BSides の中古の自立型 ATM は重さが 800kg あり、「上にコンピューターが付いた金庫」なので、所有したり調査したりするには物流上の悪夢だと、セキュリティ専門家のリー・アン・ギャロウェイ氏が昨日の BSides マンチェスター情報セキュリティ カンファレンスの参加者に警告した。
セキュリティの専門家リー・アン・ギャロウェイ、猫、そしてATMの破片...
ポジティブ・テクノロジーズのセキュリティ・レジリエンス責任者であるギャロウェイ氏は、ATMの購入方法を検討した。eBayのオークションは中止になったようだが、モスクワからリースしたATMを運転するという計画はすぐに却下された。最終的に、英国の通常の市場から入手する方が簡単だと気づいた。サプライヤーは銀行への大量販売に慣れているが、信用枠を設定すれば企業にも販売する。
ギャロウェイ氏が物流上の問題に直面することになったのは、NCRの「Personas 77」ATMを2,600ポンド(税抜)で購入した後のことでした。ほとんどの配送業者は移動を拒み、ポジティブ・テクノロジーズの英国オフィス3階には600kgまでしか持ち上げられないエレベーターしかありませんでした。「これらの機器の安全性の一つは、動かないことです」とギャロウェイ氏は説明します。「どこかに持ち運んで、そのまま設置しておくことを想定して設計されているのです。」
現金自動預け払い機 5 台のうち 4 台は、依然として Win XP または Win XP Embedded を実行しています。
セキュリティ研究者の家は倉庫を改装したものだ。ATMは当初、移動の際に床に傷がついたため持ち込まれたが、その後は池の防水シートで風雨から守られた屋外に置かれていた。その後、ポジティブ・テクノロジーズのオフィス前の駐車場に安置された。
ギャロウェイ氏は、どちらの場所でも近隣住民が装置がいつ作動するか尋ねてきたと報告している。
ATM は当初、池のライナーで風雨から保護するために屋外に置かれていましたが、後に駐車場に設置されました...
ATMの輸送性を向上させるため、ギャロウェイ氏らはアングルグラインダーでATMのベース部分を切断した。安全部材は通常コンクリートと鋼鉄でできており、工業用キットを用いて切断することで、重量を半分に減らすことができた。
ATMは不正アクセスされ、現金のジャックポット、カード情報のスキミング、さらには銀行ネットワークへの感染に利用される可能性があります。犯罪者はATMの前面にアクセスし、機器内のUSBポートにアクセスして様々な攻撃を実行できます。例えば、ATMから現金を強制的に引き出したり、カード情報をスキミングするマルウェアをインストールしたりといった攻撃です。
マルウェアを介したATMロジック攻撃は、2009年に「Skimer」トロイの木馬によって本格的に始まりました。それ以来、ますます巧妙化するマルウェアが開発されてきました。
犯罪者は通常、銀行員やATMのメンテナンスを担当する請負業者など、ATMへの正当なアクセス権を持つ人物を探し、賄賂を渡してATMに侵入させ、マルウェアをインストールさせます。必要なATMが感染したら、犯罪者は現金引き出しの段階に進みます。犯罪者はATMに物理的に出向き、現金を引き出さなければなりません。
ATMのコンピュータを完全にバイパスすることを目的とした攻撃もあるため、コンピュータとATMの間には暗号化を強制する必要があります。ギャロウェイ氏はさらに、「過去6年間に製造されたATMにはおそらくこの機能が搭載されているでしょうが、現在多く使用されている2011年以前に製造されたATMには、ATMとPC間の電流に異常がないか監視する『アフターマーケット』デバイスが搭載されているはずです。これらのデバイスは通常150ポンドで販売されています」と述べています。
銀行は、ソフトウェアの整合性を監視するアプリケーション制御ソフトウェアをインストールして適切に構成し、不正な変更がないかチェックされたホワイトリストに登録されたプログラムのみを許可する必要があります。
ギャロウェイ氏は、このプロジェクトから多くのことを学んだと述べ、ウィンコー社とのコンサルティング業務におけるセキュリティ確保に役立ったと付け加えた。しかし、ロジスティクス上の問題や面倒な手続きが伴うため、他者には「お勧めできない」と述べた。演習の最後に、ギャロウェイ氏はこの装置を背負わされた。「ATMは情報セキュリティのためだけでなく、人生にとってなくてはならないものです」と彼女は締めくくった。
ギャロウェイ氏の講演「お金はお金を生み出す、ATM の購入方法」の予告編は以下からご覧いただけます。®
YouTubeビデオ
