Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ATMへのブラックボックス攻撃

日本ではATMへの物理的攻撃の事件はほとんど聞きませんが、欧州ではかなり被害が出ている様です。イタリアの金融機関を狙ったギャングが逮捕された記事が出ていました。securityaffairs.co

イタリアの法執行機関であるモンツァカラビニエリはギャングによって解体され、サイバー犯罪組織が#ATMブラックボックス攻撃を使用してわずか7か月で約800,000ユーロを盗んだことを確認しました。

イタリアのカラビニエリは12人を特定し、6人はすでに逮捕され、3人は現在ポーランドで制限されており、1人は停止する前にモルドバに戻り、2人はもはやイタリアの領土にいない可能性があります。

地元メディアによると、ギャングはミラノ、モンツァボローニャ、モデナ、ローマ、ビテルボ、マントヴァヴィチェンツァパルマの各州に多数の物流拠点を持っていました。
ブラックボックス 攻撃は 、ブラックボックス」デバイスを介してコマンドを送信することにより、ATMに現金の分配を強制することを目的とした一種の ジャックポッティング攻撃です。

この攻撃では、モバイルデバイスラズベリーなどのブラックボックスバイスがATMに物理的に接続され、攻撃者がマシンにコマンドを送信するために使用します。

 (Security Affair記事より引用)※機械翻訳

 

キタきつねの所感

日本では金融機関のATMが”攻撃された”写真や映像が報じられる事は少ないので、ブラックボックス攻撃がどんな攻撃なのかイメージしにくいかと思います。

このTwitter投稿の写真を見ると、少し分かるのではないでしょうか。

 

ATMの一部を破壊し(物理的に穴を開け)、ケーブルにマルウェアが仕込まれた不正な機器(ブラックボックス)を取り付けて現金の支払い命令をATMに与える攻撃です。

こうしたマルウェア等を使って偽命令を送り、ATMから現金を全て払い出す攻撃はジャックポット攻撃とも呼ばれています。

ネットワーク越しにマルウェアを仕込むパターンと、今回の様に物理的にATMに侵入するパターンの2つがありますが、物理的な攻撃が成功するのは、コロナ禍において、(イタリアの)治安が悪くなっている事も影響している気がします。

 

記事でもう1点気になるのが、こうしたキットがDarkWebで販売されている(分業制になっている)という点です。

ATMブラックボックス攻撃は地下のサイバー犯罪で非常に人気があり、いくつかの攻撃者がATMを危険にさらすために使用される可能性のあるハードウェア機器とマルウェアを提供しています。

 (Security Affair記事より引用)※機械翻訳

 

こうした際にまず攻撃対象となりやすいのが、グローバルATMベンダー(NCR, Nixdort等)の古い機器です。ATMはリプレイスまで一定期間を要する高額な機器である点が影響してか、保護対策が不十分な古いATM機器が攻撃対象として狙われる傾向があります。

また、どこにケーブルが通っているか(どこに穴を開ければ効果的か)といった設計情報や、過去の成功事例等から短時間で攻撃を成功させる為のノウハウが攻撃側に蓄積されているという事も影響しているのかと思います。

 

日本のATMでこうした攻撃事例を聞いた事は(まだ)ありませんが、最近は日本企業(全般)に対する2重恐喝を代表とする不正アクセス被害は拡大しており、日本のATMベンダー(又は関連企業)から機微な情報が漏えいする、あるいは内部協力者が出てくれば、そうした情報を元に、日本市場を狙ってきたとしても何ら不思議はありません。

日本は街中にATM端末が溢れているといっても過言ではありません。銀行のATMだけでなく、コンビニやスーパーに設置されたATM端末も攻撃対象だと考えれば、コロナ禍の影響で、セキュリティ監視が不十分になった隙に一気に攻撃を受ける、そんな未来も近いかも知れません。

 

NCRは、ATMへの物理攻撃に対してアラートを出してます。また、欧州安全取引協会(EAST)もATMマルウェアとATM論理攻撃(マルウェアの事だと思います)が急増しており、2020年前半には129件(+269%増)のインシデントが発生したと発表しています。

www.bankinfosecurity.com

 

まったくもって根拠はありませんが、ATMキャッシュアウト攻撃などの傾向から考えると、国内ATMが攻撃を受ける際は、単発というよりは、防御が甘い所に一斉に攻撃をしてくる、そんな気がします。

 

余談ですが、ATMブラックボックス攻撃への対策として考えられるのが、まず中古のATMを犯罪者側に渡さない事かも知れません。(現在の国内ATM廃棄事情がどうなっているか知りませんが・・・)攻撃者は中古ATMを入手し、研究して攻撃手法を磨き上げていると言われています。

ATMが古いOSを使っている場合、マルウェアに繋がる脆弱性がありますが、長期間使用が前提の機器であるが故にここを改善するのは難しいかと思います。

ですので、根本的な対策としては、内部ケーブルの中を通る通信を暗号化する事かと思います。ATM内側の通信が平文である事、これがジャックポット攻撃(マルウェア)が成功している大きな要因かと思います。

不正な機器の取り付けを検知する為のアラートシステムや、機器認証も効果がある気がしますが、肝心の通信が平文だとすれば、偽装されて突破されてしまう気がします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ブラックボックスのイラスト(はてな)

 

更新履歴

  • 2020年12月1日 AM