外部ネットワークと切り離せばサイバー攻撃も受けないが不便になりそう
ドアをハッキングで解錠、映画の1シーンが現実に。世界的な管理システムに脆弱性
機密のある部屋や建物の自動ドアをハッキングして、ひそかに忍び込むハッカーの姿は映画やドラマでよく見かけるものだ。それが現実となりそうな脆弱性が、世界で最も普及している入退室管理システムの1つにあったことが報告されている。
サイバーセキュリティ企業Trellixの研究者は、HID社製でCarrier社が販売しているLNL-4420パネルに8つの脆弱性を発見し、完全にコントロールできたと報告している。
この脆弱性を使えば、本製品に制御されたドアをリモートで施錠・解錠でき、入退室管理システムで守られた屋内の貴重なハードウェアを盗んだり、機密性の高いコンピューターにアクセスできてしまうわけだ。同社の上級研究員Sam Quinn 氏は、あらゆる監視を逃れて「神モード状態のデバイスを実際に制御できる」とまで語っている。
こうした攻撃は絵空事ではなく、「ウクライナIT軍」として知られる有志のハッカーグループが、ロシア最大の動画共有サイトであるRuTubeに対して、実際に行ったことだという。その時はRuTubeサイトを3日間ダウンさせただけでなく、同社のサーバールームへの出入りを制御するシステムを乗っ取り、従業員を中に閉じ込めたとのことだ。
ただし、ハッカーが入退室管理システムの制御を奪うには、まず建物のネットワークに侵入する必要があるそうだ。とはいえ、そうしたサイバー攻撃はインターネット上で毎日のように起こっていることであり、そう困難な条件とはいえそうにない。
今回の調査結果は、上記のQuinn氏とTrellix社の調査責任者Steve Povolny氏がセキュリティカンファレンス「Blackhat」で発表したものだ。Quinn氏はそれに先立つインタビューで「この装置を経由してネットワークに入りさえすれば、妨げるものは何もないだろう」と語っている。
これらの脆弱性はすでにCarrier社に報告され、同社はHIDと協力して修正アップデートを適用したそうだ。Carrier社は迅速に対応し、研究者との共同作業にも非常にオープンな姿勢で臨んだという。ただしCarrier社とHID社とも、コメントの要請には応じていない。
そもそも入退室管理システムがサイバー攻撃を受けるのは、外部のネットワークと繋がっているからだ。Quinn氏が提案する対策は2つで、1つは入退室管理システムをメインのネットワークとは別の専用ネットワークに置くこと。もう1つは、ネットワーク・インターフェイスを無効にすることだ。
そうすれば外部からのシステム管理は不可能に近くなり、メンテナンスも社内の従業員が自前でやることになりそうだが、便利さと強固なセキュリティは「どちらを取るか」の二者択一なのかもしれない。
- Source: Motherboard