カジノの“カードシャッフルマシン”を不正操作するサイバー攻撃 小型機器をUSBに差し込むだけ:Innovative Tech
サイバーセキュリティ会社の米IOActiveに所属する研究者らは、カジノのカードシャッフルマシンをハッキングする手法を発表した。
Innovative Tech:
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
Twitter: @shiropen2
サイバーセキュリティ会社の米IOActiveに所属する研究者らは「Shuffle Up and Deal: Analyzing the Security of Automated Card Shufflers」と題して、8月に開催の「Black Hat USA 2023セキュリティカンファレンス」で、カジノのカードシャッフルマシンをハッキングする手法を発表した。
カジノでは、ポーカーなどのトランプゲームにおいて、テーブルの下に置いて使用されている自動カードシャッフルマシン(Deckmateと呼ばれる装置)がある。
公平さを保つために導入しているが装置だが、今回の発表で「Deckmate 2」として知られる最新版のDeckmateを乗っ取れることが分かった。USBポートに特殊な小型のハッキング装置を接続することで、目に見えない形でシャッフルの結果を不正に操作ができるという。
Deckmate 2には、全てのカードがデッキに存在することを確認するために設計されたカメラが内蔵されており、そのカメラにアクセスすることで、リアルタイムでデッキの全順序を知ることが可能。結果を小型のハッキング機器から無線経由で近くにあるスマートフォンなどに送信できる。
このハッキングは、Deckmateがコードの変更を防ぐように設計されている方法の脆弱性をついている。通常、マシンは起動時にプログラムコードのハッシュ値(固有の識別値)を確認し、それが既知のハッシュ値と一致するかをチェックする。これにより、コードが変更されているかどうかを確認している。
しかし、研究者らはこのハッシュ値自体を変更できることを突き止めた。結果として、修正されたコードでもハッシュ値が正常として認識され、不正な変更が検出されないようにしたわけだ。
関連記事
- ITエンジニアなら笑っちゃう? コント「脆弱カフェ」が話題 “セキュリティ芸人”が投稿
「あ、でた! 『脆弱カフェ』だ!」──“サイバーセキュリティコント”がX上で話題になっている。“セキュリティ芸人”であるアスースン・オンラインさんが投稿した動画。ITエンジニアを中心に「面白い」と盛り上がっている。 - SMSを送って相手の位置を特定するサイバー攻撃 スマホ持つ全ユーザーに到達可能 米研究者らが開発
米ノースイースタン大学などに所属する研究者らは、SMS(Short Message Service)を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃を提案した研究報告を発表した。 - 「マルウェア入り画像」で生成AIにサイバー攻撃 入力すると回答結果をハック、悪意サイトへの誘導も
米Cornell Techに所属する研究者らは、画像や音声に悪意あるプロンプトを含ませたプロンプト・インジェクション(生成AIに対しての攻撃)を提案した研究報告を発表した。 - “スマート電力メーター”をハッキング 大規模停電を引き起こすサイバー攻撃 米国チームが検証
米オレゴン州立大学に所属する研究者らは、電気使用状況を可視化する機器「スマートメーター」を制御して送電網を不安定にするサイバー攻撃を提案した研究報告を発表した。 - 中古ルーターは機密データの宝庫? 購入して検証、半数以上に企業秘密が残存 スロバキアチームが調査
セキュリティ企業ESETの研究者らは、テストのために購入した中古の企業向けルーターの半数以上(56.25%)が、前の所有者によって完全にそのままの状態で残されていたことを示した研究報告を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.