ホテル用の 自動チェックイン機 から脆弱性

セキュリティメディア「SecurityWeek」によると、世界のあらゆるホテルで使われる 自動チェックイン機 から脆弱性が発見されたそうです。これをエクスプロイトすると、客室にアクセスできるコードを取得できるようになるそうです。すなわち、誰でも全客室のドアを開けて入れるようになるということです。問題のデバイスはIbis Budgetというフランスのブランドから製造されました。Ibis Budgetの親企業であるAccorは即時その事実を客ホテルに知らせ、一ヶ月以内にパッチを配布しました。脆弱性が見つかってから報告されたのは2023年後半のことで、最近になってから公開されました。

現在は、ハッキングはリモートで実行することはできないと知られています。脆弱な 自動チェックイン機 に直接アクセスし、操作しなければならないということです。リモートで脆弱性をエクスプロイトしても、物理的に客室内に入れないなら無用になるので、リモートでの攻撃は存在しないと予想されます。しかし、賑わうホテルのロビーで誰にも気付かずに 自動チェックイン機 を操作し、無作為に部屋を選んで入ってものを盗むぐらいなら、可能性は十分にあります。

この脆弱性を発見者はこれについて、「脆弱性のエクスプロイトの実験はドイツのあるホテルでだけ進み、確認されましたが、Ibis Budgetの製品を使用する全てのホテルは危ないと予想しています。」と加えました。