ATMのリスク、物理的なアクセスで攻撃も――Kasperskyの研究者らが指摘:Maker's Voice(3/3 ページ)
サイバー犯罪者の動機の一つとして、「カネ狙い」が明確になってきたと指摘されて久しい。長年、不正送金マルウェアなどについて調査してきたKasperskyでは、ATMそのものを狙った攻撃手法についても調査し、さまざまな攻撃経路が考えられると警告している。
過信は禁物、ATMのセキュリティリスクを把握し、対策を
日本ではかつて、本体から現金を取り出すことを目的に、重機でATMを丸ごと盗み出す事件が発生したことがある。だが今や「そうしたケースが発生したら、ATMを狙うさらなるサイバー攻撃に注意が必要だ」とコチェトワ氏は述べた。「(メーカーは異なっても)ATMの基本的な構造は似ている。ATM本体が盗まれ、ハードウェアや論理的な構造が把握されたら、悪用されるのは時間の問題だ」(オシポフ氏)
ATMをターゲットにした攻撃は何年も前から発生しており、レポートが出されているにもかかわらず、金融機関の間でその情報が共有されていないことも課題だという。「他の複数の銀行が同じような手口でマルウェアに感染し、被害が生じているのに、互いにコミュニケーションや情報共有が行われておらず、リスクが認識されないままだ」(オシポフ氏)
もちろん、きちんと対策を講じているATMもあるだろうし、ダブルチェックとして、2人に1つずつ持たせた鍵がそろわないと処理を行えないようにするなど、人的・プロセス的な面も含めて安全対策に取り組んでいる金融機関もある。だが過信は禁物だと両氏は述べる。例えば、「日本は欧州の先を行き、生体認証を導入しているが、生体認証情報が中間者攻撃によって盗み出されるリスクはゼロではない」と両氏は指摘する。
「さまざまな対策を講じているから安全だと思っている人は多いが、実際にハードウェアがどのように作られており、銀行内のさまざまなシステムと連携してどのように動作し、その結果どこに問題があるかを検査し、そのリスクに応じて対策を検討することが重要だ」(コチェトワ氏)
リスクアセスメントや対策を進めるには、意思決定者がセキュリティを無駄なお金ではないととらえ、投資することが欠かせない。また開発者も自ら過信せず、同時に「ユーザーは信頼できない」という前提に立って製品開発を進めることも重要だ。両氏は、まずはATMのアセスメントなどの取り組みを通じて、悪用される可能性やリスクを直視することから始めるべきだと述べた。また同社でもATMやPOSなどの機器向けに対策を提供しているという。
今やATMに限らず、IoT機器や産業用制御機器、車など、さまざまなデバイスがインターネットにつながるようになった。Kasperskyの調査によると、ATMに限らずさまざまな機器に脆弱性が見つかっており、場合によっては金銭では済まず、人体や生命に影響を及ぼす恐れもある。一方で両氏は、カスペルスキーをはじめとするセキュリティベンダー、そして業界の多くが、安心・安全の実現に向けて努力していることにも触れ、引き続きセキュリティ向上を支援していきたいと述べている。
関連記事
- 第32回 部品の数だけ必要なIoTのセキュリティ
「モノのインターネット」と称されるIoT(Internet of Things)が話題だが、その一方で「普及の鍵はセキュリティ」という話も良く聞くようになった。今回はIoTの将来で必ず問題になるとされるセキュリティの脅威について考えたい。 - コンビニATMの不正引き出し事件で確認すべき事実と注意点
5月にコンビニのATMから19億円もの預金が一斉に引き出される事件が起きた。国際化がますます進む中で、利用者が知っておきたいセキュリティの現状と注意点を紹介してみたい。 - 銀行で送金詐欺の被害相次ぐ、SWIFTが対策の徹底を呼び掛け
今回新たに発覚した事件では、PDF閲覧アプリケーションを狙うマルウェアが使われた。銀行を狙った高度な攻撃が横行しているとの見方が強まっている。 - 現金引き出しを可能にするATM感染マルウェアが見つかる
ATMにこのマルウェアを感染させると、不正に現金を引き出すことが可能になるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.