ただし、『WIRED』US版がAssa Abloyに問い合わせたところ、同社は脆弱性があるロックの数を、研究者らが言及した数より少ない50万~100万個だと回答した。実際のところ、この数を割り出すのは難しい。古いロックのうち、どの程度が新しいロックに置き換えられたのか、正確にはわからないからだ。
トゥオミネンとヒルヴォネンはこの10年間に、友人たちの協力を得て1,000枚以上のキーカードを集めた。それらを調べたところ、およそ30パーセントが彼らの攻撃手法に対して脆弱なVisionロックだった。
全室のセキュリティプログラムを一つひとつ手動で更新
トゥオミネンらは1年前、自分たちの調査結果をAssa Abloyに報告して警告した。同社は、2018年2月にセキュリティ更新プログラムをサイトで公開した。ただし、VingCardのロックにはインターネット接続機能がないため、一つひとつのロックに技術者が手動で更新プログラムをインストールしなければならない。したがって、「この修正プログラムを適用しないホテルが出てくる可能性は十分にあります」とトゥオミネンは指摘する。
研究者たちは、この攻撃手法のデモ動画を公開した。そこには、Proxmarkを使って、部外者の立ち入りが禁止されているホテルのフロアにエレヴェーターを止める様子が映っている。
VIDEO COURTESY OF F-SECURE
Assa Abloyでホスピタリティ事業部門の責任者を務めるクリストフ・スットは、『WIRED』US版の電話取材に対し、宿泊客へのリスクはそれほど大きくないと主張した。専門的な知識をもつエフセキュアの研究者でさえ、この攻撃手法を開発するのに数年以上もリヴァースエンジニアリングを行わなければならなかったからだ。
ただしスットは、Visionロックを使用しているホテルには、更新プログラムをインストールするよう要請している。「これがいまの新しい常識です。ソフトウェアは必ず更新しなければなりません。スマートフォンやコンピューターを更新するのと同じように、ロックも更新する必要があるのです」
研究者の発表により、侵入事件が発生
トゥオミネンとヒルヴォネンは、VingCardのロックに存在する脆弱性について詳しい情報を公開していない。窃盗犯やスパイが、その情報を利用してホテルの部屋に侵入する危険性があるからだ。
実際、6年前には問題が起こった。あるセキュリティ研究者が、よく利用されているOnityのキーカードロックに深刻な脆弱性[日本語版記事]があるのを発見し、悪用できるコードをウェブで公開したのだ。その結果、世界各地で100室に上るホテルの部屋に窃盗犯が侵入する事件が発生した。
ただし、トゥオミネンとヒルヴォネンによると、VingCardのコードシステムに脆弱性があるかもしれないと気づいたのは、2003年に調査を始めた直後のことだったという。当時、VingCardのシステムは、非接触型のRFID技術ではなく磁気ストライプ技術を使っていた。固有の暗号鍵をエンコードして各キーカードに記録し、さらに別の暗号鍵を、それぞれのホテルのマスターキーに記録する仕組みだった。