日本ではかつて、本体から現金を取り出すことを目的に、重機でATMを丸ごと盗み出す事件が発生したことがある。だが今や「そうしたケースが発生したら、ATMを狙うさらなるサイバー攻撃に注意が必要だ」とコチェトワ氏は述べた。「(メーカーは異なっても)ATMの基本的な構造は似ている。ATM本体が盗まれ、ハードウェアや論理的な構造が把握されたら、悪用されるのは時間の問題だ」(オシポフ氏)
ATMをターゲットにした攻撃は何年も前から発生しており、レポートが出されているにもかかわらず、金融機関の間でその情報が共有されていないことも課題だという。「他の複数の銀行が同じような手口でマルウェアに感染し、被害が生じているのに、互いにコミュニケーションや情報共有が行われておらず、リスクが認識されないままだ」(オシポフ氏)
もちろん、きちんと対策を講じているATMもあるだろうし、ダブルチェックとして、2人に1つずつ持たせた鍵がそろわないと処理を行えないようにするなど、人的・プロセス的な面も含めて安全対策に取り組んでいる金融機関もある。だが過信は禁物だと両氏は述べる。例えば、「日本は欧州の先を行き、生体認証を導入しているが、生体認証情報が中間者攻撃によって盗み出されるリスクはゼロではない」と両氏は指摘する。
「さまざまな対策を講じているから安全だと思っている人は多いが、実際にハードウェアがどのように作られており、銀行内のさまざまなシステムと連携してどのように動作し、その結果どこに問題があるかを検査し、そのリスクに応じて対策を検討することが重要だ」(コチェトワ氏)
リスクアセスメントや対策を進めるには、意思決定者がセキュリティを無駄なお金ではないととらえ、投資することが欠かせない。また開発者も自ら過信せず、同時に「ユーザーは信頼できない」という前提に立って製品開発を進めることも重要だ。両氏は、まずはATMのアセスメントなどの取り組みを通じて、悪用される可能性やリスクを直視することから始めるべきだと述べた。また同社でもATMやPOSなどの機器向けに対策を提供しているという。
今やATMに限らず、IoT機器や産業用制御機器、車など、さまざまなデバイスがインターネットにつながるようになった。Kasperskyの調査によると、ATMに限らずさまざまな機器に脆弱性が見つかっており、場合によっては金銭では済まず、人体や生命に影響を及ぼす恐れもある。一方で両氏は、カスペルスキーをはじめとするセキュリティベンダー、そして業界の多くが、安心・安全の実現に向けて努力していることにも触れ、引き続きセキュリティ向上を支援していきたいと述べている。
Copyright © ITmedia, Inc. All Rights Reserved.