2010年、世界的に有名なセキュリティー研究者であった故Barnaby Jack(バーナビー・ジャック)氏は、Black Hat(ブラックハット)カンファレンスの壇上、ライブでATMをハックして、現金自動預け払い機に大量のドル札を吐き出させるところを実演した。このテクニックはその名もふさわしく「jackpoting(ジャックポッティング)」と呼ばれた。
Jack氏の大当たりのデモから10年、ふたりのセキュリティー研究者が、フィットネスクラブのNautilus(ノーチラス)に設置されたATMで新たな脆弱性を2つ発見した。ただし新型コロナパンデミックのために、実演はバーチャルで行われた。
ニューヨ
セキュリティー研究者の故Barnaby Jack氏は初めてATMでジャックポットを当てた人物として名を残した。そして10年後、2人のセキュリティー研究者が新たなATM現金吐出し攻撃を成功させた。画像クレジット:YouTube
そのためにはハッカーがATMと同じネットワーク内にいる必要があるため、ジャックポッティング攻撃を成功させる難易度は高い。しかし彼らの発見は、ATMに何年もの間、時には製作されて以来の脆弱性が残っていることが頻繁にあることをあらためて露見させた。
So氏とKeown氏によると、新たな標的となったNautilus ATMの内蔵ソフトウェアは、Microsoftはすでにサポートしていない10年前のバージョンのWindowsた。二人はまず調査のためにATMを1台購入した。しかしほとんどドキュメントがなかったため、しくみを理解するためには内部のソフトウェアをリバースエンジニアしなければならなかった。
最初の脆弱性が見つかったのは、XFS(Extensions for Financial Services/金融サービス向け拡張機能)という、ATMがカードリーダーや現金支払ユニットなどの様々なハードウェア部品とやりとりするためのソフトウェアレイヤーだった。バグはXFSそのものにあったのではなく、ATMメーカーが自社の機械にこのソフトウェアレイヤーを組み込む方法にあった。研究者たちは、特別に細工した不正なリクエストをネットワーク経由で送ることで、ATMの現金支払い機構を起動させ中にある現金を排出させられることを発見した。Keown氏がTechCrunchに語った。
第2の脆弱性は、ATMのリモート管理ソフトウェアの中にあった。ATMオーナーが所有する一連の機械のソフトウェアをアップデートしたり、現金がいくら残っているかを確認したりするための組み込みツールだ。そのバグを引き起こすことで、ハッカーはターゲットとなったATMの設定を操作できる。
So氏によると、ATMの支払いプロセッサーをハッカーが制御する悪意のサーバーに切り替えることで、バンキングデータを抜き取ることができる。「あるATMを悪意のサーバーに接続してクレジットカード番号を抜き取ることができた」と彼女は言った。
Bloomberg(ブルームバーグ)はこれらの脆弱性について、二人が自分たちの発見をNautiluに直接報告した際に最初に報じた。全米にある約8万台のNautilus ATMが、修正前には脆弱な状態にあったとBloombergは報告している。本誌はNautilusに質問を投げかけているがまだ回答はない。
ジャックポッティングに成功することは稀だが、全くないわけではない。近年、ハッカーたちは様々な手法を利用している。2017年には、ヨーロッパで活動中のジャックポッティング・グループが発見され、数百万ユーロの現金を入手していた。
最近では、ATMメーカーの内部ソフトウェアを盗み出し、 独自のジャックポッティング・ツールを作っていたハッカー集団がいた。
タレコミ情報は、SignalまたはWhatsAppで+1 646-755-8849にメッセージするか、暗号化メールで zack.whittaker@protonmail.com まで。
