ゲッティイメージズ / ジャスティン・タリス / スタッフ
2010年にラスベガスで開催されたセキュリティカンファレンス「Black Hat」で、ハッカーのバーナビー・ジャックがステージ上でATMから現金を吐き出させて話題になった事件から10年、いわゆるジャックポッティングは犯罪者の娯楽として人気を博し、世界中で数千万ドルもの金が盗まれています。そして時とともに、攻撃者の手口はますます巧妙化しています。
先日開催されたセキュリティカンファレンス「Black Hat」と「Defcon」において、研究者たちはATMハッキングの近年の進化について詳細に調査しました。犯罪者は、ニッチな銀行専用ソフトウェアを操作してATMから現金を引き出すマルウェアを開発する一方で、従来の手法の長所も取り入れており、特定のATMを標的とした新たなリモート攻撃も発見しています。
Black Hatカンファレンスにおいて、大手民間金融機関のテクニカル脅威インテリジェンスチームリーダーであるケビン・パーロウ氏は、ジャックポットへの現在のアプローチを象徴する2つのキャッシュアウト戦術を分析しました。1つは、2019年春に初めて確認されたINJX_Pureとして知られるATMマルウェアです。INJX_Pureは、PINパッド、カードリーダー、キャッシュディスペンサーの動作と連携といったATMの基本機能をサポートするeXtensions for Financial Services(XFS)インターフェースと、銀行独自のソフトウェアの両方を操作してジャックポットを引き起こします。
元のマルウェアサンプルはメキシコから、そして後にコロンビアからスキャナーにアップロードされましたが、INJX_Pureを使用するアクターについてはほとんど分かっていません。しかしながら、このマルウェアは特定の銀行のATM、おそらく特定の地域向けにカスタマイズされているため、世界中で動作するツールのみに焦点を当てるのではなく、限定的な用途や標的を絞ったジャックポットマルウェアを開発する価値があることを示唆しています。
「脅威の攻撃者が ATM マルウェア内で XFS を使用し、ATM に本来実行すべきでない操作を実行させるのは一般的なことですが、INJX_Pure 開発者の実装は独特で、特定のターゲットに非常に特化しています」と Perlow 氏は言います。
7月には、ATMメーカーのDiebold Nixdorf社が、別の種類のマルウェアに関する同様の警告を発し、欧州の攻撃者が同社の独自ソフトウェアを狙ってATMをジャックポットしていると述べた。
パーロウ氏はまた、2018年10月に米国土安全保障省サイバーセキュリティ・インフラセキュリティ局が北朝鮮のハッカーによるものとしたジャックポットキャンペーンで使用されたFASTCashマルウェアについても調査した。北朝鮮はこのマルウェアを使用して世界中で数千万ドルを換金しており、マネーミュールのグループを組織化して資金を集め、マネーロンダリングを行っていた。
FASTCashはATM自体ではなく、ISO-8583と呼ばれる金融カード取引規格を標的としています。このマルウェアは、「ペイメントスイッチ」と呼ばれる金融インフラ機器上で動作するソフトウェアに感染します。ペイメントスイッチは、ATMからの情報と銀行からの応答を追跡・照合するシステムを実行するデバイスです。FASTCashは、個々のATMを攻撃するのではなく、これらのスイッチの1つに感染することで、数十台のATMから同時に現金引き出しを行うことが可能です。
「これが実現できれば、500台のATMにマルウェアをインストールする必要はなくなります」とパーロウ氏は言う。「それが利点であり、非常に巧妙な点です。」
制御された実験室環境では、攻撃はさらに深刻化します。組み込み機器セキュリティ企業Red Balloon Securityの研究者たちは、Nautilus Hyosung社製のいわゆるリテールATMに存在する2つの脆弱性を詳細に明らかにしました。これらのATMは、銀行で使用されている「金融」ATMとは対照的に、バーや街角の店にあるようなATMです。これらの脆弱性を悪用された攻撃者は、標的のATMと同じネットワーク上にいる場合、機器の制御を奪い、物理的な操作なしに現金を払い出す可能性があります。
全米に14万台以上のATMを展開するHyosungは、9月初旬に脆弱性を修正しました。しかし、多くのコネクテッドデバイスと同様に、修正プログラムの提供からATM運営者への導入までには大きな時間差が生じる可能性があります。Red Balloonの研究者は、米国で最大8万台のATMが依然として脆弱であると推定しています。
「私たちが指摘した特定の脆弱性については、Hyosungは積極的に修正プログラムを提供してくれました」と、Red BalloonのCEO、Ang Cui氏は述べています。「しかし、実際にパッチを適用するかどうかは、脆弱性のあるATMを運用するすべての事業者にかかっています。世界中がまだパッチを公開していないとしても、私は驚きません。」
2つの脆弱性は、ATMのサービス管理に使用されるデジタルシステムに存在していました。最初の脆弱性では、XFS実装に欠陥があり、特別に細工されたパケットによってATMに現金の払い出し指示などのコマンドを受信できることが研究者によって発見されました。もう1つのATMリモート管理システムのバグも、任意のコード実行につながり、ATMの完全な乗っ取りを意味していました。
「攻撃者は制御権を握って何でもでき、設定を変更できますが、最も影響力のあることは、ジャックポットでお金を獲得できることです」と、同僚のトレイ・ケオンとともにデフコンで研究成果を発表したレッド・バルーンの研究科学者ブレンダ・ソーは言う。
ノーチラス・ヒョースンはWIREDに対し、レッドバルーンの研究者らが2019年夏に調査結果を公表し、同社は9月4日に「潜在的な脅威を軽減する」ためのファームウェアアップデートをリリースしたことを強調した。同社は声明で、「ヒョースンはすべての法人顧客に対し、これらのパッチでATMを直ちにアップデートするよう通知しており、これまでに脆弱性の報告はない」と述べた。
実際のジャックポット犯罪では、ハッカーは物理的な攻撃を仕掛けたり、不正なUSBメモリやSDカードをセキュリティ保護されていないポートに挿入してATMのデジタルインターフェースを悪用したりすることがよくあります。しかし、Red Balloonが紹介したようなリモート攻撃もますます頻繁に発生し、巧妙化しています。
すべてのソフトウェアにはバグがあり、完璧に安全なコンピュータは存在しないにもかかわらず、犯罪的なジャックポットが広く行われ、それを実行するための世界的な金融システムの脆弱性が比較的簡単に見つかるという事実は、ATM防御における革新の欠如を依然として示しているように思われる。
「バーナビー・ジャック氏が発表した当時と今とで、根本的に何が変わったのでしょうか?」とレッド・バルーンの崔氏は言う。「15年前ならノートパソコンやノートパソコンのOSに対して有効だったような攻撃は、今ではほとんど通用しません。私たちはレベルアップしました。では、なぜお金を扱う機械は進化していないのでしょうか?私には信じられません。」
この記事はWIRED USに掲載されたものです
この記事はWIRED UKで最初に公開されました。
