セキュリティ企業の米国 Trustwave の研究者が、カナダトロントで開催された SecTor  セキュリティカンファレンスのセッションに登壇。ATM のセキュリティ上の脆弱性について指摘した。

【SecTor】ATM の脆弱性―その原因の1つは、パッチの適用されていない Windows XP
Trustwave の上級コンサルタントである John Hoopes 氏は聴衆に向かい、現在利用されているほぼすべての ATM にセキュリティ上の脆弱性があると述べた。特定のメーカーによる ATM ではなく、すべてのメーカーの製品が共通の問題を抱えているというのだ。

Hoopes 氏らは、ATM 内で動作している OS を調査。その結果、多くの ATM で Microsoft Windows が稼働しており、バージョンは Windows XP であることがわかったという。

悪いことに、Hoopes 氏らのチームが検証をした ATM 内で稼働していた Windows には、Microsoft による最新のパッチが適用されていなかった。Hoopes 氏らは例として「MS08-067」脆弱性をあげる。これは、「Server サービスの脆弱性により、リモートでコードが実行される」というもの。Microsft はこの問題に対応したパッチを5年も前にリリースしているが、Hoopes 氏らが検証した ATM の多くには、このパッチが適用されていなかったそうだ。

では、攻撃者はどのようにして ATM 内の Windows システムにアクセスするのだろうか? Hoopes 氏は、攻撃者は ATM にキーボードを接続し「Control - Alt - Delete」キーを押す必要はないと述べた。単に ATM 端末の電源プラグを抜き、その後挿し直すだけで良いという。これでシステムをリブートさせることができる。

Hoopes 氏らがテストした ATM の少なくとも1台では、リブート中に、「タッチスクリーンに触れてはならない」という警告ダイアログが表示されたそうだ。Hoopes 氏らは、タッチスクリーンに触れてみた。その結果、ATM のコアシステムにアクセスできたという。

さらに悪いことには、Hoopes 氏らは ATM 内の OS のほとんどが「管理者モード」で動作しているのを発見したという。管理者モードでは利用者は、そして攻撃者は、デバイスへのフルアクセスを得ることができる。

「この時点で、すでにゲームオーバーだ」

Hoopes 氏はそう語った。

なぜ ATM ソフトウェアのセキュリティは低いのか?

ATM ソフトウェアのセキュリティが低い原因には、設計者の誤った思い込みがあると Hoopes 氏は述べた。

「ATM ソフトウェア設計者のほとんどは、一般人はコードが読めないと思い込んでいる。だから、コードは難読化されていない」

難読化コードや暗号化コードは、セキュリティを向上させる最良の実践モデルの1つ。攻撃者がコードをリバースエンジニアリングして、脆弱性を探ることを困難にする。

現在市場に出回っている ATM のいくつかは、Preboot eXecution Environment(PXE)環境でブートする。PXE ブートでは、ATM はブート時にネットワーク経由で OS を取得する。このため、攻撃者が ATM と壁のネットワークコネクタの間に悪意のあるデバイスを取り付けられれば、ATM を乗っ取ることは可能だ。

PXE ブートでない場合であっても、ATM がネットワークに接続されていることに変わりはない。もし、ネットワークが暗号化されていなければ、攻撃者は通信を傍受し、データを操作することが可能となる。

対処方法

ATM ベンダーがシステムのセキュリティを高める方法はいくつかある。その1つとしては、ATM キャビネットに頑丈なカギを取りつけ、ピッキングができないようにすることだと、Hoopes 氏は述べた。

次に重要なのは、電源ケーブルとネットワークケーブルの保護だ。攻撃者は電源ケーブルを抜き差しすることで ATM をリブートし、OS へのアクセスを試みる。これらケーブルを攻撃者の目から隠すことが、セキュリティを高めることに繋がる。

システムのモニタリングも重要だ。ATM を常に監視し、システムがリブートしたり、予期しないシステムイベントが発生した場合には、警報機を鳴らして、誰かがそこに駆けつけ、システムのチェックをする体勢を作るべきだと、Hoopes 氏は述べた。

「ATM 内のコンピュータは、敵対的な環境で稼働している。そこは”金がある場所”だからだ。これは比喩的な意味ではない。本当に、現金が保管されている」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。