研究者が、訪問者管理システムに影響を及ぼす一連の脆弱性について明らかにしている。自動化によって人のアシスタントが置き換えられたシステムだ。
自動化、人工知能(AI)、機械学習(ML)、モノのインターネット(IoT)、モビリティが、私たちの日常生活のあらゆる側面に浸透し始めている。ホスピタリティ業界では、これらの技術が訪問者や宿泊客のセキュリティを向上させ、保護対策の維持に必要な人員を削減する機会を与えている。
通常の警備員や受付に代わる、いわゆる訪問者管理システムは、大きなビジネスになりつつあり、2025年までに13億ドルを超える規模の市場になると予想されている。
しかし、デバイスにインターネット接続機能を追加すれば、攻撃を受ける可能性が生じる。そして、バッジやデジタル制御システムのセキュリティの脆弱性は、ほかのあらゆる脆弱性と同様に、悪用される恐れがある。
サイバー攻撃者の立場から見ると、アクセス管理を改ざんできれば、犯罪を企てるために、さまざまな建物や区域に不正にアクセスできる可能性がある。整備員の格好をした人が誰にも呼び止められることなく建物の中を歩き回るようなソーシャルエンジニアリングも既によく知られた手法だ。
IBMは「訪問者管理システムが適切に動作していれば、正当な訪問者を容易に特定でき、その訪問者が付き添いなしで施設内を移動することが許可されるだろう」とし、「システムが意図した通りに動いていなければ、システムを導入している組織に誤った安心感がもたらされる恐れがある」と述べている。
IBMのサイバーセキュリティチームであるIBM X-Force Redは先頃、Jolly Technologies、HID Global、Threshold Security、Envoy、The Receptionistが提供する5種類の主要な訪問者管理システムのセキュリティ体制を調査した。
IBM X-Force Redは、Jolly Technologiesの「Lobby Track Desktop」、HID Globalの「EasyLobby Solo」、Threshold Securityの「eVisitorPass」、Envoyの「Envoy Passport」、The Receptionistの「The Receptionist」に合計19件のゼロデイ脆弱性を発見した。
IBM X-Force Redの調査には、情報漏えいの脆弱性、デフォルトの管理者認証情報の使用、キオスクモードから抜け出すことを許可する恐れのある権限昇格のバグなどが含まれている。情報漏えいには、訪問者記録や社会保障番号、運転免許証番号などが流出する恐れがあるという。
X-Force Redのチームによる調査の影響を受けるベンダーには、今回の報告が一般に公開される前に詳細が通知されている。複数の脆弱性にはパッチが適用されているが、近くフィックスが公開されるものもある。パッチがない場合は、ほかのシステムから隔離することでバグの影響を緩和できるという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
