ルームキーの代わりに携帯電話はいかが?

あなたは、ホテルのキーをどこかに置き忘れることがあるでしょうか。また、室内か、もしかするとロビーに鍵を置き忘れたのかもしれないなどと思いながら、ポケットや鞄の中を探したりしたことはあるでしょうか。このような課題をセキュリティロックメーカーのAssa Abloy社は「いつも持ち歩いている携帯電話を使ってドアを開ける」という方法で解決しました。Assa Abloy社は、ストックホルムでモバイルキーテクノロジの実証実験を行っています。その基本的な動作は、宿泊客が携帯電話を持ってチェックインすると、ルームキーが電話に直接送信される仕組みになっています。

ホテルでの実験は、Choice Hotels Scandinavia社、携帯電話会社のTeliaSonera社、近距離無線通信(NFC; Near Field Communication)ベンダーのVenyon社が共同で行っています。NFCは、非接触ICクレジットカードで使用されているテクノロジーを拡張したテクノロジーです。NFCに対応させることで、携帯電話を財布として使用することが可能になります。今回の事例では、NFC携帯電話をホテルのドアノブに近づけるだけで、ロックを解除することができるようになりました。

携帯電話をドアにかざすだけで、ロックが解除されます。

Assa Abloy社ではビデオで、モバイルキーの様々な使い方(自宅のキー、事務所のキー、ホテルのキーなど)を紹介しています。請負業者や清掃業者に一時的に使えるキーを発行し、キーが使用されるたびに通知を受け取ることができます。同様に、携帯電話を使用してホテルにチェックインした際に、ホテルのキーを携帯電話で直接受け取ることもできます。

ほとんどの人がNFC携帯電話を持っていないため、Clarionの宿泊客にはサムソン製の最新の携帯電話が渡されます。このSamsung S5230は昨年リリースされた人気のあるタッチパネル搭載携帯電話で、今年からNFCにも対応を開始しています。現時点では、宿泊客は2台の携帯電話を持ち歩くことになりますが、将来的には1台の携帯電話で何でもできるようになることでしょう。

Javaで書かれたアプリケーションにより、部屋番号などホテルのキーに関する情報が提供されます。

NFCにおけるセキュリティ上の懸念
NFC携帯電話は、ホテルのキーやキーカードを大幅に改善すると予測されています。しかし、セキュリティ研究者のコリン・ミュリナー(Collin Mulliner)氏によるNFC対応携帯電話のセキュリティの研究について知っている人なら、最悪の事態を懸念するかもしれません。

ミュリナーは、様々なノキア製NFC携帯電話を調べ、フィッシング、ファジング、スプーフィングといった攻撃を仕掛けました。また、NECタグを読み取り、作成するためのPythonライブラリとツールを開発しました。このライブラリは、Nokia 6131のNFCリーダーをファズする特殊なタグを多数生成しました。この調査は、最新のNFC携帯電話に対しては行われていませんが、新しいデバイスへの展開の基礎になっています。

スマートポスターからURLをロードしたNFC対応携帯電話「Nokia 6131」

Nokia 6131と異なり、Samsung S5230はSecurity and Trust Services API for J2ME(JSR-177)標準に対応しており、モバイルキーを安全に配布することができます。この標準は基本的に公開鍵暗号を使用しているため、携帯電話はホテルから送られたキーを問題なく受け取り、送信途中でキーが改ざんされることはありません。

攻撃者は実際のキー、すなわちキーの電子コピーを盗み出します。NFCなどのRFIDシステムでは、Ghost and Leech攻撃、あるいは単にリレー攻撃と呼ばれる攻撃などがあります。攻撃者は、実際のリーダーをホテルのドアから盗み出すか、互換性のあるリーダーを製造し、携帯電話で使用されているハードウェアを複製して、ゴーストとしてモバイルキーを再生し、ホテルの客室のドアをだます必要があります。現時点では、攻撃者がハードウェアを入手するのは困難ですが、ハードウェアが幅広く使用されるようになれば、手に入れる機会も増えてくることが予想されます。実際に、eBayではRFIDクレジットカードリーダーが既に売られています。

これらの攻撃は、送信中にキーを傍受したり、携帯電話に届くのを阻止したりしようとするものです。また、攻撃者がキーを保管しているデバイスや、NFCハードウェアと連動するモバイルアプリケーションが狙われる可能性もあります。Samsung S5230はJ2MEデバイスであるため、モバイルキーアプリケーションにはJavaプログラムが適していると考えられます。一般的に、J2ME携帯電話で見られる脅威は、ユーザーをだまして危害を及ぼしたり、金銭的な損害をもたらしたりするトロイの木馬です。トロイの木馬は、基盤にあるオペレーティングシステム、すなわちJava Virtual Machine(JVM)をターゲットにしています。

現時点では、これらの攻撃は理論上の攻撃であり、攻撃者が新しいテクノロジーに追いつくまで、まだ時間があります。新たなテクノロジーには必ずセキュリティに関する懸念が存在しています。NFCについても同様に、これらのセキュリティ課題に事前に対処しつつも、すぐどこかに行ってしまうルームキーを見つけるため、あちこち探し回る必要がないような、快適な生活環境の実現に期待したいと思います。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速