セキュリティ調査会社は、政府機関の建物やアパートの建物で使用されているドアエントリーセキュリティシステムに「簡単に」悪用される脆弱性を発見したが、この脆弱性は修正できないと警告している。
ノルウェーのセキュリティ企業プロモンによると、このバグは非接触型クレジットカードによく使われるNFC技術を使用するアイホンGTの複数のモデルに影響を及ぼし、悪意のある人物がドアエントリーシステムのセキュリティコードをブルートフォース攻撃して機密施設に侵入する可能性があるという。
ドアエントリーシステムは建物や住宅団地への安全なアクセスを可能にしますが、デジタル化が進み、物理的およびリモートからの侵入に対して脆弱になっています。
TechCrunchが閲覧したアイフォンのパンフレットによると、同社はホワイトハウスと英国議会の両方を、影響を受けるシステムの顧客として数えている。
Promonのセキュリティ研究者、キャメロン・ローウェル・パーマー氏によると、侵入者はNFC対応のモバイルデバイスを使って、アイホンGTドアシステムのセキュリティに使用されている4桁の「管理者」コードの全組み合わせを素早く試すことができるという。システムにはコードの試行回数制限がないため、パーマー氏によると、ドアエントリーシステムで使用される1万通りの4桁のコードをすべて試すのに数分しかかからないという。このコードはシステムのキーパッドに入力するか、NFCタグに送信できるため、侵入者はシステムに一切触れることなく、立ち入り禁止区域にアクセスできる可能性がある。
TechCrunchと共有された動画の中で、パーマー氏は、自身のテストラボにある脆弱なアイフォンドアエントリーシステムの4桁のコードをすべてチェックできる概念実証用Androidアプリを構築した。パーマー氏によると、影響を受けるアイフォンモデルはログを保存しないため、悪意のある人物はデジタル痕跡を残さずにシステムのセキュリティを回避できるという。
パーマー氏は2021年6月下旬にアイホンに脆弱性を開示した。アイホンはセキュリティ企業に対し、2021年12月7日より前に製造されたシステムは影響を受けておりアップデートできないが、この日以降のシステムにはドア侵入の試行率を制限するソフトウェア修正プログラムが適用されていると説明した。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
プロモンがアイホンシステムで発見したバグはこれだけではありません。同社はまた、ドアエントリーシステムの設定に使用されたアプリが、システムのバックエンドポータルの管理者コードを含む暗号化されていない平文ファイルを提供していることも発見しました。プロモンによると、これにより侵入者は立ち入り禁止区域へのアクセスに必要な情報にもアクセスできる可能性があるとのことです。
アイホンの広報担当ブラッド・ケムチェフ氏は、本記事の掲載前に送られたコメント要請に応じなかった。
関連して、今年初め、ある大学生でセキュリティ研究者が、病院や大学キャンパスにアクセス制御および決済システムを提供するテクノロジー企業CBORDが構築した、広く使用されているドアエントリーシステムに「マスターキー」の脆弱性を発見しました。研究者がCBORDに問題を報告した後、CBORDはバグを修正しました。
人気のスマートホームハブのセキュリティ上の欠陥により、ハッカーが玄関のドアを開けられる
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
