警備資料

アクセスカウンタ

zoom RSS ATMのリスク、物理的なアクセスで攻撃も――Kasperskyの研究者らが指摘

<<   作成日時 : 2016/11/17 18:01   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

 2016年5月、日本全国の約1700台のATMから一斉に現金が引き出され、約18億円にも上る被害が発生した事件は記憶に新しい。原因は、南アフリカの銀行から流出したデータを用いて作られた偽造クレジットカードによるもので、組織的な詐欺グループが出し子に指示を下し、短時間で多額の現金が引き出されたと見られている。

 また日本ではあまり報道されていないが、2016年2月には、バングラディシュ中央銀行が米ニューヨーク連邦準備銀行に保有している口座から8100万ドルが不正に送金されるという事件が発生している。このケースでは、バングラディシュ中央銀行の端末がマルウェアに感染したことがきっかけとなり、国際銀行間金融通信協会(SWIFT)のシステムを不正に操作されたことが原因だと報じられている。

 いずれにしても、犯罪者の目的は「カネ」。多少の手間はかけても多くのリターンを得たいという犯罪者にとって、金融機関は文字通り「カネのなる木」だろう。金銭狙いという明確な目的を持った犯罪者は、銀行システムだけでなくATMというハードウェアそのものもターゲットにしていると、Kaspersky Labsでセキュリティリサーチに携わるオルガ・コチェトワ氏とアレクセイ・オシポフ氏は指摘する。

 サイバー攻撃の目的が変化し、単なる愉快犯から金銭狙いの犯罪になったと言われて久しい。こうした傾向を反映してか、日本でもこの1〜2年ほど、利用者の端末に感染し、オンラインバンク利用時にバックエンドで不正送金を行うマルウェアの被害が急増した。警察庁のまとめによると、近年は特に法人での不正送金被害が目立っている。

 だがまともなビジネスと同じように、いや、それ以上に効率的にお金を稼ぎたいと考える犯罪者にとって、手段は不正送金マルウェアのようなサイバー上の手口でも、ATMに細工を施す物理的なものでも、あるいはそれらの組み合わせでも、何でもいいようだ。

 オシポフ氏は「サイバー犯罪者は全てを攻撃する必要はない。オンラインバンクサービスでも、SWIFTのシステムでも、あるいはATMでも、最も弱い鎖の輪を狙えばいいからだ。オンラインバンクサービスを狙う攻撃には、リモートから実行できるという利点があり、手軽に利益を得られる。一方でATMを狙えば、現場に行く必要があるものの、その場で現金を得られる。しかも残念ながらATMのハードウェアの中には、何年も前から稼働しており、きちんと保護されていないものも存在している」と指摘している。

 このような金融機関を狙ったサイバー犯罪は、けっして新しい話ではない。Kasperskyは2015年2月に、金融機関の社内システムをターゲットにした標的型攻撃「Carbanak」について警告していた。これは、銀行の社内システムに侵入して情報を収集し、SWIFTを介して不正送金を行わせたり、ATMをリモートから操作して現金を引き出させたりできるというものだ。同社は世界30カ国、約100行の金融機関がターゲットになり、被害額は最大10億ドルに達する恐れがあると指摘していた。

●ATMは「レゴブロック」のようなもの?

 コチェトワ氏とオシポフ氏はKasperskyの侵入テストチームに所属し、主に金融機関およびATMのセキュリティアセスメントやペネトレーションテストを担当している。時には物理的な手段も組み合わせてATM本体を“あの手この手”で調査して、犯罪者に悪用される可能性を洗い出し、脆弱性や問題が見つかればベンダーに通知し、対処を促している。

 コチェトワ氏は、「ATMは『レゴブロック』と同じ。大手ベンダーが、日本だけでなく韓国、中国といったさまざまな国の業者からディスペンサーやカードリーダー、通信ユニットなどのコンポーネントを集めて組み立て、一つのハコとして組み立てている。その意味では、さまざまなパーツを組み合わせて作られるPCと同じようなものだ」と述べる。見かけこそまるで違うが、汎用OSをベースにしている点でも広義の「PC」と言えるだろう。

 従ってPCと同様に、ATMにはさまざまな脆弱性があるという。「いろいろなケースがあるが、WindowsベースのATMであれば、銀行システムを通してリモートからマルウェアに感染させ、ATMそのものを『スキミング装置』にしてしまい、キャッシュカードの情報を盗み出すという手口がある。事実こうした手口はヨーロッパなどで報告されている」(コチェトワ氏)。台湾でも2016年7月、ATMをマルウェアに感染させ、現金2億7000万円以上が不正に引き出された事件が発生している。

 日本ではまずないと思われるが、海外では専用線ではなくインターネットを介してATMを接続している銀行もあるという。つまり「インターネットからATMにアクセス可能な状態になっており、『Shodan』※で検索すればどのポートが空いているかを特定した上で悪用できる」(オシポフ氏)

