ)という#2282946は、半田ごてやテスターを持っていないような気がします。
#2282946に限らず、短絡的にそんな風に考えそれを表明する人は、まぁそれなりにいるのでしょう。
Netduino [netduino.com]「Arduinoがやり玉に挙げられたようだな・・・」
chipKIT [microchip.com]「ククク・・・奴はワンボードマイコンの中でも最大手・・・」
がじぇるね [renesas.com]「だが奴が倒れたとしても代わりなどいくらでもおるわ・・・」
壁|ω・`) ジー AKI-H8 [akizukidenshi.com]
壁|ω・`) ジー AKI-80 [akizukidenshi.com]
Re: (スコア:0)
>それを理解した上で、どの様な基準で規制しますか? 現実的な規制基準はあるんでしょうか?
当然同等品の扱いに関しても免許制にすべきでしょうね。
>それもありますね。これだけ安価かつ自由に流通しているものを、実際どうやって規制しますか?
この論法でいくとヒロポンもまだ薬局で簡単に買えますね。
>そもそも、Arduino+コピペ程度で破られるシステムの方に問題があるのです。無闇にArduinoの類を規制するより、その程度では破れないシステムに公的認証を与える、とかの方がよっぽど現実的です。
これはいくらかユートピア思考なんじゃないですかね?他のポ
Re:一方日本では (スコア:1)
半田ごてやテスターを持っていないような気がします。
ごめんなさい。私も持ってません(笑)。
Re: (スコア:0)
「arduinoがどんなものか知っている」(キリッ)という#2282946は、半田ごてやテスターを持っていないような気がします。
と言っているあなたも相当に短絡的な思考だと思いますが。
「半田ごてやテスターを持っていない」事とarduinoの理解に関する関係性も希薄ですし、
そもそも「半田ごてやテスターを持っていない」事がこのコンテキストでどんな意味があるんですか?
こういうのを誹謗中傷っていうんですかね?
Re:一方日本では (スコア:1)
この論法でいくとヒロポンもまだ薬局で簡単に買えますね。
下手な比喩は、議論発散の元。止めた方が良い。ヒロポンは、ヒロポン自体が有害。だから規制する必要がある。Arduinoは、それ自体は有害ではない。Arduino程度でハックされてしまうシステムの方に問題がある。そちらを対策すべき。
当然同等品の扱いに関しても免許制にすべきでしょうね。
無理。無理でないと言うのなら、Arduinoとその同等品と言うのを定義せよ。その上で、余分なものを規制しないことを証明せよ。免許制度にするとして、その基準はどう定めるのか明確にせよ。
それに有害。Arduinoは、元々「学生向けのロボット製造用コントロールデバイス [wikipedia.org]」だったわけで、これを学生が自由に使えなくなるのでは、教育に支障が出る。現状では、小学生でもお小遣いの範囲で買って遊ぶことができるわけだが、君のやり方では、その芽を摘むことになる。
そのような社会でコストのかかる堅牢なものしか許容しない、というのは現実的にはかなり無理があると思います。
「社会でコストのかかる堅牢なものしか許容しない」などと言う安直な意見は言っていない。他人の意見はよく読むこと。
私が言ったのは、「その程度では破れないシステムに公的認証を与える」だ。当然公的認証を得ていない非認証品を売っても構わないし、利用者は様々な認証品・非認証品から費用と効果を考慮して自由に選んでよい。
しかし多くの企業がコスト削減のためにコンピューターセキュリティがおろそかになっているように、そういったものは無くなりません。
いつの時代の話かね? 今じゃウィルス対策をしているところがほとんど。していないところもあるが、それで被害を受けたのなら自業自得。
君の理論で行けば、ウィルスを簡単に作成できるPCの様なものも免許制にすべきだ、と言う話になるが、どうかね?
ダメな製品を保護する、というのはかなり歪曲した見方だと思います。
しかし、現実問題として、キミの「対策」とやらは、そう言うことになってしまう。
車の運転も免許制ですが、それで狭まっているといえますか?それに逆にきちんとした技術教育を受けていないものがそんなものを扱うと余計に社会に混乱をもたらすんじゃないんでしょうか?
下手な比喩は、議論発散の元。止めた方が良い。車とArduinoでは、その危険度がまったく違う。比較にならない。
Re: (スコア:0)
>下手な比喩は、議論発散の元。止めた方が良い。ヒロポンは、ヒロポン自体が有害。だから規制する必要がある。Arduinoは、それ自体は有害ではない。Arduino程度でハックされてしまうシステムの方に問題がある。そちらを対策すべき。
脆弱なシステムはもちろん対策されるべきでしょう。しかし、そういった脆弱なシステムはなくなるでしょうか?
