行く手を阻む電子錠付きドアを目前にしたとき、映画の登場人物ならどうするでしょうか。たいがい、ハッカーを呼びます。ハッカーは謎のデバイスを錠につなぎ、数値や記号のあらゆる組み合わせをチェックします。デジタルディスプレイには数字や記号がチカチカと点滅し…、ほんの数秒でドアが開きます。
Black Hat 2017でドアの電子錠の解除(リンク先は英語サイト)に関する報告をしたコリン・オフリン(Colin O’Flynn)氏は、こういう映画の登場人物にとって一番難しいのはドアが開いた瞬間に気の利いたセリフを決めることだろうね、と冗談を飛ばしました。
こういったシーンは、どのくらい現実と一致しているのでしょうか。産業用レベルの電子錠の話なら、まるで違います。しかし、近ごろ普及しだしている家庭用電子錠は、そこまで優秀ではありません。
オフリン氏はサンプルとして家庭用電子錠を2個入手し、詳しく調査を行いました。1つめのモデルは、いわゆる「メイド攻撃」(ホテルなどで部屋に置きっ放しにしてあるノートPCに客室係が不正にアクセスする、というタイプの攻撃)に対して脆弱であることが明らかになりました。鍵を開けるには、錠の内側の部品に1回だけ、物理的にアクセスすればよいのです。いったん内部にアクセスできれば、自分用のコードを簡単に追加できるので、あとは都合のよいときにドアを開けられるようになります。
この作業に、特別なスキルは一切不要です。バッテリー収納部の内側に、コードの追加手順が示されているのですから。既存の利用者コードやマスターコードを入力する必要もありません。
もう1つのモデルには、この欠陥がありませんでした。しかし、外側からの攻撃に対して脆弱なことが証明されました。錠の外側の部品には、暗証番号入力用タッチスクリーンの付いたモジュールが入っています。このモジュールは簡単に取り外し可能で(オフリン氏はテーブルナイフを使いました)、取り外すときれいに並んだコネクタが露わになります。
オフリン氏は錠の外側の部品と内側の部品がどのように作用するのかを調べ、映画の中でハッカーが使っていたのと同じようなデバイスを作成しました。チカチカ点滅するデジタルディスプレイ付きです。コードを総当たり攻撃するには、先ほど説明したコネクタにデバイスをつなげる必要があります(錠の電子部品は、実際に何が接続されるのかチェックしません)。
当然ながら、錠の製造元は総当たり攻撃を予測していました。暗証番号の入力を3回以上間違えると、錠のアラームが作動します。ところが、外部コネクタの接点に一定の電圧を加えると内部の電子機器がショートし、システムが再起動して誤入力カウンターがリセットされることが判明しました。
オフリン氏作成のデバイスは、1分間に約120のコードをチェック可能です。錠の暗証番号(4桁)の組み合わせをすべてチェックするための所要時間は、約85分。つまり、錠を開けるまでにたいてい1時間半かかるわけで、ものの数秒で開いてしまう映画の描写とは大違いですが、そこを除けば映画とほぼ同じです。
それだけでなく、オフリン氏は錠のマスターコードの見つけ方も突き止めました。マスターコードは暗証番号よりも長い6桁ですが、そうなると、総当たり攻撃にかかる時間はほぼ1週間にまで延びます。ところが、電子錠のファームウェアには、大幅な時間短縮を許す別のバグがありました。6桁のマスターコードのうち、初めの4つの数字を入力したときのファームウェアの反応は、エラーメッセージを表示するか、残り2つの数字が入力されるのを待機するか、どちらかなのです。これで、最初の4桁が合っているかどうか確認できます。
マスターコードの最初の4つの数字を総当たり攻撃するのにかかる時間は、先ほどと同じ(最大で)85分、さらに最後の2つの数字を突き止めるのにはプラス1分です。この作業が完了すると、アクセスコードをリセットして自分で設定できるようになります。また、既存のコードを削除することも可能なので、こうなると錠の持ち主は、ドアを壊すか自分でハッカーを雇うかしかなくなります。
オフリン氏はすでに錠の製造元に連絡を取っており、同氏によればすぐに反応があったとのことです。この脆弱性(そして、これ以外のセキュリティ上の問題も)は、早急に修正されることでしょう。
一方で、今回の調査結果は「家庭用の電子錠は、セキュリティ面で不十分である」という明確なメッセージを示しています。物理的な錠にも不備があることは間違いありません。しかし、少なくとも物理的な錠については研究が進んでおり、どのモデルがセキュリティ面で優れているのか明らかにすることは可能です。電子錠の場合、どのモデルが本当に安全で、どのモデルが安全でないのか、今のところは不透明なままです。