※インターネット接続された機器を検索できるサービス

 両氏らはまた、ATMを物理的にハッキングしてしまう手法も検証した。同社が公開した動画では、ATMのカバーを開き、銀行の処理システムをエミュレートする機器をケーブルにつないでしまえば、スマートフォン上のアプリから不正に操作し、現金を引き出せてしまうことを検証している。同様に、ネットワークを介して複数のATMに不正を働くことも可能だとした。

 「現金の引き出し口は物理的に厳重に保護していても、ATMを制御するコンピュータや通信経路が保護されていないケースがある。処理センターを装うための機器をATM内のインタフェースに接続してリプレイアタックを仕掛ければ、簡単に現金を引き出せてしまう。しかもフォレンジックのための痕跡が残らないので、どのように侵害されたかの追跡が難しい」(オシポフ氏)。台湾のある銀行のATMでは、モデムポートを介してラップトップPCと接続し、銀行の処理センターに攻撃を仕掛けることが可能な脆弱性を発見したという。

 多くの人は、「いくら何でも物理的にATMの鍵をこじ開けて不正を働くなど困難だし、周囲の人々もそんな怪しい人を見かけたら通報するはず」と思うだろう。だが「ピッキングで鍵を開けてATM内部にアクセスするのは、そんなに難しいことではない。警備会社が10分以内に駆け付けるといっても、犯罪者がATMを開いてマルウェアをインストールするには1分とかからない」とオシポフ氏は述べた。

 さらに同氏は、日本滞在中にたまたま渋谷の街中で撮影したという一枚の写真を見せてくれた。そこには、メンテナンスのためか、カバーが開かれたままのATMを、何事もないかのように人々が操作する様子が写っており、周りには警備員の姿は見当たらなかった。この写真は、それだけ日本は安全ということの表れかもしれない。しかし「犯罪者は、パーカーやマスクで顔を隠すような怪しい格好ではやってこない。いかにも作業を行う普通のエンジニアの格好で、営業時間中に堂々とやってくる」(オシポフ氏)

 それだけでなく、フィッシングメールを使ったり、IDとパスワードを盗み出すマルウェアに感染させたりすることで、ATM管理者の情報を盗み出し、悪用する可能性も考えられる。このように、物理やサイバーを問わずさまざまな手口を講じてくるリスクを考慮すべきだという。

●過信は禁物、ATMのセキュリティリスクを把握し、対策を

 日本ではかつて、本体から現金を取り出すことを目的に、重機でATMを丸ごと盗み出す事件が発生したことがある。だが今や「そうしたケースが発生したら、ATMを狙うさらなるサイバー攻撃に注意が必要だ」とコチェトワ氏は述べた。「(メーカーは異なっても)ATMの基本的な構造は似ている。ATM本体が盗まれ、ハードウェアや論理的な構造が把握されたら、悪用されるのは時間の問題だ」(オシポフ氏)

 ATMをターゲットにした攻撃は何年も前から発生しており、レポートが出されているにもかかわらず、金融機関の間でその情報が共有されていないことも課題だという。「他の複数の銀行が同じような手口でマルウェアに感染し、被害が生じているのに、互いにコミュニケーションや情報共有が行われておらず、リスクが認識されないままだ」(オシポフ氏)

 もちろん、きちんと対策を講じているATMもあるだろうし、ダブルチェックとして、2人に1つずつ持たせた鍵がそろわないと処理を行えないようにするなど、人的・プロセス的な面も含めて安全対策に取り組んでいる金融機関もある。だが過信は禁物だと両氏は述べる。例えば、「日本は欧州の先を行き、生体認証を導入しているが、生体認証情報が中間者攻撃によって盗み出されるリスクはゼロではない」と両氏は指摘する。

 「さまざまな対策を講じているから安全だと思っている人は多いが、実際にハードウェアがどのように作られており、銀行内のさまざまなシステムと連携してどのように動作し、その結果どこに問題があるかを検査し、そのリスクに応じて対策を検討することが重要だ」(コチェトワ氏)

 リスクアセスメントや対策を進めるには、意思決定者がセキュリティを無駄なお金ではないととらえ、投資することが欠かせない。また開発者も自ら過信せず、同時に「ユーザーは信頼できない」という前提に立って製品開発を進めることも重要だ。両氏は、まずはATMのアセスメントなどの取り組みを通じて、悪用される可能性やリスクを直視することから始めるべきだと述べた。また同社でもATMやPOSなどの機器向けに対策を提供しているという。

 今やATMに限らず、IoT機器や産業用制御機器、車など、さまざまなデバイスがインターネットにつながるようになった。Kasperskyの調査によると、ATMに限らずさまざまな機器に脆弱性が見つかっており、場合によっては金銭では済まず、人体や生命に影響を及ぼす恐れもある。一方で両氏は、カスペルスキーをはじめとするセキュリティベンダー、そして業界の多くが、安心・安全の実現に向けて努力していることにも触れ、引き続きセキュリティ向上を支援していきたいと述べている。

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
ATMのリスク、物理的なアクセスで攻撃も――Kasperskyの研究者らが指摘 警備資料/BIGLOBEウェブリブログ
文字サイズ:       閉じる