それにあなたの言っているようにarduinoのようなものは日増しにポピュラーになってきています。arduinoはそれ自体は有害ではい、とおっしゃいますが悪用も簡単です。今回の事件はまさにそれを証明していると思いますが。
>無
Re:一方日本では (スコア:1)
脆弱なシステムはもちろん対策されるべきでしょう。しかし、そういった脆弱なシステムはなくなるでしょうか?
もちろんなくなりはしない。しかし、数は減るだろう。
君だって、ゼロにならずとも、数が減ることには意味を認めるのだろう? だったら、他人の意見もそう言う意識で読みたまえ。
arduinoはそれ自体は有害ではい、とおっしゃいますが悪用も簡単です。今回の事件はまさにそれを証明していると思いますが。
悪用が簡単なのは、ダメダメなシステムが横行しているから。何度言ったら解るのかね? 少しは他人の意見を理解してはどうかね?
そうですね、マイクロコントローラーを使用し利用者の自由にプログラミングでき、様々なプロトコルに対応したコントローラーボード、といったところでしょうか?余分なものとは具体的に何を指しているのかわからないですね。
話にならない。コントローラボードとは何かね? PCの形をしていれば、コントローラボードではない? スマホの形なら、あるいは、タブレットの形なら、コントローラボードではないのかね?
つまり余分なものとは例えば、PCとかスマホとかタブレットとかだ。
もう一度考え直したまえ。
免許制にしたら学習の芽をつむ、とおっしゃいますが、中学生や高校生の理化学実験に使うものは取得、保管、取り扱いに免許が必要なものも多数ありますが、そのせいで昨今の学力低下が起こっているでしょうか?
君の頭脳は、程度問題を理解できない程単純なのかね?
それに小学生でArduino使うとは思えないですが。
君に不可能だからと言って、優秀な小学生に不可能と言うわけではない。
しかしながら非認証品も自由に売っていいというそんな状況ではたしてそんなシステムが機能しますかね?
君の案よりは余程現実的に機能する。JISやJAS、SG等十分機能している認証システムもあるからだ。
なぜ機能しないと考えているのか、きちんと書きたまえ。言いっぱなしじゃ話にならない。
当然認証を受けるためには少なくないコストもかかりますし、たいていの場合それは最終価格にも反映されるんじゃないんですかね。
まったく問題にならない。認証を受けない自由もあるのだから。たとえ認証を受けたとしても、そのコストはたいした問題にならないだろう。十分機能している認証システムがあるのだから。
それに、君の言うArduino免許システムにかかるコストは問題にしないのかね? 明らかに個人向けの免許システムである君の案の方がコストがかかるだろう。しかも、利用者だけでなく、設計・製造・流通・販売も管理せねばならないし、完成した製品だけでなく、部品も管理せねばならない。さらに、実効力を持たせるためには、違反を取り締まらねばならない。
appleのapp storeなんかは事実上の免許制になってますよね。作成は自由にできますが、公開は免許がないとできない。
法的な規制と、私企業の囲い込みの区別すら付けられんほど、君のおつむは単純なのか?
なんで「そう言うことになってしまう」んでしょうか?
君が言う様にArduinoの類を規制してしまうのでは、ダメダメなシステムが淘汰される機会を奪うから。
安かろう悪かろうなシステムを採用したりは企業の自由判断でしょう。
君のやり方では、ダメダメなシステムが淘汰されない。このため、高くて悪いシステムが横行してしまう。結果として、「企業の自由判断」が難しくなる。
これはあなたがArduinoは重大な犯罪に使われる事がないと考えているから比較にならないと考えるのでしょう。
妄想も大概にしたまえ。だれがそんなことを言ったのかね。Arduino程度のものを重大な犯罪の道具にしてしまうような、ダメダメシステムの方をどうにかしろ、と言っている。
他人の意見をまったく理解できないほど、君のおつむは単純なのか?
Re: (スコア:0)
また馬鹿が沸いてるなとしか思えないのは、以前からこういうことやって叩かれてる奴だからだろうな。
Re: (スコア:0)
Arduinoが施錠解除できる状態で売っていれば規制すればいいと思います。
あと、あなたが言うように極端に言ってしまえば、どんなものでもソース公開されていればコピペで実現できてしまうよ。
Re: (スコア:0)
じゃあ、どの原発も事故が起こる前だからじゃんじゃん建てればいいですね。
arduinoなんかはソース公開が多いし、しかもそれの改変、配布が簡単だから問題なのです。
Re:一方日本では (スコア:1)
じゃあ、どの原発も事故が起こる前だからじゃんじゃん建てればいいですね。
いい加減、その下手糞な例え話は止めてはどうかね? まったく議論の役には立ってないぞ。
arduinoなんかはソース公開が多いし、しかもそれの改変、配布が簡単だから問題なのです。
オープンソース製品は、改変・配布はまったく自由だが、キミは世の中からオープンソースを抹殺したいのかね?
