Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「変なホテル」のLance R. Vick氏とコンタクトしてみた

先週21日に記事を書きました、「変なホテル」のIoT機器への脆弱性に対してTweetsをしていたLance R. Vick氏に対する一部報道の件で、どうしても理解できない部分があったので、直接Twitterでお聞きしてみました。

foxsecurity.hatenablog.com

 

元ソースは、先週同じく記事に取り上げてらっしゃったpiyokango氏のまとめ(※決してpiyokango氏が悪いと言っている訳ではありません。いつもとりまとる情報が参考になっております)で、気になる「部分」がありました。

変なホテルの客室ロボット タピアの脆弱性についてまとめてみた - piyolog

脆弱性報告を不審メール扱い
・2019年7月6日にH.I.S HDに対して、脆弱性を指摘する情報提供が行われていた。
・この指摘をH.I.S HDは報奨金目的の不審メールとして扱い、接触を避けていた。
・取材によれば、このメールには手口の記載がなかった。*1
・MJIは情報提供を受けた段階で調査を行ったがTwitterで指摘された手口は思いついていなかった。
・そのため、7月の段階ではリスクは限りなく低いと評価をしてホテルでは対策は行っていなかった。

  

原文Tweetを英語で読んでいる私からすると、バグを善意で報告してくれているLance R. Vick氏が、90日経って怒ってTwitterで発言し始めた部分と、どうしてもこの記載が結びつきませんでした(違和感を感じました)

 

私自身は前記事の中でも書きましたが、当然の事ながら詳細手口はH.I.S(ホテル)側に伝えられているはずででなければこの騒動にはなってないと考えてました。

 推測になりますが、Lance氏は今回Twitter上で開示された、脆弱点(ハッキングの方法)はメールで伝えてきたと思います。

f:id:foxcafelate:20191019153321p:plain

 

「このメールには手口の記載がなかった」と報じていたのは、以下のAbemaTVの記事(※注:AbemaTV取材が悪いと言っている訳ではありません)のです。

times.abema.tv

 その結果、盗撮の危険性が3カ月間にわたって放置されていたことになる。なぜ、当初は問題なしとされたのかH.I.S.ホテルホールディングスによると、「7月6日のメールには具体的な手口の記載がなかった」ということだ。タピアの開発会社MJIは、7月のメールが届いた段階で調査したものの、今回Twitterで指摘された手口は思いつかなかったとした上で、タピアを直接操作してインストールすることで、後に外部から操作される危険性はあったと認めている。

(AbemaTV記事より引用)

 

H.I.SあるいはMJI側の7月時点での見解はこうなっていますが、バグハントをしているLance R. Vick氏のTwitter上での言動を見ていると納得できなかったので(Lance氏の意見を聞かないとフェアではないと思ったので)、直接コンタクトを取りました。

 

下記かLance氏の回答です。(※Lance氏には私がブログ記事で翻訳し紹介する旨は伝えてます)

f:id:foxcafelate:20191028060830p:plain

彼らが問題を調査するのに十分な情報を持っていた(なかった)と主張するという事実は、私の犠牲で彼らの評判を維持しようとしています。

エクスプロイトの詳細が安全に送信または議論される前に、彼らは私とのコミュニケーションを終了しました

機械翻訳

 

f:id:foxcafelate:20191028064620p:plain

「企業がバグ報奨金プログラムを提供できるかどうかは、(Lance氏は)いつも聞くことであり、(本来は)そうしたオファーをすべきであると書いています。もし出来ない、あるいはよく会話をすれば我々は無償でさらに詳細の情報を出す事もできる」とコメントしており、7月の段階では「バグ報奨金」目当てという意識は、出来れば・・という程度でしかなかったニュアンスです。

 

また、Lance氏の7/6のメールおよび、H.I.S.ホテル側(正確にはハウステンボスの方)からの返信の写しを見せてもらいましたが、文章の一部から「バグ報奨金」目当てであると考えるのは、仕方が無い事かなとも思いますが、文面をよく見ると必ずしも報奨金を寄越せという文面にはなっていませんので、ここに誤解が生じた(コミュニケーションが上手くいかなかった)要因がありそうです。

 

f:id:foxcafelate:20191028065157p:plain

Androidベースの室内サービスロボットにカスタムソフトウェアを簡単にインストールする方法を発見しました。これにより、ホテルのスタッフや部屋のゲストはカメラ/マイクを使用して将来のすべてのゲストをスパイできます。カメラはベッドに面しているので、あなたの想像力に可能性を委ねます

これは非常に深刻であり、対処しないとブランドと顧客に損害を与える可能性があるため、最初に直接注意を喚起します。 私はAndroidのセキュリティを専門としており、複数の推奨される修正プログラムがあります。それらを提供する場合は、コンサルティングまたはバグ報奨金プログラムを介してこれらについて議論する機会が欲しいです

ペットの典型的なセキュリティコミュニティの倫理私は、対策が講じられない場合、この通知から90日後に調査結果を一般に公開する義務があります。

機械翻訳

(キタきつね補足)

機械翻訳なので、文面が少し読みずらいですが、ホテル名は明示してませんが客室のIoT機器(=舞浜)である事が想像つきます。

あなたの想像力に可能性を委ねます=I'll leave the possibilities to your imaginationが少し英語的な言い回しなので、意図が読みとりずらい部分ではありますが、「宿泊客のプライベートを(長期間)盗撮/盗聴」できますよ、という婉曲表現で使ったものと思います。

