Tapplockの「スマート南京錠」、簡単にハッキングできることが判明

　指紋認証機能を備えた99ドルのTapplock製スマート南京錠について、第三者が簡単に解錠できてしまうと指摘する動画がインターネット上で注目を集めている。

　米ZDNetは米国時間6月15日、Tapplockのセキュリティがかなり脆弱で、ハッカーは同社のサーバを簡単に利用して任意のロックが最後に確認された位置をオンラインで特定し、解錠するキーを入手できると報じた。

　あまりに脆弱なので、ハッカーは他人のロックへのアクセスを、元の所有者の知らないうちに誰とでも共有できる可能性があるという。

　Tapplockは、アプリとサーバにセキュリティアップデートを適用すると述べている。

Tapplockのスマート南京錠「Tapplock one」
提供：Chris Monroe/CNET

　セキュリティ研究者のVangelis Stykas氏が発見したこのハッキング手法は、Pen Test Partnersが先ごろ報告したハッキング手法を基にしており、後者に対して用意されたのと同じパッチが、今回のハッキングを解決するのにも役立つ可能性がある点は朗報だ。ただしTapplockは、Stykas氏が簡単にユーザーの機密情報を入手できてしまった「情報流出しやすい」APIサーバを修正する必要もあるだろう。

　まとめると、このロックには非常に恥ずべき不具合がこれまでに3件確認されているということだ。

• JerryRigEverythingが示したように、正確な数は不明だがごく一部のTapplocksは文字通り、吸盤とプラスドライバーを使ってちょうど30秒で開錠できる。
• Pen Test Partnersがやってみせたように、どのTapplockも単純な「リプレイ攻撃」によって2秒で開錠できる。というのもTapplockは報じられているように、自社のMACアドレスを利用してキーを生成し、そのキーをセキュアでないチャネルで配信したからだ。
• Stykas氏が今回指摘しているように、TapplockのAPIサーバはとんでもなく脆弱だった。

　これら3つの不具合のうち、2つは多くの人が思うほどひどくはないかもしれない。

• 米CNETが吸盤でTapplockをテストしてみたところ、開錠することはできなかった。Tapplockは稀にある製造工程上のエラーだと述べており、そのようなロックは無償で交換するとしている。加えて同社は、そうしたエラーを特定できるようQAプロセスを変更したほか、今後はロック内部でのプラスねじの使用をやめるという。
• Tapplockは、リプレイ攻撃を阻止するアプリの強制アップデートとロックのファームウェアアップデートを配信すると述べている。

　本記事の掲載時点で、iOS版のTapplockアプリは最終アップデートが5月26日となっている。Android版は6月16日付けで更新され、セキュリティ関連の問題に対処したとされている。

　同社のお知らせには、「パッチの他にも、Tapplockのセキュリティスタックについてインフラの改善に取り組んでいる。今後数週間でさらなるアップデートを適用する予定だ」と記されている。

　Tapplockに今回のセキュリティ問題に関して尋ねたところ、Bluetoothに関するアプリ機能を無効にしており、15日にもセキュリティパッチを送信する計画で、Androidユーザーはその翌日、iOSユーザーは「やや遅れて」受け取れるとのことだった。Tapplockはまた、この報道を受けて24時間以内にパッチのためにサービスを停止したが、そのパッチはAPIサーバとロックのファームウェアの両方に対処するものだとも説明した。現時点で払い戻しには対応していない。

このセキュリティの脆弱性に関しては、Tapplockに100％の責任がある。われわれは今回の問題への対応と修正に最善を尽くしており、定期的なテストのための独立したペネトレーショングループを採用するなど、長期的に当社セキュリティ製品を改良していくための包括的なセキュリティプログラムを開始する。（Tapplock）