CyberLockは高セキュリティ環境で使用されます
警察と空港を守る「サイバーロック」に重大な脆弱性があると報告書が警告。
クレジット: IOActive
クレジット: IOActive
病院、空港、水処理施設の安全を守る市場をリードするデジタルロック製品に重大な脆弱性があり、悪意のある従業員や外部の攻撃者がデジタルキーを複製できる可能性があると研究者らが先週末に報告した。
「クローン不可能」はもうない
IOActiveの5ページにわたるアドバイザリは、一部のバグが製品のセキュリティに関する基本的な保証を損なうと警告しています。この製品は、見た目も動作も従来の錠前と変わりませんが、サイバーキーと呼ばれるプログラム可能なデジタルキーで施錠・解錠されます。サイバーキーにより、サイバーロックは各キー所有者に厳格な制限を課すことができ、特定のエリアや施錠された保管容器にアクセスできる時間帯やキーの有効期間などを制御することができます。また、各アクセスまたはアクセス試行を記録し、詳細な監査証跡を作成することもできます。サイバーロックのマーケティング資料では、サイバーキーは複製または変更できないという保証も強調されています。IOActiveのアドバイザリによると、サイバーロックは次のような内容です。
CyberLockは、「高セキュリティ」なロックとシリンダーのラインアップに加え、CyberKeyの更新、管理、プロビジョニング、保管のための関連製品とサービスを提供しています。様々なマーケティング資料では、CyberKeyは「複製不可能」であり、安全で監査可能なソリューションとして、金銭処理システムや重要なインフラシステムでの使用に適していると説明されています。
しかし、リバースエンジニアリングの結果、これらのデバイスは簡単に複製でき、紛失したシリンダーとキーから、キーに付与された権限に関係なく新しいキーを作成できることが判明しました。さらに、時間帯制限はシリンダーではなくキーによって適用されるため、攻撃者は設定に関わらずいつでもアクセスできてしまいます。
この勧告では、「サイトキー」は暗号化されていない「平文」形式で保存されており、ロックシリンダーから復元可能であると述べられています。攻撃者は、以前に承認されたサイバーキーとサイバーロック間の通信を傍受することで、サイトキーを入手する可能性もあります。サイトキーが抽出されると、それを用いて複製キーを作成し、時刻制限やワンタイムアクセス制限を解除できるように改変することが可能です。また、サイバーロックのシリンダーは、同社のデジタル南京錠シリーズから「機械式リテーナーを数回強く叩く」ことで取り外すことができ、ロックを解除できます。さらに深刻な問題として、オシロスコープに接続されたサイバーロックモデルから取得した以下の図に示すように、これらのデバイスはサイドチャネル攻撃に対して脆弱である可能性があります。この手法は、簡易電力解析と呼ばれ、サイトキーの復元を可能にします。
サイバーロックに接続されたオシロスコープの測定値。A2から始まる値は、サイバーキー挿入時の消費電力を示しています。
クレジット: IOActive
サイバーロックに接続されたオシロスコープの測定値。A2から始まる値は、サイバーキー挿入時の消費電力を示しています。出典:IOActive
レポートには、CyberLockを動かすファームウェア全体を抽出できることを示唆する他の画像も含まれています。レポートでは詳細は説明されていませんが、ファームウェア抽出攻撃は、光学的フォールトインジェクションと呼ばれる手法を用いているようです。この手法では、セキュアチップを顕微鏡とレーザーで解剖・分析します。
CyberKeyファームウェア抽出方法
クレジット: IOActive
CyberKeyファームウェア抽出方法Credit: IOActive
ファームウェア抽出のための CyberLock ヒューズ クリア方法。
クレジット: IOActive
ファームウェア抽出のためのCyberLockヒューズクリア方法。出典:IOActive
サイバーロックが反撃
サイバーロックの弁護士であるラブキン氏は、火曜日に送付した3ページの回答書の中で、IOActiveの調査結果の一部に強く異議を唱えた。ラブキン氏によると、調査結果はサイバーロックの全製品ラインに適用されるわけではなく、たとえ製品ラインであってもファームウェアは定期的に更新されているという。ラブキン氏はさらに次のように述べている。
さらに、IOActiveのリバースエンジニアリングプロセスでは、組み込み半導体チップから[会社名編集済]のファームウェアを抽出するために、熟練した技術者、高度な実験設備、その他一般には入手できない高価なリソースの使用が必要でした。IOActiveの手法が[会社名編集済]の法的権利を侵害したかどうかという問題はさておき、貴社のプロセスには少なくとも以下の手順が含まれていたようです。(1)「機械式リテーナーを数回鋭く叩く」ことで[会社名編集済]を強制的に分解し、シリンダーを取り外す。(2)半導体チップのパッケージを削り取る。(3)パッケージを開封したチップにリード線を接続する。(4)パッケージを開封したチップからファームウェアを抽出する。(5)抽出したファームウェアのソースコードの一部をリバースエンジニアリングする。[会社名編集済]は、自社製品で保護されたドアが侵入不可能であると主張しておらず、またこれまでもそのような主張をしたことはありません。 IOActiveの手法に従うだけの時間、高度な知識、そしてリソースを持つ人なら、ドアの鍵をドリルで開けたり、斧でドアを叩き壊したりすることで、[会社名編集済み]製品を簡単に破壊できるのは当然のことです。あなたのレポートにあるように、あなたがラボでバイパスを開発できたという理由だけで、[会社名編集済み]製品に「深刻な」脆弱性があると示唆することは、問題のエクスプロイトは高価で高度なラボ機器と高度な技術を持つ技術者なしには不可能だったという事実を無視しています。これは、[会社名編集済み]製品の本来の用途では、現実にはあり得ないシナリオです。
IOActiveの広報担当者は、CyberLockが法的措置を取る兆候はないと述べている。
アドバイザリに記載されている攻撃のほとんどまたはすべては、おそらく高度にセキュリティ保護され監視されたエリアにあるロックへの物理的なアクセスを必要としますが、それでも報告された脆弱性は深刻です。これは、ロックが保護することを意図している脅威モデルに、高セキュリティのサイトを標的とすることで知られる、悪質な従業員や非常に高度で執拗な攻撃者が含まれるためです。CyberLock製品を使用している、または使用していた施設には、アムステルダムメトロ、クリーブランド交通局、クラーク郡(ネバダ州)消防署、テンプルテラス(フロリダ州)警察署、アトランタ・フルトン郡水処理施設、シアトル公益事業所、ワシントン州タコマのブロードウェイ舞台芸術センターなどがあります。CyberLockのマーケティング資料では、空港や北米電力信頼性協会(NARC)の認証を必要とする施設での使用も宣伝しています。
IOActiveのレポートが指摘しているように、CyberLockの重要なセールスポイントの一つは、紛失または期限切れのキー、あるいはロック自体の解析によってもキーを複製できないことです。研究者が説明しているエクスプロイトには限界があるかもしれませんが、もし説明通りに動作すれば、その保証は完全に損なわれることになります。
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
93件のコメント
