ホテルのネットセキュリティ弱し。全室のカーテンやライトを簡単にコントロール可能だった

ホテルのネットセキュリティ弱し。全室のカーテンやライトを簡単にコントロール可能だった 1

(ホテルにて)

ねぇ...今カーテン動かなかった?

いや気のせいだろ。

ちょっと、電気消さないでよ!

消してねーよ!

なんか寒くない?....キャーーーッ!!!

ということができるわけですね。

CoreOSのセキュリティ・ディベロッパーであるMatthew Garrettさんが先日ホテルに滞在していたところ、面白いことに気づいたそうです。そのホテルでは全室にタブレットが据え付けてあり、それを使って部屋の照明気温カーテンを操作できるというなんとも未来的なサービスが導入されていたと。しかしMatthewさんがちょっと調べてみると特にセキュリティ対策がされていないことが分かったそうです。

他のサービス業に負けず、ホテルもどんどんとテクノロジーを利用しようとしています。アプリを使ってチェックインができたり、部屋の装置をコンピューターやタブレットで操作できたりするホテルが増えてきています。しかしちゃんとセキュリティ対策ができているかというとそうでもないようです。

Matthewさんが泊まったホテルの場合、タブレットにセキュリティ・プロトコルが一切導入されていなかっただけではないんです。

このホテル全体のネットワークのセキュリティがゆるゆるで、他の客室のIPアドレスも簡単に知ることができたそう。これは、別室から、このホテルの全ての部屋の照明、カーテン、気温をコントロールできるということです。

Matthewさんは悪人ではないので他の客室のカーテンを動かして怖がらせて楽しむ...なんてことはしなかったようですが、こんな状況で何百もの人が滞在していることを考えるとゾッとしますよね。

(通信プロトコルである)Modbusは非常に取るに足らないプロトコルで、認証といったものが無いんです。(キャプチャ・ツールである)tcpdumpによるとトラフィックは172.16.207.14に送られているようでした。

Pymodbusを通じて私は照明やテレビの電源、カーテンの開け閉めまで操作することができました。これは楽しい!

それから私が気づいたのは、私の部屋番号が714で、私が使っていたIPアドレスが172.16.207.14だったということです。まさかね...そんなことないよね...と思ったんです。

そんなことありました。

言ってみれば状況は最悪でした。ゲートウェイさえわかれば全フロアーのコントロールシステムにアクセスすることができ、他の部屋の照明がついているかをチェックすることが出来たんです。これは私がそれをコントロールできることを強く示唆しています。

しかし彼はそんな悪さはせずに、ホテルに知らせたところ、ホテルも早急に対策をとる約束をしたとのことです。

しかし怖いのは、きっとこれ日本も含めて世界中で起きてることですよね。テクノロジーが発展することでテクノロジーを導入するのもますます簡単になってきました。しかし導入を決めたホテルのオーナーがセキュリティに関してちゃんと知識を持っているとは限らないんですよね。

何か心当たりがある方は自分のシステム、すぐにセキュリティをチェックしてみてください。

Image: Shuttershock / Atiketta Sangasaeng

source: Matthew Garrett

Andrew Liptak - Gizmodo US[原文

(塚本 紺)