ATMのリスク、物理的なアクセスで攻撃も――Kasperskyの研究者らが指摘Maker's Voice(2/3 ページ)

» 2016年11月17日 07時00分 公開
[高橋睦美ITmedia]

ATMは「レゴブロック」のようなもの?

 コチェトワ氏とオシポフ氏はKasperskyの侵入テストチームに所属し、主に金融機関およびATMのセキュリティアセスメントやペネトレーションテストを担当している。時には物理的な手段も組み合わせてATM本体を“あの手この手”で調査して、犯罪者に悪用される可能性を洗い出し、脆弱性や問題が見つかればベンダーに通知し、対処を促している。

Kaspersky Labs シニアアプリケーションセキュリティスペシャリスト オルガ・コチェトワ氏

 コチェトワ氏は、「ATMは『レゴブロック』と同じ。大手ベンダーが、日本だけでなく韓国、中国といったさまざまな国の業者からディスペンサーやカードリーダー、通信ユニットなどのコンポーネントを集めて組み立て、一つのハコとして組み立てている。その意味では、さまざまなパーツを組み合わせて作られるPCと同じようなものだ」と述べる。見かけこそまるで違うが、汎用OSをベースにしている点でも広義の「PC」と言えるだろう。

 従ってPCと同様に、ATMにはさまざまな脆弱性があるという。「いろいろなケースがあるが、WindowsベースのATMであれば、銀行システムを通してリモートからマルウェアに感染させ、ATMそのものを『スキミング装置』にしてしまい、キャッシュカードの情報を盗み出すという手口がある。事実こうした手口はヨーロッパなどで報告されている」(コチェトワ氏)。台湾でも2016年7月、ATMをマルウェアに感染させ、現金2億7000万円以上が不正に引き出された事件が発生している。

 日本ではまずないと思われるが、海外では専用線ではなくインターネットを介してATMを接続している銀行もあるという。つまり「インターネットからATMにアクセス可能な状態になっており、『Shodan』で検索すればどのポートが空いているかを特定した上で悪用できる」(オシポフ氏)

※インターネット接続された機器を検索できるサービス

 両氏らはまた、ATMを物理的にハッキングしてしまう手法も検証した。同社が公開した動画では、ATMのカバーを開き、銀行の処理システムをエミュレートする機器をケーブルにつないでしまえば、スマートフォン上のアプリから不正に操作し、現金を引き出せてしまうことを検証している。同様に、ネットワークを介して複数のATMに不正を働くことも可能だとした(動画)。

 「現金の引き出し口は物理的に厳重に保護していても、ATMを制御するコンピュータや通信経路が保護されていないケースがある。処理センターを装うための機器をATM内のインタフェースに接続してリプレイアタックを仕掛ければ、簡単に現金を引き出せてしまう。しかもフォレンジックのための痕跡が残らないので、どのように侵害されたかの追跡が難しい」(オシポフ氏)。台湾のある銀行のATMでは、モデムポートを介してラップトップPCと接続し、銀行の処理センターに攻撃を仕掛けることが可能な脆弱性を発見したという。

ATMから現金を引き出す実験のデモ(Kasperskyの動画より)

 多くの人は、「いくら何でも物理的にATMの鍵をこじ開けて不正を働くなど困難だし、周囲の人々もそんな怪しい人を見かけたら通報するはず」と思うだろう。だが「ピッキングで鍵を開けてATM内部にアクセスするのは、そんなに難しいことではない。警備会社が10分以内に駆け付けるといっても、犯罪者がATMを開いてマルウェアをインストールするには1分とかからない」とオシポフ氏は述べた。

 さらに同氏は、日本滞在中にたまたま渋谷の街中で撮影したという一枚の写真を見せてくれた。そこには、メンテナンスのためか、カバーが開かれたままのATMを、何事もないかのように人々が操作する様子が写っており、周りには警備員の姿は見当たらなかった。この写真は、それだけ日本は安全ということの表れかもしれない。しかし「犯罪者は、パーカーやマスクで顔を隠すような怪しい格好ではやってこない。いかにも作業を行う普通のエンジニアの格好で、営業時間中に堂々とやってくる」(オシポフ氏)

 それだけでなく、フィッシングメールを使ったり、IDとパスワードを盗み出すマルウェアに感染させたりすることで、ATM管理者の情報を盗み出し、悪用する可能性も考えられる。このように、物理やサイバーを問わずさまざまな手口を講じてくるリスクを考慮すべきだという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