検索
コラム

ハッカーは身内? Googleのオフィスのドアに潜むワナ:482nd Lap金曜Black★ピット

近年、オフィスのドアは電磁ロックされ、非接触ICを内蔵したカードを使って解錠して出入りする会社も増えた。いわゆる「スマートロック」というヤツだ。入退室のログもキッチリ記録できる。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 時代の最先端を行くテック系企業ならもちろん導入済みだろう。筆頭クラスともいえるGoogleも当然のようにスマートロックで施錠されていたハズなのだが、ちょっとした問題が判明した。

 経済誌『Fobes』が報じたところによれば、Googleのオフィスのスマートロックがハッキングされ、ICカードナシで解錠できる状態になっていたのだ。大丈夫なのGoogleさん?

 ハッキングされたのは、米カリフォルニア州サニーベルにあるGoogleのオフィス。2017年の夏、あるハッカーがオフィスのドアをICカード不要で解錠することに成功した。幸か不幸か「あるハッカー」とはGoogleの優秀な従業員デービッド・トマシク氏だった。

 そのオフィスでは、Software House製のスマートロックデバイスおよびシステムを採用した。トマシク氏はスマートロックが同社のネットワークに送信する暗号化されたメッセージ(恐らく入退出記録)が、ランダムではないことに気付いた。

 さらに調べると、スマートロックデバイスのハードウェアに暗号化キーが埋め込まれていることを発見する。これは定期的に変更されることなく、常に同じキーを使っていたのだ。

 トマシク氏は、ICカードがなくても特定のコマンドを送信するだけでスマートロックを解除したり、デバイスが送信するデータを改ざんしたりできることを知った。ログを残さずに入退室したり、特定の従業員だけが解錠できなくなるようにしたりすることも可能だった。

 優秀な従業員だったトマシク氏は、最悪な脆弱(ぜいじゃく)性を悪用することはなかった。Google内の適切な部署に連絡して対策を講じる必要があることを強く主張したのだ。すぐに本部も動き始めた。

 Googleの調査によれば、これまで社内に設置されたスマートロックが外部からハックされた形跡はなかった。スマートロックから送られるデータの暗号化にはTLSを使うようにした上で、ネットワークのセグメント化を強化することでスマートロックシステムを保護するようにした。

 この出来事を受けて、Software Houseは対策に迫られた。だが、同社製品の一部はファームウェアの書き換えができず、根本的な解決にはハードウェアの交換が必要になったという。

 トマシク氏は、同社のデバイスとシステムを採用している企業は少なくないと指摘し、この脆弱性は早急に解決すべきだという。また、スマートロックに限らずIoT機器にはセキュリティの問題が残っていることが少なくないと、2018年8月に開催されたハッカーの祭典「DEF CON」のIoTデバイスのセキュリティセッションに登壇して警鐘を鳴らしたのであった。

 スマートロックのハッキングは、物理的な被害を生み出しかねない。場合によってはテロの可能性だってある。メーカー側での対処を待つことなく、企業側も素早い対策が必要となるだろう。


上司X

上司X: Googleのスマートロックがハッキングされてやりたい放題だったという話だよ。


ブラックピット

ブラックピット: Googleがオフィスで使っていたスマートロックっていう言い方が正しいですね。でも、ハックした張本人が従業員だったなんて運が良かったですね。


上司X

上司X: 身内から邪悪なハッカーがでなくて良かったよ。そしてこれだけザルなセキュリティでも被害が出なくて良かった。


ブラックピット

ブラックピット: それにしてもスマートロックがそんなに簡単にハックできるとは思いませんでしたね。


上司X

上司X: もともと人間は鍵を信用しているからな。それをIoT化したらもっと強固なハズという思い込みがあったのかもしれない。


ブラックピット

ブラックピット: そういう意識は確かにあるかもしれませんね。


上司X

上司X: トマシク氏が登壇したイベントでは、ちょっと調べただけでいろいろなIoT機器に55件もの脆弱性が発見されたというからな。全てのデバイスを詳細に調べたらどれほどの弱点があるものか。


ブラックピット

ブラックピット: IoTデバイスを狙ったマルウェアもガンガン出てきていますからね。ユーザー側でケアできるならいいですけど、今回のスマートロックみたいにハードごと交換しないともうダメってのはカンベンいただきたいですね。


上司X

上司X: 今後、何かしらの対策がなされると前向きに期待しようじゃないか。それにしてもキミ、社員証兼ICカードをチョイチョイ自宅に忘れているじゃないか。スマートロックのセキュリティを語る前にその点を改めるべきだと思うぞ。


川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る