あなたは、ホテルのキーをどこかに置き忘れることがあるでしょうか。また、室内か、もしかするとロビーに鍵を置き忘れたのかもしれないなどと思いながら、ポケットや鞄の中を探したりしたことはあるでしょうか。このような課題をセキュリティロックメーカーのAssa Abloy社は「いつも持ち歩いている携帯電話を使ってドアを開ける」という方法で解決しました。Assa Abloy社は、ストックホルムでモバイルキーテクノロジの実証実験を行っています。その基本的な動作は、宿泊客が携帯電話を持ってチェックインすると、ルームキーが電話に直接送信される仕組みになっています。
ホテルでの実験は、Choice Hotels Scandinavia社、携帯電話会社のTeliaSonera社、近距離無線通信(NFC; Near Field Communication)ベンダーのVenyon社が共同で行っています。NFCは、非接触ICクレジットカードで使用されているテクノロジーを拡張したテクノロジーです。NFCに対応させることで、携帯電話を財布として使用することが可能になります。今回の事例では、NFC携帯電話をホテルのドアノブに近づけるだけで、ロックを解除することができるようになりました。
携帯電話をドアにかざすだけで、ロックが解除されます。
Assa Abloy社ではビデオで、モバイルキーの様々な使い方(自宅のキー、事務所のキー、ホテルのキーなど)を紹介しています。請負業者や清掃業者に一時的に使えるキーを発行し、キーが使用されるたびに通知を受け取ることができます。同様に、携帯電話を使用してホテルにチェックインした際に、ホテルのキーを携帯電話で直接受け取ることもできます。
ほとんどの人がNFC携帯電話を持っていないため、Clarionの宿泊客にはサムソン製の最新の携帯電話が渡されます。このSamsung S5230は昨年リリースされた人気のあるタッチパネル搭載携帯電話で、今年からNFCにも対応を開始しています。現時点では、宿泊客は2台の携帯電話を持ち歩くことになりますが、将来的には1台の携帯電話で何でもできるようになることでしょう。
Javaで書かれたアプリケーションにより、部屋番号などホテルのキーに関する情報が提供されます。
NFCにおけるセキュリティ上の懸念
NFC携帯電話は、ホテルのキーやキーカードを大幅に改善すると予測されています。しかし、セキュリティ研究者のコリン・ミュリナー(Collin Mulliner)氏によるNFC対応携帯電話のセキュリティの研究について知っている人なら、最悪の事態を懸念するかもしれません。
ミュリナーは、様々なノキア製NFC携帯電話を調べ、フィッシング、ファジング、スプーフィングといった攻撃を仕掛けました。また、NECタグを読み取り、作成するためのPythonライブラリとツールを開発しました。このライブラリは、Nokia 6131のNFCリーダーをファズする特殊なタグを多数生成しました。この調査は、最新のNFC携帯電話に対しては行われていませんが、新しいデバイスへの展開の基礎になっています。
スマートポスターからURLをロードしたNFC対応携帯電話「Nokia 6131」
Nokia 6131と異なり、Samsung S5230はSecurity and Trust Services API for J2ME(JSR-177)標準に対応しており、モバイルキーを安全に配布することができます。この標準は基本的に公開鍵暗号を使用しているため、携帯電話はホテルから送られたキーを問題なく受け取り、送信途中でキーが改ざんされることはありません。
攻撃者は実際のキー、すなわちキーの電子コピーを盗み出します。NFCなどのRFIDシステムでは、Ghost and Leech攻撃、あるいは単にリレー攻撃と呼ばれる攻撃などがあります。攻撃者は、実際のリーダーをホテルのドアから盗み出すか、互換性のあるリーダーを製造し、携帯電話で使用されているハードウェアを複製して、ゴーストとしてモバイルキーを再生し、ホテルの客室のドアをだます必要があります。現時点では、攻撃者がハードウェアを入手するのは困難ですが、ハードウェアが幅広く使用されるようになれば、手に入れる機会も増えてくることが予想されます。実際に、eBayではRFIDクレジットカードリーダーが既に売られています。
これらの攻撃は、送信中にキーを傍受したり、携帯電話に届くのを阻止したりしようとするものです。また、攻撃者がキーを保管しているデバイスや、NFCハードウェアと連動するモバイルアプリケーションが狙われる可能性もあります。Samsung S5230はJ2MEデバイスであるため、モバイルキーアプリケーションにはJavaプログラムが適していると考えられます。一般的に、J2ME携帯電話で見られる脅威は、ユーザーをだまして危害を及ぼしたり、金銭的な損害をもたらしたりするトロイの木馬です。トロイの木馬は、基盤にあるオペレーティングシステム、すなわちJava Virtual Machine(JVM)をターゲットにしています。
現時点では、これらの攻撃は理論上の攻撃であり、攻撃者が新しいテクノロジーに追いつくまで、まだ時間があります。新たなテクノロジーには必ずセキュリティに関する懸念が存在しています。NFCについても同様に、これらのセキュリティ課題に事前に対処しつつも、すぐどこかに行ってしまうルームキーを見つけるため、あちこち探し回る必要がないような、快適な生活環境の実現に期待したいと思います。
関連記事
- [2011/01/31] 3つの主流モバイルブラウザで脆弱性発見
- [2011/01/11] 携帯電話ネットワークを所有するモバイルボット
- [2010/12/20] モバイルセキュリティとその管理
- [2010/12/09] 重要度が高まる、スマートフォンのセキュリティホール
- [2010/11/26] jailbreak後のiPhoneをターゲットとした、マルウェア攻撃
- [2010/08/20] モバイルのセキュリティ-3:Androidのセキュリティ
- [2010/08/06] モバイルのセキュリティ-2:必要な対策
- [2010/07/01] モバイルのセキュリティ-1:取り巻く脅威
※本ページの内容はMcAfee Blogの抄訳です。
原文:Missing Hotel Room Key? Try Your Phone
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)