IBM X-Force Redが複数の訪問者管理システムの脆弱性を指摘

Charlie Osborne (ZDNet UK) 翻訳校正: 編集部

2019-03-05 12:20

 研究者が、訪問者管理システムに影響を及ぼす一連の脆弱性について明らかにしている。自動化によって人のアシスタントが置き換えられたシステムだ。

 自動化、人工知能(AI)、機械学習(ML)、モノのインターネット(IoT)、モビリティが、私たちの日常生活のあらゆる側面に浸透し始めている。ホスピタリティ業界では、これらの技術が訪問者や宿泊客のセキュリティを向上させ、保護対策の維持に必要な人員を削減する機会を与えている。

 通常の警備員や受付に代わる、いわゆる訪問者管理システムは、大きなビジネスになりつつあり、2025年までに13億ドルを超える規模の市場になると予想されている。

 しかし、デバイスにインターネット接続機能を追加すれば、攻撃を受ける可能性が生じる。そして、バッジやデジタル制御システムのセキュリティの脆弱性は、ほかのあらゆる脆弱性と同様に、悪用される恐れがある。

 サイバー攻撃者の立場から見ると、アクセス管理を改ざんできれば、犯罪を企てるために、さまざまな建物や区域に不正にアクセスできる可能性がある。整備員の格好をした人が誰にも呼び止められることなく建物の中を歩き回るようなソーシャルエンジニアリングも既によく知られた手法だ。

 IBMは「訪問者管理システムが適切に動作していれば、正当な訪問者を容易に特定でき、その訪問者が付き添いなしで施設内を移動することが許可されるだろう」とし、「システムが意図した通りに動いていなければ、システムを導入している組織に誤った安心感がもたらされる恐れがある」と述べている。

 IBMのサイバーセキュリティチームであるIBM X-Force Redは先頃、Jolly Technologies、HID Global、Threshold Security、Envoy、The Receptionistが提供する5種類の主要な訪問者管理システムのセキュリティ体制を調査した。

 IBM X-Force Redは、Jolly Technologiesの「Lobby Track Desktop」、HID Globalの「EasyLobby Solo」、Threshold Securityの「eVisitorPass」、Envoyの「Envoy Passport」、The Receptionistの「The Receptionist」に合計19件のゼロデイ脆弱性を発見した。

 IBM X-Force Redの調査には、情報漏えいの脆弱性、デフォルトの管理者認証情報の使用、キオスクモードから抜け出すことを許可する恐れのある権限昇格のバグなどが含まれている。情報漏えいには、訪問者記録や社会保障番号、運転免許証番号などが流出する恐れがあるという。

 X-Force Redのチームによる調査の影響を受けるベンダーには、今回の報告が一般に公開される前に詳細が通知されている。複数の脆弱性にはパッチが適用されているが、近くフィックスが公開されるものもある。パッチがない場合は、ほかのシステムから隔離することでバグの影響を緩和できるという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]