Yahoo!ニュース

IDでもっと便利に新規取得

ログイン

ハッカーがATMの「ジャックポッティング」バグを利用して現金吐き出しに成功

配信

  • この記事についてツイート
  • この記事についてシェア
TechCrunch Japan

2010年、世界的に有名なセキュリティー研究者であった故・Barnaby Jack(バーナビー・ジャック)氏(Washington Post記事)は、Black Hat(ブラックハット)カンファレンスの壇上、ライブでATMをハックして、現金自動預け払い機に大量のドル札を吐き出させるところを実演した。このテクニックはその名もふさわしく「Jackpoting(ジャックポッティング)」と呼ばれた。 ジャック氏の大当たりのデモから10年、ふたりのセキュリティー研究者が、フィットネスクラブのNautilus(ノーチラス)に設置されたATMで新たな脆弱性を2つ発見した。ただし新型コロナパンデミックのために、実演はバーチャルで行われた。

ニューヨーク拠点のセキュリティー会社、Red Balloon(レッドパルーン)の研究者であるBrenda So(ブレンダ・ソー)氏とTrey Keown(トレイ・ケウン)氏は、2つの脆弱性を利用して、銀行以外の小売店舗でよく見られるスタンドアロンATMを騙し、現金を放出させることができたと語った。 そのためにはハッカーがATMと同じネットワーク内にいる必要があるため、ジャックポッティング攻撃を成功させる難易度は高い。しかし彼らの発見は、ATMに何年もの間、時には製作されて以来の脆弱性が残っていることが頻繁にあることをあらためて露見させた。 ソー氏とケウン氏によると、新たな標的となったNautilus ATMの内蔵ソフトウェアは、Microsoft(マイクロソフト)はすでにサポートしていない10年前のバージョンのWindowsた。2人はまず調査のためにATMを1台購入した。しかしほとんどドキュメントがなかったため、仕組みを理解するためには内部のソフトウェアをリバースエンジニアしなければならなかった。 最初の脆弱性が見つかったのは、XFS(Extensions for Financial Services、金融サービス向け拡張機能)という、ATMがカードリーダーや現金支払ユニットなどのさまざまなハードウェア部品とやりとりするためのソフトウェアレイヤーだった。バグはXFSそのものにあったのではなく、ATMメーカーが自社の機械にこのソフトウェアレイヤーを組み込む方法にあった。研究者たちは、特別に細工した不正なリクエストをネットワーク経由で送ることで、ATMの現金支払い機構を起動させ中にある現金を排出させられることを発見した。ケウン氏がTechCrunchに語った。 第2の脆弱性は、ATMのリモート管理ソフトウェアの中にあった。ATMオーナーが所有する一連の機械のソフトウェアをアップデートしたり、現金がいくら残っているかを確認したりするための組み込みツールだ。そのバグを引き起こすことで、ハッカーはターゲットとなったATMの設定を操作できる。 ソー氏によると、ATMの支払いプロセッサーをハッカーが制御する悪意のサーバーに切り替えることで、バンキングデータを抜き取ることができる。「あるATMを悪意のサーバーに接続してクレジットカード番号を抜き取ることができた」と彼女は説明する。 Bloomberg(ブルームバーグ)はこれらの脆弱性について、二人が自分たちの発見をNautiluに直接報告した際に最初に報じた。全米にある約8万台のNautilus ATMが、修正前には脆弱な状態にあったとBloombergは報告している。TechCrunchはNautilusに質問を投げかけているがまだ回答はない。 ジャックポッティングに成功することは稀だが、まったくないわけではない(Vice記事)。近年、ハッカーたちは様々な手法を利用している。2017年には、ヨーロッパで活動中のジャックポッティング・グループが発見され、数百万ユーロの現金を入手していた。 最近では、ATMメーカーの内部ソフトウェアを盗み出し、 独自のジャックポッティング・ツール(Ars Technica)を作っていたハッカー集団がいた。 (翻訳:Nob Takahashi / facebook)

Zack Whittaker

【関連記事】