これはすごい。旅行でオーストリアのウィーンへ行ったサイバーセキュリティのエキスパートBenjamin Tedescoは、そこでATMを使おうとした。しかし何でもまず疑う彼は、カードリーダーをちょっと調べてみて、それが本物のカードスロット(挿入口)とそっくりのスキマー(skimmer,盗視機)であることを発見した。
“被害妄想はお金を守る”、まったく、彼の言うとおりだ。
Tedescoはスキマーを取り外して写真を何枚か撮り、家に帰ってから詳しく調べようと思った(カードのデータがまだ載ってるかもしれない)。何人かのRedditユーザーが、ピンホールカメラがあることに気づいた。たぶん、暗証番号を読むためだろう。そうなると、彼らは盗難カードを何枚でも作れる。
ATMを使うときは、必ずチェックしよう。ふつうは、こんなツールのインストールを防ぐためのチェッカーが何重にも設けられているが、ときにはそれらが故障していてハッカーにやられる。おかしいなと思ったら、ATMやカードスロットを、押したり引いたり、こすったりしてみよう。
悪賢いATMハッカーたちが、今度は”shimmer”と呼ばれるカードデータ読み取りシステムを使い始めた。非常に薄いので、カードスロットに挿入してもユーザは気づかず、外からも見えない。特殊な器具で調べないと、あることが分からない。
メキシコで見つかったが、それが何にデータを送っているのか、それがまだ分からない。この装置が特別なのは、カードのチップ上のデータを読み取ることだ。ハッカーは装置のチップから送信されてきたデータを保存し、偽(にせ)のカードを作ることができる。ただしATMカードのセキュリティはやや複雑だから、偽のカードは、カードを挿入したときのセキュリティチェックが緩いATMでないと使えないはずだ。
詳しい情報はBrian Krebsのサイトにあるが、ATMのカード読み取り機を手でたたいたぐらいでは、このデータ窃盗機を検出することはできない。ピンセットと懐中電灯を、持参すべきかな。
安全だと思っていたその時、カードスキミング犯はまたそこにいる。今回彼らは、ATM室に入るためにカードを通すドアロックの中にカードリーダーを仕掛けた。
Brian Krebsによると、詐欺師たちは比較的気付かれにくいドアロックの中にリーダーを潜ませ、小さな隠しカメラをATMまわりに置く。利用者が部屋に入る時にカードデータをリーダーで盗み、キーボードを押す手を撮影して暗証番号とマッチングする。
このケースでは、ハッカーらはカードリーダーを偽のドアロック銘板の下に設置し、分解したCasioカメラを薄いプラスチックケースの中に入れた。こうしてカードデータと暗証番号を外部から手に入れる。興味深いことに、殆どのATMブースは入るためにカードを通す必要がない。
Krebsがこう書いている:
ヒント:あの手のドアロックはあまり賢くないので、磁気ストライプのあるカードなら殆ど何でも受け入れてしまう。信じられないなら、今度ATM室に入る時に図書館か会社のIDカードを通して見てほしい。
読者にお願い:暗証番号を打ち込む時には必ずもう一方の手で数字を打つ手を隠すこと。この簡単な一手間だけで、あなたの時間とお金が守られる ― ハッカーは数字が読み取れないのであなたのカードをスキップする。
[原文へ]
(翻訳:Nob Takahashi / facebook)
予想されたとおり、多くの金融機関はATMその他のデバイスのOSをWindows XPからLinuxに乗り換える準備を進めている。時代遅れのXPをこれまで使い続けてきたこと自体、金融機関の保守性と同時にOSの変更の難しさを物語っている。
ComputerWorldのJaikumar Vijayan記者によれば、Windows XPは現在、世界のATMの95%を動かしているという。
しかしそのXPも来る4月8日にはついにサポートが打ち切られる。この10年以上、ATMを始め思いがけない場所で、無数のBSOD(Blue Screen Of Death=Windowsの致命的エラー画面)が目撃されたことがXPの普及の証拠だ。
ATMは今後PCI SSC(Payment Card Industry Security Standards Council)の規格に従っていなければならない。ATMのハードウェアの寿命が5年から長くて10年であることを考えると、新規格を採用するにはハードウェアの更新が必要になるだろう。次世代OSといえばWindow 7あるいはLinuxだが、Linuxはオープンソースでレガシー・ハードウェアの上でさえセキュリティーを大幅に強化する多数のツールが利用できる。いずれにせよアメリカでICカードが全面的に採用される情勢なので、事実上ほとんどすべてのPOSレジとATMシステムが緊急に更新を迫られている。
金融機関は当面数ヶ月、場合によればそれ以上の期間、現行マシンを動かし続けることはできるだろうが、XPの命数が尽きたことを変える方法はない。せめて組み込みXPについてはサポートをいましばらく継続してほしいというユーザーの嘆願にもかかわらず、Microsoftのサポート一切打ち切りの決意は固いようだ。「死の青スクリーン」がITの歴史の中に中に消えていく日も近そうだ。
[原文へ]
(翻訳:滑川海彦 Facebook Google+)
◆以上◆
400台のBitcoin ATMが、近々ドバイの裏道や幹線道路を飾るというニュースと共に、ここ数ヵ月間の暗号化ATMの活発化や、今この世界で起きようとしていることそのものが実に興味深い。
まず、Bitcoin ATMの市場は少々バブル化していると言える。このコンセプトが人々を魅了しているだけでなく、LamassuやRobocoinといったメーカーは、ATM製品の在庫確保に四苦八苦している。私がワルシャワで話した2人組の起業家は、2台のATMを発注済みで、いずれ設置する場所がなくなるのではないかと感じていた。彼らがLamassuの順番待ちで滞っている間にも、自然発生する高度武装化エレクトロニクスのごとくBitcoin ATMは出現し続けている。
悲しいかな、それはまだ主流となるにはほど遠い状態にある。AustinのSXSWでデビューしたRobocoinモデルを使うために、ユーザーは電話番号、政府発行IDの写し、顔写真、および静脈スキャン画像を提出しなければならなかった。そしてオーナーは2万ドル以上を機械に投じ、その中に7万5000ドルなりの現金を「浮遊」させておく必要がある。取引を制御するのは気まぐれなブロックチェインなので、購入には5分から15分程度 ― あるいはそれ以上 ― の時間待たされる。
たった今、そこでは激しい軍拡競争が起きている。各ATMメーカーは自社マシンを、疑われることのない都市に設置しては、スクラントンで初めて、とかサウサリートで最高のDogecoinなどと騒ぎ立てている。ドバイにあの大量のATMを設置しようという取り組みが証明しているように、メーカーは可処分所得を持つ人々がBitoinに手を染めてみたいと思うような、比較的裕福な地域をターゲットに選んでいる。
もちろん地元の選択肢もある。例えばSatoshi Squareは、Bitcoinを対面取引できるしっかりした交換所だ。しかし、今はBitcoinゴールドラッシュにとって重要な瞬間の一つにすぎず、ATMのピークはまだ来ていない。どこの街角にも置かれるようになれば、話題になることもなくなるだろうが、それまでの間「初めてBitcoin ATMを使ってみた!」という投稿の連祷をあちこちで見せられることになりそうだ。
[原文へ]
(翻訳:Nob Takahashi / facebook)