The Hacker Newsは3月29日(現地時間)、「Dormakaba Locks Used in Millions of Hotel Rooms Could Be Cracked in Seconds」において、アクセスソリューション企業「Dormakaba」のSaflokを使用するRFIDドアロックから脆弱性が発見されたと報じた。このシステムを採用するドアは攻撃者の用意した1組のカードキーによりロックを解除でき、131カ国の1万3,000を超える施設(ホテルなど)の300万枚以上のドアに影響があるとみられている。
Saflokが抱えている脆弱性
この脆弱性は発見者のLennert Wouters氏、Ian Carroll氏、rqu氏、BusesCanFly氏、Sam Curry氏、sshell氏、Will Caruana氏により「Unsaflok」と呼ばれている(参考:「Unsaflok | Unsaflok is a series of serious security vulnerabilities in the Saflok brand of hotel locks.」)。Unsaflokは世界中のホテルや集合住宅にて使用されているDormakabaのRFIDドアロック「Saflok」に存在する脆弱性で、1枚の正規カードキー(破棄されたものでもよい)とこのカードキーから作成される偽造カードキーの合計2枚を用意することで施設すべての「Saflok」ドアを解錠できるとされる。
なお、偽造カードキーはポータブルマルチツール「Flipper Zero」やAndroidデバイスでも代用可能なため、ホテルの利用者であれば誰でも攻撃可能とみられる。
Saflokの脆弱性が及ぼす影響と対策
Saflokは1988年から販売が開始された36年もの歴史を持つ電子式のドアロックシステム。これまで、この脆弱性の悪用は確認されていないが、悪用されていた可能性は否定されていない。Unsaflokの研究者たちは「ホテルとゲストに影響を与える可能性がある」として、この脆弱性の概念実証(PoC: Proof of Concept)コードの公開予定はないとしている。
脆弱性の情報は2022年9月にDormakabaに報告され、2023年11月から対策が開始されている。2024年3月の時点で約36%のドアの対策が完了したとされる。対策が完了したかどうかはドアの外観からはわからないため、不安なユーザーはドアチェーンを併用することが推奨されている。