ルームキーの代わりに携帯電話はいかが?

2011/02/28

あなたは、ホテルのキーをどこかに置き忘れることがあるでしょうか。また、室内か、もしかするとロビーに鍵を置き忘れたのかもしれないなどと思いながら、ポケットや鞄の中を探したりしたことはあるでしょうか。このような課題をセキュリティロックメーカーのAssa Abloy社は「いつも持ち歩いている携帯電話を使ってドアを開ける」という方法で解決しました。Assa Abloy社は、ストックホルムでモバイルキーテクノロジの実証実験を行っています。その基本的な動作は、宿泊客が携帯電話を持ってチェックインすると、ルームキーが電話に直接送信される仕組みになっています。

ホテルでの実験は、Choice Hotels Scandinavia社、携帯電話会社のTeliaSonera社、近距離無線通信(NFC; Near Field Communication)ベンダーのVenyon社が共同で行っています。NFCは、非接触ICクレジットカードで使用されているテクノロジーを拡張したテクノロジーです。NFCに対応させることで、携帯電話を財布として使用することが可能になります。今回の事例では、NFC携帯電話をホテルのドアノブに近づけるだけで、ロックを解除することができるようになりました。

携帯電話をドアにかざすだけで、ロックが解除されます。

Assa Abloy社ではビデオで、モバイルキーの様々な使い方(自宅のキー、事務所のキー、ホテルのキーなど)を紹介しています。請負業者や清掃業者に一時的に使えるキーを発行し、キーが使用されるたびに通知を受け取ることができます。同様に、携帯電話を使用してホテルにチェックインした際に、ホテルのキーを携帯電話で直接受け取ることもできます。

ほとんどの人がNFC携帯電話を持っていないため、Clarionの宿泊客にはサムソン製の最新の携帯電話が渡されます。このSamsung S5230は昨年リリースされた人気のあるタッチパネル搭載携帯電話で、今年からNFCにも対応を開始しています。現時点では、宿泊客は2台の携帯電話を持ち歩くことになりますが、将来的には1台の携帯電話で何でもできるようになることでしょう。

Javaで書かれたアプリケーションにより、部屋番号などホテルのキーに関する情報が提供されます。

NFCにおけるセキュリティ上の懸念
NFC携帯電話は、ホテルのキーやキーカードを大幅に改善すると予測されています。しかし、セキュリティ研究者のコリン・ミュリナー(Collin Mulliner)氏によるNFC対応携帯電話のセキュリティの研究について知っている人なら、最悪の事態を懸念するかもしれません。

ミュリナーは、様々なノキア製NFC携帯電話を調べ、フィッシング、ファジング、スプーフィングといった攻撃を仕掛けました。また、NECタグを読み取り、作成するためのPythonライブラリとツールを開発しました。このライブラリは、Nokia 6131のNFCリーダーをファズする特殊なタグを多数生成しました。この調査は、最新のNFC携帯電話に対しては行われていませんが、新しいデバイスへの展開の基礎になっています。

スマートポスターからURLをロードしたNFC対応携帯電話「Nokia 6131」

Nokia 6131と異なり、Samsung S5230はSecurity and Trust Services API for J2ME(JSR-177)標準に対応しており、モバイルキーを安全に配布することができます。この標準は基本的に公開鍵暗号を使用しているため、携帯電話はホテルから送られたキーを問題なく受け取り、送信途中でキーが改ざんされることはありません。

攻撃者は実際のキー、すなわちキーの電子コピーを盗み出します。NFCなどのRFIDシステムでは、Ghost and Leech攻撃、あるいは単にリレー攻撃と呼ばれる攻撃などがあります。攻撃者は、実際のリーダーをホテルのドアから盗み出すか、互換性のあるリーダーを製造し、携帯電話で使用されているハードウェアを複製して、ゴーストとしてモバイルキーを再生し、ホテルの客室のドアをだます必要があります。現時点では、攻撃者がハードウェアを入手するのは困難ですが、ハードウェアが幅広く使用されるようになれば、手に入れる機会も増えてくることが予想されます。実際に、eBayではRFIDクレジットカードリーダーが既に売られています。

これらの攻撃は、送信中にキーを傍受したり、携帯電話に届くのを阻止したりしようとするものです。また、攻撃者がキーを保管しているデバイスや、NFCハードウェアと連動するモバイルアプリケーションが狙われる可能性もあります。Samsung S5230はJ2MEデバイスであるため、モバイルキーアプリケーションにはJavaプログラムが適していると考えられます。一般的に、J2ME携帯電話で見られる脅威は、ユーザーをだまして危害を及ぼしたり、金銭的な損害をもたらしたりするトロイの木馬です。トロイの木馬は、基盤にあるオペレーティングシステム、すなわちJava Virtual Machine(JVM)をターゲットにしています。

現時点では、これらの攻撃は理論上の攻撃であり、攻撃者が新しいテクノロジーに追いつくまで、まだ時間があります。新たなテクノロジーには必ずセキュリティに関する懸念が存在しています。NFCについても同様に、これらのセキュリティ課題に事前に対処しつつも、すぐどこかに行ってしまうルームキーを見つけるため、あちこち探し回る必要がないような、快適な生活環境の実現に期待したいと思います。