もしそうでないのなら、下手な例え話は止めて、何が問題だと思っているのか、きちんと書きたまえ。
もし本当にオープンソースを抹殺したいのなら、それはそれで構わない。が、ここでは多くの賛同を得る事はできないだろう。
Re: (スコア:0)
はいはい典型的なパターン。そして、ここまで馬鹿な奴もめずらしい。
最初にめったやたらな規制強化を主張して、穴だらけの持論がボコボコに叩かれてめんどくさくなると、
極論に走ってさらに馬鹿を晒す。相変わらずのノータリンぶりだから、誰が書いてるかは分かりやすい。
最初に言っとくが、ArduinoやAtari Portfolioが規制されたりする未来なんぞ俺は嫌だからな。
Casio F-91W(A159W)を腕にしているだけで米国のエージェントに捕まる未来も御免だぜ。
自分の持論にどんだけ理論の飛躍があるのが低脳すぎて分からないようだが、
最初からバックドアの付いたドアを買わせた事実
Re: (スコア:0)
自動車運転免許を持ってなくても運転できるし車を買うことも可能じゃないの?
ディーラーでも一々免許持ってるかどうか確認されなかったような。
医師免許ですら確認せずに雇ってしまう病院があったり勝手に開業したり。
免許制ってそんなに万能ですかね?
免許ってあくまでそれを取得するに値する技能を持ってるという証明なだけで
犯罪防止にはなんの役にもたたないと思うんだけど。
どっちにしろ破滅の道を歩む予測がその通りに (スコア:0)
リコール受けようが放置しようが結末は変わんないね。
信用なくした鍵を作った会社なんて誰が支持するというのでしょうね。
思い切って有償修理出して思いっきり破たんしたほうが後味良かっただろうに
被害者乙としか言いようがない。この鍵使ってるホテルの一覧とかあるかしらかしら
Re:どっちにしろ破滅の道を歩む予測がその通りに (スコア:3, 参考になる)
日本で一番有名どころと思われるMIWA社が昔販売していたディスクシリンダー錠なんて慣れた人なら10秒程度、私でも数分で不正解錠出来ます。今でも
古いアパートはこの錠を使っている確率が高い。
他の大手鍵メーカーも新製品の錠前ではその時点で判明している不正解錠対策を盛り込みますが既に売った分に関しては我関せずデス。
信用なくした鍵を作った会社がどうなるかと問われればどうにもならないと答えます。
Re: (スコア:0)
MIWAは対応遅いですね。廃止は行われてますが、ピッキングよりも手軽なバンピングが可能らしいJNシリンダーは現行ですし。
http://www.ohzawa.com/miwadisc.html [ohzawa.com]
http://www1.odn.ne.jp/cby55270/VAMP.html [odn.ne.jp]
Re: (スコア:0)
ってかバール一本であくんだから、ディスクシリンダ以前の問題。
Re:どっちにしろ破滅の道を歩む予測がその通りに (スコア:1)
重機で破壊できるんですからATMの脆弱性も問題になりますね
Re: (スコア:0)
バールは音がしますし、道具を取り出した瞬間にバレます。
逆に言うと、それが問題ない場所に設置された鍵であれば、
それ以前の問題というのはその通りと思います。
Re:どっちにしろ破滅の道を歩む予測がその通りに (スコア:1)
有償修理して破綻した場合、修理の金を貸しだした銀行か、出入り業者、下請けが代金を回収し損ねるという形になるから
こっちもたいして後味良くないよ。
Re:どっちにしろ破滅の道を歩む予測がその通りに (スコア:1)
製品が陳腐化しただけです。
元々鍵なんて分とか秒で性能を測る程度のものですし、何の保障も無いでしょう。(保険込みの製品もありますが)
Re: (スコア:0)
陳腐化したんじゃなくてメンテナンスポートから共通のコードを流し込むだけでで解錠できる脆弱性なんだってば。読んだ?
Re: (スコア:0)
陳腐化以外の何ものでもないと思うが。ボールペン一本であくことがわかりました! ってのと何が違うの?