Black Hat Americaが遅ればせながらEMV(Europay、MasterCard、Visa)チップ搭載カードに移行したが、一部の人々が期待していたような万能薬にはならないだろう。結局のところ、これらのカードは磁気ストライプ式のカードと同じくらい簡単に複製できるのだ。
今週ラスベガスで開催されたセキュリティカンファレンス「Black Hat 2016」で、Rapid7 のエンジニアらが、いくつかの小さな電子機器を使って ATM に対して中間者攻撃を仕掛ける方法を実演した。
シマー デバイスは、シムのようにカード スロットに挿入され、現金要求が処理されると取引データのスナップショットを撮ることからこのように名付けられています。
Rapid7のセキュリティリサーチマネージャー、トッド・ビアズリー氏はThe Registerに対し、必要な機器は小型で(基本的にRaspberry Piで動作)、ATM内部にアクセスすることなく迅速に設置できると語った。キーパッドに入力されたPINは、受動的な中間者攻撃によって取得される。技術的な詳細は、こちらのプレゼンテーションスライド([PDF])に記載されている。
情報を取得すると、その情報を使って不正なアカウントを設定し、資金を流用することができた。
今では定番となったATMからお金が噴出するショット
シミングシステムはすでに出現し始めており、特に観光客が集まる南米の地域では顕著だと彼は述べた。米国でICチップ付きカードが導入されたことで、シミングシステムは北方へと広がることが予想され、ガソリンスタンドのカードリーダーはアクセスしやすく頻繁に使用されることから、標的となる可能性が高いと彼は予測した。
しかし、ICチップカードへの移行は、必ずしも悲観的な話ばかりではない。磁気ストライプカードから盗まれたデータは、オンラインで簡単に売却でき、盗難後も長期間にわたって複製カードで再利用できる。一方、ICチップカードでは、情報を売却する機会ははるかに少ない。ビアズリー氏は、銀行はこの技術を用いて不正行為の可能性を検知し、口座へのアクセスをブロックする能力が大幅に向上したと述べた。
Rapid7はATMベンダーに連絡を取り、この研究について説明しました。そして、訴訟の脅威なしにこの研究を可能にした故バーナビー・ジャック氏の先駆的な取り組みを称賛しました。ジャック氏はATMハッキングで逮捕寸前まで追い込まれましたが、昨今ではメーカー各社もホワイトハットハッカーが多くの利益をもたらしてくれることを認識しています。®