簡単にインストールする方法について、確かにホテル側が言う様に具体的には明示されてませんが、技術的に分かる方が見れば再現出来た可能性はあると思います。

また、後半の文章を読むと、(would love a chance to discuss these with your either via consulting or a bug bountry program if you offer one.=コンサルタントか、そちらが提供してくれるならバグ報奨金プログラムで議論の機会があると大変嬉しい)となっておりwould love a chance to discussが主であり、英語の表現としては、私は「お金を要求している!」と見なすホテル側の気持ちは分からなくもありませんが、交渉に応じますので議論させて下さい(一般的には海外では有償ですが)・・・といった文章の意図の方を強く感じました。

90日後に発表される可能性がある、という内容については、Lance氏はこのメール(7/6)で明示しており、10月にTwitterでバグ(の一部)を開示した事については、十分な予告があったと思います。

 

これに対するH.I.S.側の対応ですが、直接のメール内容を貼りませんが、7/23に返信メールが出されていて、英語文面を見る限りハウステンボスのスタッフの方が、「どこのホテルに宿泊されたのか教えて欲しい」と言う旨を聞いてます(その他は質問をしてません)。そのメールに対し7/23にLance氏は、「舞浜東京ベイ」である旨の返信を返してますが、そこでH.I.S.側はメールのやり取りを止めた様です。

 

(キタきつね補足)

この対応はH.I.S.に問題があったと考えます。日本の宿泊客からのクレーマー対応としてはホテル業界の正解なのかも知れませんが、善意の第三者(ホワイトハッカー)に対しては、リスク管理を間違えたとしか言えません。

H.I.S.は(後に発表される事を含めての)リスクを許容した」とLance氏が考えるのは自然だと思います。H.I.S.側はせめて、「ホテルと開発者で調べたが問題は見つからなかった」という返事を1本返すべきだったと思います。そうすれば、改めてLance氏から(バグに関する)助言を引き出せたと思いますし、やり取りが続いていれば、10月14日(90日後)に突然発表をされる事も無かったかと思います。

 

この部分について、Lance氏は以下の様にコメントしています。 

f:id:foxcafelate:20191028083808p:plain

私は修正の詳細と提案を提供することを申し出ましたが、それらの開示ポリシーが何であり、どの部門と話をする必要があるかを知りたいと思いました。

らは私が滞在しているホテルを確認した後、私に返信することを拒否しました

機械翻訳

 

英語メールですので、H.I.S.側がメールのニュアンス(意図)を掴めなかったのは、仕方がない部分もあったかと思います。しかし、Lance氏のとしては「ホテル側の担当ときちんと会話をしたかった」という意図が7月のメール段階ではあって、それに対して「ホテル名まですぐに返答」したのに(メール継続の意思があった&有益な情報を無償で出したのに)その後のレスポンスが無かった事を、「拒否」という言葉を使って、H.I.S.側の対応に問題があった事を問題視(非難)しています。

 

 

更に気になる事をLance氏はコメントしています。

f:id:foxcafelate:20191028084702p:plain

また、私が発見したすべてのエクスプロイトの詳細をまだ公開していません。ただ一つ。実際に私に応答してもらう必要があります。そうしないと、他の方法もリリースしなければなりません

機械翻訳

当然、、そうかなと薄々感じてましたが、公表した手法は、バグの1つであるという内容の事をLance氏はコメントしています。この内容について私は知る由もありませんが、H.I.S.側とLance氏がうまくコミュニケーションが取れてない事が今回の騒動の原因の1つだと思いますので、ホテル側には私からも伝えてみようかと思います。(※H.I.S側が私をうさん臭く感じて無視されるかも知れませんが。。。)

 

※10/31追記 

10/28にホテル側のご担当者様に私からメールを送付してますが、何も返事はありません。せめてLance氏にはコンタクトを取って欲しいものですが・・・

 

 

追加でもう1コメント頂きましたが、NFCを無効化する対応だけでは不十分と言っています。

(※H.I.S側に直接伝えるべき事が混じっている気がしましたので一部伏せます)

f:id:foxcafelate:20191028085452p:plain

 

この内容について、私は専門的に理解できるだけの知見を有しませんが、日本のセキュリティ業界の端くれに居る者として、Lance氏のこうした紳士的な対応(※Twitterコメントも一通り目を通しましたが、私は非常に丁寧な対応をLance氏はしていると思います)について、まずは感謝したいと思います。

日本もこれからホワイトハッカーの活用策の1つとして、海外からのホワイトハッカーの指摘(コンサルの提案)や、バグ報奨金の考え方も進んでいくと思いますが、日本と海外での「ハッカー活用」に対する認識のギャップが、今回の騒動には表れているかと思います。

 

最後に、私のつたない英語コメントについてLance氏に「いいね」を頂きました事も併せて報告いたします。

f:id:foxcafelate:20191028064530p:plain

 

追伸:「日本は好きなので、次回日本に行った時に(今回の件で)卵ぶつけられないといいな・・・」と言ってました。(※このコメントからも分かる様に、基本的にLance氏は”良い人”だと思います。それだけに、ホテル側が”無視”したのが残念だった様です)

f:id:foxcafelate:20191028090453p:plain

 

 

本日もご来訪ありがとうございました。

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 インタビューのイラスト(男の子から男性)


 

更新履歴

  • 2019年10月28日AM(予約投稿)
  • 2019年10月31日AM タイトルが適切ではないとのコメントを頂き、タイトルと冒頭部分のコメントを修正