セキュリティ企業IOActiveの研究員兼コンサルタントのジョセップ・ロドリゲスさん
このほど1年かけて世界中の何百万台というATMやPOSシステムに使われている近距離無線通信(NFC)リーダーのチップの脆弱性を調べた結果を報告
近離無線通信(NFC)リーダーのチップの脆弱性によるもので、いまだに脆弱性の多くは機器に残っている可能性が高い
NFCのシステムがATMに搭載されていれば、クレジットカードをスワイプしたり挿入したりする代わりにATMから現金を引き出したりできる
リーダーにかざすだけで支払いをできるPOSシステム
世界中の無数の小売店やレストランのカウンター、自動販売機、タクシー、パーキングメーターなどに設置されている
ロドリゲスさん
クレジットカードの無線通信をスマートフォンに模倣させることで、NFCシステムのファームウェアの欠陥を悪用できるAndroidアプリを開発
これによりスマートフォンをかざすだけで
さまざまなバグを利用してPOS機器をクラッシュさせたり、ハッキングしてクレジットカードのデータを収集して送信したり、目に見えないかたちで取引額を変更したり、ランサムウェアのメッセージを表示させて機器をロックしたりできる
少なくともある特定のブランドのATMについては、現金を強制的に払い出させることさえ可能
ただし、このジャックポットと呼ばれるハッキングは、ロドリゲスさんがATMのソフトウェアに発見した別のバグとの組み合わせでのみ機能する
ロドリゲスさんはATMヴェンダーと秘密保持契約を交わしているため、こうしたバグを特定したり公表したりはしていない
ロドリゲスさん
「例えば、レジの画面には50ドルを支払っているように表示されていても、ファームウェアをいじって価格を1ドルに変えることができます。機器を使えなくしたり、特定の種類のランサムウェアをインストールしたりすることもできます。できることはたくさんあるのです」POSへの攻撃について
「攻撃を連鎖させて、さらに特殊なデータをATMのコンピューターに送信すれば、スマートフォンの画面をタップするだけでATMに現金を吐き出させることがでるのです」
今回のバグの影響を受ける機器のヴェンダーに対して1年前から7カ月前にかけて警告したという
具体的には、ID TECH、Ingenico、Verifone、Crane Payment Innovations、BBPOS、NEXGO、そして匿名のATMヴェンダーなど
ロドリゲスさん
それでもこうした機器の多くは脆弱なままである可能性が高いとは警告
影響を受けるシステムがあまりにも多いことに加え
POS端末とATMの多くはソフトウェアのアップデートが定期的に実施されておらず
アップデートには物理的なアクセスが必要なケースが多いから
「何十万台ものATMに物理的にアップデートを施そうとすれば、膨大な時間が必要になります」
・・・そして銭も
セキュリティ企業SRLabsの創業者でファームウェアのハッカーとしても有名なカーステン・ノールさん
ロドリゲスの研究をレヴューし今回の発見は
「組み込み機器で動作するソフトウェアの脆弱性に関する優れた研究」
だがノールは実際に盗みを働く者にとって実用を難しくする障壁をいくつか指摘
まず、ハッキングされたNFCリーダーが盗めるのは、磁気ストライプのクレジットカードのデータのみ
被害者の暗証番号やEMVチップのデータは盗むことができない
また、ATMに現金を払い出させるには、ターゲットとなるATMのコードに別の脆弱性が必要になることから実行に移すことはかなり難しい
とはいえ、IOActiveのハッカーだった故バーナビー・ジャックやRed Balloon Securityのチームなどのセキュリティ研究者たちは
何年も前からこうしたATMの脆弱性を明らかにしている
しかもハッカーが遠隔操作でATMのジャックポットを引き起こせることも証明してきた
Red Balloon Securityの最高経営責任者(CEO)でチーフサイエンティストの崔昂(ツィ・アン)は、ロドリゲスの発見に感銘を受けたと
IOActiveは攻撃の詳細を一部は伏せているものの、NFCリーダーをハッキングすることによって現代のATMの多くに現金を払い出させることが可能であることに疑いの余地がないと
「こうした機器でコードを実行できればメインコントローラーにたどり着けるということは、極めてもっともだと思います。10年以上も前から修正されていない脆弱性がたくさんありますから」
「メインコントローラーからなら、間違いなくカセットディスペンサーをコントロールできます」
カセットディスペンサーは利用者に払い出す現金を入れておく場所
コンサルタントとして長年ATMのセキュリティを検証してきたロドリゲスさん
ATMの非接触型カードリーダー(決済技術企業のID TECHが販売しているものが多い)がハッキングの入口になる可能性について、1年前から調べ始めた
eBayでNFCリーダーやPOS機器を購入し始めたが、その多くに同じセキュリティ上の欠陥があることをほどなく発見
そうした機器はNFCを介してクレジットカードからリーダーに送信されるデータパケット、すなわちAPDU(Application Protocol Data Unit)のサイズを検証していなかった
リーダーが想定しているサイズの数百倍の大きさで念入りに作成されたAPDUを、カスタムアプリを使ってNFC対応のAndroid端末から送信することでバッファオーヴァーフローを引き起こすことに成功
バッファオーヴァーフローは数十年前から存在するソフトウェアの脆弱性
ハッカーはこれを使うことで標的にしたデヴァイスのメモリーを破壊し、独自のコードを実行できる
今回の脆弱性の影響を受ける企業に『WIRED』US版は問い合わせたが、ID TECH、BBPOS、NEXGOはコメントの要請に応じなかった、ATM協会もコメントを拒んいる
Ingenicoはコメントを発表し、同社のセキュリティ対策によってロドリゲスのバッファオーヴァーフローのテクニックは同社の機器をクラッシュさせることしかできず、コードは実行できないと説明している
ただし、「お客さまにご不便をおかけし、影響が及ぶことを考慮して」、いずれにしても修正プログラムを発行したと
なお、このセキュリティ対策によって実際にコードの実行を防げるかどうかは疑問だとロドリゲスさんは反論しているが、実際にそれを証明する概念実証を考案してはいない
Verifoneは、ロドリゲスさんが明らかにしたPOSの脆弱性は、彼が報告するはるか以前の2018年に発見して修正していたと
これに対してロドリゲスさん
そうであれば同社の機器に一貫したパッチが施されていないことを示すものでしかないと
彼は昨年、レストランでVerifoneの機器を使ってNFCのテクニックを試したところ、脆弱性が残っていることがわかったと
ロドリゲスさんは彼の発見の多くを1年は公表してこなかったが、今後数週間以内に脆弱性の技術的詳細をウェビナーで公開する計画だと
これは影響を受けるヴェンダーの顧客に、各社が提供しているパッチを施してもらう目的
だがそれだけではない
組み込み機器のセキュリティの惨憺たる現状を広く知ってもらいたいと考えているからでもある
彼はバッファオーヴァーフローのような単純な脆弱性が、これほど多くの一般的に使用されている機器に残っていることに衝撃を受けたと
しかもよりによって、現金と機密性の高い金融情報を扱う機器にも・・・
「こうした脆弱性は何年も前からファームウェアに存在しており、わたしたちはこのような機器を毎日使ってクレジットカードやお金の取引をしているのです」
「こういった機器は安全でなければなりません」
・・・安全を採るか
便利さを採るか
・・・オリンピックも~
今日は~
シロバナノヘビイチゴ/Fragaria nipponica
6月の半ば頃の僅かな日照り?
実が枯れ枯れ
今年は喰えねえ・・・
0 件のコメント:
コメントを投稿