合鍵を使って錠前を突破する方法を考察する
はじめに
IPUSIRONと申します。
この度、当ブログにて寄稿の機会をいただきました。
私が今注目しているセキュリティ技術を主に攻撃者の視点から紹介していく予定です。
現在注目しているテーマは、進行中の執筆内容とも深く関連しています。つまり、まだ未発表の書籍の内容を推測する材料にもなるでしょう。
最新情報についてはXで告知していますので、気軽にフォローしてください。
| Security Akademeia |
| https://akademeia.info |
| X @ipusiron |
| https://x.com/ipusiron |
錠前のついた扉を突破する4つのアプローチ
錠前のついた扉が1つだけあったとします。この扉を突破するには次の4つのアプローチがあります。
- ①解錠…ピッキング・ツール等で錠前を解錠する
- ②破錠…錠前あるいは扉を破壊する
- ③バイパス解錠…扉の隙間やドアスコープから、施錠状態を解除する
- ④開錠…合鍵あるいはコピーキー(合鍵から複製した鍵)で錠前を開錠する
①~③は特殊な工具を用い、ある程度のスキルも必要です。しかし、④のように合鍵やコピーキーがあれば誰でもいつでも開錠できます。
では、どうやって合鍵を入手するのかを考える必要があります。まず、合鍵を奪うことを考えられるでしょう。しかし、合鍵の紛失や盗難が発覚すると、それ以降は防犯意識が高くなり、警戒が強化されます。さらに、錠前が交換されれば、その合鍵は使えなくなります。つまり、この方法は、侵入の形跡が残っても構わない特殊な状況や、すぐに侵入が必要な場合に限られるのです。
コピーキーの作成アプローチ
そのため、一般にコピーキーを作成するか、同一の合鍵を入手することを目指すことになります。ここでは、いくつかの方法を紹介します。ただし、万能な方法はなく、状況に応じた選択が必要です。
- 合鍵を一時的に持ち出して不正複製する
- モールド・アンド・キャスト攻撃
- 写真から合鍵を複製する
- インプレッション解錠
- 鍵の挿入音から合鍵を複製する
- 同一鍵を入手・自作する
合鍵を一時的に持ち出して不正複製する
正規の合鍵を持ち出し、コピーキーを作成した後に元の場所に戻す方法です。よくある手口の1つです。合鍵とブランクキー(鍵山が削られていない鍵)を専用の機械にセットし、同じ鍵山を刻みます。
合鍵屋で勝手に複製を依頼する場合などが該当します。コピーキーの存在が発覚しなければ、繰り返し侵入が可能で、警戒されることもありません。しかし、コピーキーの作成後に合鍵を戻す際に露見する可能性があります。
さまざまなブランクキー
ディンプルキーの合鍵作成機
モールド・アンド・キャスト攻撃
鍵の型を使って製する手法です。”mold”は材料を成形するための型、”cast”はその型に流し込んで作る成形品を指します。レバータンブラー錠のように単純な鍵であれば、粘土などに押しつけて簡単に型を取ることができます。
ブランクキーが入手困難な場合や、合鍵作成機が対応していない特殊な鍵の形状でも、この手法を使えばコピーキーを作成できる可能性があります。
現在では、鍵の鋳型を作るためのキットが販売されており、少し複雑な形状の鍵でも複製可能です。公式サイトによると、ディンプルキーの複製も対応しています。
Quick-Key Easy Pro
| MULTIPICK “Key Copier Quick Key Easy Pro” |
| https://shop.multipick.com/en/locksmith-tools/key-duplicator/quick-key-easy |
写真から合鍵を複製する
鍵山の段差さえ読み取れれば、実物の合鍵がなくても複製することが可能です。また、一部の錠前については、鍵の写真をもとに合鍵を作成できるケースもあります。
実際に合鍵を複製する際には、段差をよ読み取るためのディプス・デコーダーや、鍵山を作るための金属カット用のハサミであるキー・カッターが有効です。
インプレッション解錠
ブランクキーを錠前に差し込み、左右に回転させるとキーに傷がつきます。その傷をもとに棒ヤスリやキーカッターで少しずつ削り、最終的に合鍵を完成させる手法です。
鍵の挿入音から合鍵を複製する
錠前の構造を思い出してください。錠前に合鍵を挿入すると、ピン(あるいはディスク)が正しい位置に到達し、シアラインが揃います。シアラインが揃うことで内筒が回転可能となり、内筒を回すと閂が移動して扉が開けることができます。
ここで、錠前に合鍵を挿入している状況を想像してください。実際に自宅の玄関錠に合鍵を挿入すると、奥まで挿入する際に「カチカチ」という金属的なクリック音が聞こえるはずです。完全に抵抗がないわけではなく、かすかな手応えも感じられるでしょう。これは鍵山にピンが当たり、その鍵山に沿ってピンが上下する際にクリック音が生じているためです。以下の研究論文によると、一連のクリック音を信号処理ソフトウェアで解析することで、鍵山の形状を特定できることが証明されています。鍵山がわかれば、3Dプリンターで合鍵を印刷したり、ブランクキーを削って同一の鍵山を持つ合鍵を作成したりすることが可能です。
| “Listen to Your Key: Towards Acoustics-based Physical Key Inference” |
| https://dl.acm.org/doi/abs/10.1145/3376897.3377853 |
同一鍵を入手・自作する
運用の効率化のために共通の鍵山を持つ鍵(これを同一鍵や同一キーと呼びます)が採用されているケースがあります。
たとえば、新幹線内のキャビネットには、乗客が勝手に開けられないように錠前がついていますが、これらの鍵は共通です。
また、国際空港では、職員が旅行バッグを検査できるように、錠前をかけないか、TSAロックという錠前を使用することが求められます。TSAロックは、職員がマスターキーで開錠できる仕組みを備えた特殊な錠前です。TSAロックのマスターキーは、3Dモデルがインターネット上で配布されており、3Dプリンターがあれば誰でも自作可能です。
3Dプリンターで自作したTSAロックのマスターキー
3DプリンターでTSA錠のマスターキーを印刷した😀手持ちの錠前で試して色々な知見が得られた。
— IPUSIRON (@ipusiron) July 10, 2020
・硬めのPLAで作っても、TSA007だとマスターキー側が負けるかも。錠前内に破損した先端が残ったら、エクストラクターで取り除く。
・TSA002を解錠できたが、そもそもバイパス解錠が容易😅 #ハッキングラボ pic.twitter.com/pzrShl1PPe
| Thingiverse “TSATool” |
| https://www.thingiverse.com/thing:1430360 |