パスワードを忘れた? アカウント作成
Close
29345 story
暗号

米国のコンビニATMに不正アクセス、暗証番号が盗まれる 21

ストーリー by hylom
セキュリティ意識が足りないと言わざるを得ない 部門より

あるAnonymous Coward 曰く、

米国のセブンイレブンに設置されたCitibankのATMが不正アクセスされ、暗証番号(PIN)が盗まれるという事件が発生した(AP通信の記事)。

このATMはOSとしてWindowsが採用されており、トラブルの発生時にインターネット経由でリモートアクセスして操作/修復が行えるように設定されていたとのことだ。さらに、暗証番号は暗号化して扱うことが課されていたにも関わらず、いくつかのATMオペレーターは暗証番号の暗号化を行っていなかった。そのため、通信経路で暗証番号を盗聴することが可能だった模様だ。

また、今回不正アクセスを受けたATMはCitibankではなく、Cardtronics社という別の企業が所有しており、またATMの運営についてはFiserv社という、これまた別の企業が行っていた(一部のATMはCardtronics社も運営していた模様)。

現在、不正アクセスを行った容疑者は逮捕されているものの、どれだけの被害が発生したかはまだ不明、とのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

米国のコンビニATMに不正アクセス、暗証番号が盗まれる More

  • 侵入? 盗聴? (スコア:2, 興味深い)

    by Anonymous Coward on 2008年07月04日 15時02分 (#1376557)
    Wired Vision [wiredvision.jp]によると、被害総額は500万ドルにものぼるそうです。

    この記述から読み取れるのは、攻撃者はシステム内に保存されていた口座番号や暗証番号にアクセスしたのではなく、リアルタイムで使われている決済処理に侵入し、処理システム内を行き交う暗証番号を根こそぎ入手していた可能性がある、ということだ。


    だそうなので、ATMに侵入というより、決済処理を盗聴して暗号化されていない暗証番号を取得したということでしょうか。

    • Re:侵入? 盗聴? (スコア:1)

      by hoihoi-p (5571) on 2008年07月04日 17時39分 (#1376667) 日記
      えっ。えっ。えっ。
      管理はインターネットから? なぜ? 専用線じゃないの? 日本も? 全銀手順とかは・・・?

      日本の企業内でも経理が、ネット経由で決済やってるようですが、モデム経由ですよね。たしか。
      だって、専用ソフトで電話番号入れてるの見ましたよ。

      なのに、ATM管理をインターネットですか?
      暗号化以前に、パソコンのキー入力記録されてたら、全く意味が無いような・・・。

      #私が遅れ過ぎてるの??
      --
      hoihoi-p  得意淡然、失意泰然。
      シェア
      親コメント

      • Re:侵入? 盗聴? (スコア:1)

        by albireo (7374) on 2008年07月05日 5時24分 (#1377035) 日記
        今回のはコンビニATMの話ですよね。
        日本でもすべてのコンビニATMに専用線が引いてあるとは考えにくい気がするんですがどうなんでしょう?
        膨大なフランチャイズに専用線を引く費用を本部が負担するとは思えないし、店舗オーナーが負担するのならATMを設置してる店はもっと少なくなりそうだし。
        --
        うじゃうじゃ
        シェア
        親コメント

        • Re:侵入? 盗聴? (スコア:1)

          by hoihoi-p (5571) on 2008年07月05日 14時09分 (#1377291) 日記
          >日本でもすべてのコンビニATMに専用線が引いてあるとは考えにくい気がするんですがどうなんでしょう?
          う〜ん。そうですよね〜。コストがかかりすぎますよね〜。

          余談ですが、私の身内が某キャリアに勤めてまして、1人あたり2台のコンピュータが支給されるそうです。
          インターネット用と社内インフラ用。全く別系統。 お金持ち〜って思いましたよ。ずいぶん昔。
          --
          hoihoi-p  得意淡然、失意泰然。
          シェア
          親コメント

      • Re: (スコア:0)

        by Anonymous Coward
        CDやATMの管理をインターネット経由でやってる国内銀行があるかどうかは知りませんが、
        法人顧客によるインターネットバンキングは大手都市銀行なら対応してると思います。
        >暗号化以前に、パソコンのキー入力記録されてたら、全く意味が無いような・・・。
        ワンタイムパスワードやソフトウェアキーボード(毎回並らびが変わる)を使う所もありますが、微妙ですね。

        • Re: (スコア:0)

          by Anonymous Coward
          他行は知りませんが、少なくとも旧UFJの法人向けインターネットバンキングでは、
          銀行側から顧客一人一人に違う電子証明書を配布してますんで、キーロガー仕込
          まれても、電子証明書が流出しない限りは問題はないはず・・・。

          って、キーロガーのログを送信される時点で、pfxファイルも盗まれそうですが。。

          #そもそも法人向けでは、最近はUSB用のICカード認証が主流だと思う

          • Re:侵入? 盗聴? (スコア:1)

            by hoihoi-p (5571) on 2008年07月05日 14時33分 (#1377309) 日記
            >#そもそも法人向けでは、最近はUSB用のICカード認証が主流だと思う
            なるほど、そうですか。
            ちなみに、ハローワークのスタッフ用マシンは、指紋認証ですね〜。

            >電子証明書が流出しない限りは問題はないはず・・・。
            opensslの自己書名なんて意味ない訳だ。 だって、CAもそこにあるから、幾らでも増産出来るし。

            #話がそれてる。ごめんなさい。
            #そもそも、ウイルスよりいや。侵入なんて。
            --
            hoihoi-p  得意淡然、失意泰然。
            シェア
            親コメント

    • Re: (スコア:0)

      by Anonymous Coward
      ATMのOSがWindowsであるかどうかは、今回の件に全く関係ないわけね‥‥。

      • Re: (スコア:0)

        by Anonymous Coward
        というか今、この手の機械ってほとんどWindowsじゃねーの?

        「我々の生活に欠かせない様々な機械にWindowsが」というジョークがもてはやされた時代もあったなぁと懐かしく思う…
        まだそれから10年も経ってないような気もするが

  • T1000が (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2008年07月04日 16時25分 (#1376629)
    やってきますよ

  • 責任の所在 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2008年07月04日 16時11分 (#1376618)
    えーっと、

    セブンイレブン に置いてある
    Citibank のATMで、でも所有者は
    Cardtronics で、さらに運営者は
    Fiserv だと。

    責任転嫁合戦にならなきゃいいが

  • citybank 普通に偽札入れてるからなあ (スコア:0)

    by Anonymous Coward on 2008年07月05日 23時06分 (#1377609)
    ロスに入国したばかりのクラスメイトが、citybankのATMで$100ウィズドロウして、
    コリアンタウンのスーパーマーケットで食料買ってそのお金で支払ったら、警察呼ばれたよ。
    財布にはまだ日本円とその$20、4枚(1枚は支払ったから)しかなかったから、それしか考えられないと訴えたんだけど、
    共犯扱いされたり、家宅捜索されたり、印刷機はどこだとか、まったく信じない。

    偽札かなりの罪になるから、速攻逮捕でそれ以来消息不明・・・
    そんな事があるから、ATMで何が仕込まれてもおかしくない と思っている。
    偽札チェッカー速攻で買いましたよ
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家