ATMが簡単にハッキングされてしまう7つの理由

現金自動預入支払機（ATM）は、昔から犯罪者の恰好の標的でした。以前はATMを攻撃するのに切断トーチなどの大掛かりな機器や爆発物が使われましたが、デジタル時代の幕開けとともに、何もかも変わりました。今や犯罪者は、そんな特殊な道具を使わなくてもATMから「大金」を引き出せるようになったのです。

Kaspersky Labの侵入テストのスペシャリスト、オルガ・コチェトコワ（Olga Kochetova）は、ATMが脆弱な理由について、先ごろ開催されたSAS 2016カンファレンスの「マルウェアとマルウェア以外の手口を使ったATM強盗」という講演で説明しました。

1. 何と言っても、ATMはコンピューターです。さまざまな電子サブシステムで構成されており、中には珍しい産業用コントローラーもありますが、ATMシステムのまさに中枢部にあるのは、何の変哲もないPCです。

 2. さらに、そのPCを制御しているのは、Windows XPなどのかなり古いOSと考えていいでしょう。Windows XPだと何がまずいのかは、皆さんもご存知のはず。Microsoftのサポートが終了しているので、サポート終了後に見つかった脆弱性はすべて永遠にゼロデイ脆弱性のまま、パッチが適用されることはありません。こういう脆弱性は、山のようにあるはずです。

Windows XPのサポート終了まで2か月を切りました。XP周りの現況や、カスペルスキー製品のXP対応についてお知らせします。http://t.co/LTKYDFzm4e

— Kaspersky Labs Japan (@kaspersky_japan) February 19, 2014

3. また、ATMのシステムで脆弱なソフトウェアが大量に実行されていることも、ほぼ間違いないでしょう。それこそ、広く知られたバグを9,000個以上も抱えた古いバージョンのFlash Playerから、リモートアクセスツールなどのツールまで、種々様々なソフトウェアが。
4. ATMのメーカーは、ATMは常に「正常な状態」で稼働していて、問題が起きることは一度もない、と考えがちです。そのため、通常はソフトウェアの完全性は管理されず、アンチウイルス製品もインストールされておらず、現金支払機にコマンドを送るアプリの認証も行われません。
5. ATMの現金投入口や取り出し口は必ず厳重に保護されていますが、これとは対照的に、PCの部分には簡単にアクセスできてしまいます。ATMの筐体はだいたいプラスチック製か、せいぜい薄い金属製で、錠前が付いていますが、あまりに簡素で犯罪者対策にはなりません。ATMメーカーの理屈はこうです。「お金が入っていない部分を、わざわざ保護しなくてもいいでしょう？」

「個人個人の銀行口座から金銭を盗むより、銀行から盗んだ方が手っ取り早い」。サイバー空間の犯罪者たちは、そう考えるようになったのか？銀行に迫る脅威について。 #TheSAS2016 https://t.co/LClSuqEEm0 pic.twitter.com/1uu4tBfq4I

— Kaspersky Labs Japan (@kaspersky_japan) February 20, 2016

6. ATMのモジュールは、COMポートやUSBポートといった標準のインターフェイスで相互接続されています。こうしたインターフェイスは、時々キャビネットの外からアクセスされることがあります。そうでないとしても、やはり先に挙げた問題を常に意識する必要があります。

7. ATMはその性質上、インターネットに接続されていなければなりません。実際、常に接続されています。最近ではインターネットが一番安価な通信手段なので、銀行はインターネットを使ってATMを処理センターに接続しています。ということは、つまり？そう、Shodan（IoT機器用の検索エンジン）でATMを探せるのです！

ここまでに挙げた問題を考え合わせると、犯罪者にはいくらでもチャンスがある、ということになります。たとえば、マルウェアを作成してATMのシステムにインストールし、お金を引き出すこともできるでしょう。こういうATM専用に作成されたトロイの木馬は、次々に登場しています。一例を挙げると、1年ほど前に当社が発見したTyupkinというマルウェアがあります。

他にも、別のハードウェアをATMのUSBポートに接続するという手口があります。コチェトコワとアレクセイ・オシポフ（Alexey Osipov）による概念実証では、安価で超小型のシングルボードコンピューターRaspberry Piに、Wi-Fiアダプターとバッテリーを装着したものが使われました。その後何が起きたのかは、下の動画をご覧ください。

World Wide Web（WWW）経由の攻撃は、さらに危険度が増す可能性があります。犯罪者が偽の処理センターを立ち上げたり、本物をハッキングしたりすることも考えられます。そうなれば、ハードウェアに物理的に近づかなくても、大量のATMから金を奪うことができるでしょう。これはまさに、10億ドルを盗んだハッカー集団Carbanakがやってのけたことです。同集団は銀行のネットワーク内の重要なPCをハッキングしてから、ATMに直接コマンドを送信していました。

世界各地の銀行から総額10億ドルにも及ぶ金銭を盗み出したサイバー犯罪集団、#Carbanak の活動が明らかになりました。#APT 攻撃が我々一般人と無縁ではない時代…。 http://t.co/wqJhBpxMEw pic.twitter.com/Myq8PIOkvQ

— Kaspersky Labs Japan (@kaspersky_japan) February 19, 2015

やはり、銀行とATMメーカーは、金融機器のセキュリティをもっと意識しなければなりません。ソフトウェアとハードウェアのセキュリティ対策を見直す、ネットワークインフラのセキュリティを強化する、といった対策が必要になります。また、銀行とメーカーは脅威への対応をスピードアップするとともに、警察機関やセキュリティ企業との連携を密にすることが重要です。