今月初め、Airbnbのパートナー企業でリモートロックの開発を手がけるLockStateが、インターネット環境下で作動する「スマートロック」のアップデートを行いました。そその際、500人の顧客のロックが作動しなくなるというトラブルが発生しました。うち200人はAirbnbのホストであり、スマートロックを部屋の貸し出しに利用していたそうです。顧客はロックを交換するか、修理のために返送しなければなりません(物理的な鍵なら開錠可能だそうです)。
スマートロックなどのIoTデバイスは、このような技術的問題に対して脆弱です。Engadgetの報道によると、セキュリティー・コンサルタントのAnthony Rose氏は昨年、Bluetooth式ドアロックの致命的な欠陥を暴いてみせました。試した16種のロックのうち、実に12種の解錠に成功したのです。
米Lifehackerの姉妹サイトGizmodoでは4年前にスマートロックのセキュリティーを検証していますが、それからあまり改善しているようには思えません。そこで、5人のセキュリティーの専門家に、現在のスマートロックの安全性について聞いてみました。
5人とも、すべてのスマートロックを完全に否定するつもりはないとしながらも、さまざまな問題点を指摘してくれました。
専門家の見解
インターネット式デバイスの「破滅的なリスク」について、議会で証言したハーバード大学のセキュリティー・テクノロジストBruce Schneier講師は、このように述べています。
多くのテクノロジーがそうであるように、何を信じるべきか、どの程度信じるべきかは、自分自身で決めなければなりません。
MITのStuart Madnick教授は言います。
スマートロックが壊れたりハッカーに狙われたりするリスクは常にあります。原因として最も考えられるのは、所有者自身の行為(または不注意)ですが。
とはいえ、昔ながらの鍵にも同様のリスクがあるというのがMadnick教授の主張です。
私はよくこう言うんです。「お宅のドアに強力な錠を買うのはいいけれど、鍵をマットの下に隠しているようじゃ、本当に安全になったといえますか?」と。
教授はこのトレードオフについて、乗り物が馬から自動車へと変遷したときのリスクの変化にたとえてこう説明してくれました。
せっかく手に入れた自動車を、(リスクが高いという理由で)今さら馬と交換しようと思いますか?
サイバーセキュリティー企業のSentinelOneでセキュリティー戦略のトップを務めるJeremiah Grossman氏は、スマートロックが適切な場面もあると述べています。
私が個人的に、そのようなデバイスに自宅のセキュリティーを任せるかといえば、現時点ではNoです。しかし、将来もっとデバイスが改善されて安全性が高まれば、信じられるようになるかもしれません。
では、一般的にこのようなデバイスは使われるべきでしょうか? それは当然、状況によるでしょう。そのドアで守ろうとしているものが決定的に重要でなければ、試してみる価値はあると思います。
つまりGrossman氏は、スマートロックが「根本的に安全かどうか」ではなく、「特定の用途に対して安全かどうか」を論じるべきだと言っているのです。
セキュリティー・ソフトウェアを販売しているIcon Labsの共同創設者であるAlan Grau氏も、同様の意見を聞かせてくれました。
そのリスクにもかかわらずスマートロックを使う人がいるのは、何ら不思議ではありません。私たちが議論すべきは、「このようなソリューションを使うべきか」ではなく、「どんなリスクがあるのか」「そのリスクは従来型の錠前と比べてどうなのか」「ロックメーカーがこれらのデバイスに合理的なセキュリティーを導入するにはどうすればいいか」だと思います。
もっとも厳しい意見だったのが、セキュリティーに詳しい記者Brian Krebs氏でした。彼は、スマートロックを導入する人が多くて困っているというのです。
これまでは、犯人が錠前を破るためには現場にいなければなりませんでした。それなのに、スマートロックの場合、その高価な対価(攻撃者側のリスク)を、方程式から除外することになるのです。
とはいえKreb氏も、同テクノロジーを完全に否定しているわけではありません。
リモート操作可能かつ安全なロックは存在しえないと言っているのではありません。ただ、現在使われているものの大半は、しかるべき安全性からは程遠いと思います。
導入前に検討すべきこと
これらの意見をまとめると、スマートロックは「利便性のためにかなりのセキュリティーを犠牲にしている」といえそうです。購入する場合は必ず、既知のセキュリティー問題をリサーチするとともに、新たな問題も起こりうることを覚悟してください。
それと最後に、これだけは忘れないでください。どんなロックであれ、正しい使い方をしなければ安全とはいえません。
We Asked Five Security Experts If Smart Locks Are Ever Safe | Lifehacker US
Image: Robert Kneschke/Shutterstock.com
Source: LockState(1,2), Engadget, Gizmodo, SentinelOne