ATM マシンは、ハッカーが数千ドルの現金を盗むことを可能にする一連の基本的な攻撃手法に対して脆弱です。
これはポジティブ・テクノロジーズの研究者らが20種類以上の異なるモデルのATMを調査し、ほぼすべてのATMがネットワーク攻撃やローカルアクセス攻撃に対して脆弱であり、侵入者が現金自動支払機を略奪できることを発見した(PDF)という。
本日発表されたこの調査では、Positiveの研究者が様々なメーカーやサービスプロバイダーの26台の機械と対比されました。注目すべき結果は以下の通りです。
- 15 台が Windows XP を実行していることが判明しました。
- 22台は「ネットワークスプーフィング」攻撃に対して脆弱でした。これは、攻撃者がマシンのLANポートにローカル接続して不正なトランザクションを実行する攻撃です。この攻撃は完了までに約15分かかります。
- 18件は「ブラックボックス」攻撃に対して脆弱でした。ブラックボックス攻撃とは、攻撃者がデバイスを物理的にマシンに接続し、マシンを騙して現金を引き出す攻撃です。ただし、これらの攻撃は市販のコンピューティングボード(Raspberry Piなど)を使えば約10分で実行できるという点がプラス材料です。
- 20は、USBまたはPS/2接続を介してキオスクモードを強制的に終了させる可能性があります。これにより、攻撃者はマシンの基盤となるOSにアクセスし、追加のコマンドを実行する可能性があります。
- 24 ではハード ドライブにデータ暗号化が施されていなかったため、ドライブにアクセスできる攻撃者 (上記参照) がマシンに保存されているデータや構成情報をすべて取得することができました。
一般的に、ATM が盗難や改ざんを防ぐために使用している保護手段は、大部分がセキュリティ シアターであり、実際に機械に入りたい人は 1 時間以内に入ることができる場合が多いことが調査で判明しました。
「多くの場合、セキュリティメカニズムは攻撃者にとって単なる厄介物でしかない。私たちのテスターは、ほぼすべてのケースで保護を回避する方法を発見した」と研究者らは述べた。
「銀行は多数の ATM に同じ設定を使用する傾向があるため、1 台の ATM への攻撃が成功すると、より大規模に簡単に再現できます。」
IBM、ATMって何? ビッグブルー、新たなセキュリティラボで現金自動預け払い機、IoT、車両などを調査へ
続きを読む
報告書が銀行に提示する主要な推奨事項の一つは、機械自体の物理的セキュリティを強化することです。キャビネットを物理的に施錠し、機械の入力部や演算ハードウェアへのアクセスを遮断することで、本調査で使用された多くの手法を阻止できる可能性があります。
さらに、研究者らは、銀行がネットワーク上のセキュリティイベントのログ記録と監視を徹底することを推奨している。
こうした物理的な攻撃の多くは主に理論上のもので、銀行は顧客がATMで数分以上過ごすことを好ましく思わない。しかし、この報告書はATMのセキュリティ、特にソフトウェア面の恥ずべき欠如を強調している。
今年のDEF CONハッキングカンファレンスで、ある研究者が、銀行にATMの欠陥について相談したが、そんなことはできないと言われたという話をしました。研究結果を公表すると伝えたところ、ようやく欠陥が修正されました。®
