ハイテクの鍵、ローテクのセキュリティ
BoxLock が先週、ABC の「Shark Tank」という番組で、バーコードスキャナ付きのハイテクのセキュリティ鍵を紹介しました。この鍵は、保護された場所に第三者がアクセスできるようにしたいと考えるユーザ向けに設計されたもので、たとえば、宅配業者のドライバーが荷物に印刷されているバーコードを読み取ることでこの鍵を解錠し、荷物を配達することができるというものです。このようなデバイスがあれば、玄関の前に荷物を放置して盗まれるのを防ぐことができるでしょう。しかしながら、この鍵がこの番組に参加している投資家から出資を引き出すことはできず、この鍵そのものが想定されていたほど安全ではないこともわかりました。
ネットワークセキュリティの専門家は、このような無線通信の脆弱性に注目し、送信やスプーフィングを可能にする不正コマンドが存在しないかど考えますが、LockPickingLawyer などの鍵のスペシャリストは、鍵そのものの物理的なセキュリティに注目します。今回の鍵が全国放送のテレビ番組で紹介され、ちょっとした脆弱性が明らかになったことがきっかけとなって、LockPickingLawyer が最近、ドライバーでもこの鍵を分解できることを示すビデオを投稿しました。このような、ネットワーク接続された鍵をドライバーで無効にできることを示す証拠は、これまでに何回も紹介されたことがあります。BoxLock の場合は、鍵の底の 2 本のネジを外せばわずか数秒で鍵を分解でき、さらに 4 本のネジを外すことで解錠することができました。同氏がビデオで指摘しているように、テクノロジ企業が開発する物理的な鍵の品質はかなりお粗末なものです。
我々の身の回りにあるデバイスが次々とデジタル化されていますが、物理的なセキュリティを忘れてはなりません。多くの場合、誰かにデバイスへの物理的なアクセスを許してしまえば、どのようなパスワードやセキュリティもすべて回避されてしまう恐れがあり、たとえば、シリアルアクセスによってデバイスから構成をコピーして編集し、その構成を有効にすることもできます。
中小規模企業には手の届かない高価で高品質の市販されているセキュリティシステムを除けば、物理的なセキュリティのさしあたっての最良のオプションは、古くから使われてきた鍵ということになるでしょう。