「現金保管金庫付きWindowsマシン」として狙われるATM 32
ストーリー by hylom
コモディティ化 部門より
コモディティ化 部門より
あるAnonymous Coward曰く、
Trend MicroとEUROPOL(欧州刑事警察機構)による「Cashing in on ATM Malware」(PDF)というレポートで、ATMを狙うさまざまな攻撃が紹介されている(ZDNet Japan)。
このレポートでは、現代のATMについて「現金保管金庫付きのWindows PC」と評しており、マルウェア作者の格好のターゲットだとしている。しかし、多くのWindows採用ATMではサポートが終了した古いWindows OSが使われているケースがあるという。
ただ、ATMのOSやハードウェアは通常はATMに搭載されているインターフェイス以外からは直接アクセスできない。そのため、銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる攻撃手法があるという。台湾ではこういった手法によって実際に250万ドルが盗まれる事件が発生しているという。
>銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる (スコア:5, すばらしい洞察)
外部から事務系ネットワークを経由してATMまで辿り着くって、そっちの方がすごくないか。
Windowsガーとかいう話してる場合か?
Re:銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる (スコア:2)
勘定系のネットワークは別途認証が必要で手が出せないんじゃないかな?
ATMからの入金でもWindowsはトークンをスルーするだけで勘定系が確認する構造だとやっぱりATMを乗っ取っただけじゃ足りない。
で、ATM乗っ取られても入出金出来ない筈だから、物理ネットワークも甘かったと。
それに、銀行内で送金しても現金を入手するには口座が必要だから、そこから足が付く。
今の欧州だと、不正口座の方が下手な現金より隠匿する価値が有る様な気がする。
所が現金を出す側が、CPUの安全性を前提にしてポート叩いたら金が出る様な安易な構造だったんじゃないかと。
で、今後の対策には、制御マイコン(Windowsじゃ実時間管理が無理っぽいから多分乗ってる)にもID乗っけて、勘定系がIDを送る構造に改める事になるのかな?
-- Buy It When You Found It --
Re:銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる (スコア:0)
今時「Firewallがあるから大丈夫」という考えの人が内部ネットワークを作ると怖ひ、って話でしょうか?
その甘々な状況を前提に内部システムが組まれていたりすると修正すら出来ない事態も発生するし。
Re: (スコア:0)
大丈夫と思ってたわけでもないけど、そもそも最初作った連中の技術力の問題で
セキュリティが穴だらけ。しゃーないのでファイヤーウォール必須というのならあった。
金かけて作り直せばなんとかなるんだろうが、そんな金も時間も(もちろん技術力も)ない。
ATMほど信頼性が必用なシステムじゃないのが救いだったな。
Re: (スコア:0)
辞書にもある普通の言葉だと思うけど何か引っかかった?
Re: (スコア:0)
この場合必要じゃないかな…必要ならファイアウォールが必用だとか?いや必ずしも必用ではないし必ずしも必要でもないか?
Re: (スコア:0)
たしかに辞書をみれば同音異義語なんてワンサカありますな
Re:銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる (スコア:0)
ATMは結局銀行と通信してるから、
銀行側がやられてたら素通りなんじゃないの。
Re:銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる (スコア:1)
銀行側がやられていたらATMみたいな小銭よりもっと大きなお金を盗むんじゃないの?
Re: (スコア:0)
預金残高を書き換えても結局のところ引き出さないと足がつくのでどのみちATMの乗っ取りは必要でしょう。
預金口座を不正に入手する手はあるがその場合口座の提供者経由で足がつきそう。
Re: (スコア:0)
ATMは必要かもしれないけどATMをハックする必要は無いな。
Re: (スコア:0)
だから銀行側をやっちゃえてる方が問題であって、ATMには古いWindowsガーの問題どころではないのでは、という指摘でしょう。
Re: (スコア:0)
ATMを経由しないと取引ログとの整合性が取れないせいですぐバレるとか。
Re: (スコア:0)
銀行がやられて居たらATMどころの騒ぎではないだろ。
でもって、ATMって銀行としか通信しないだろ。
Re:銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる (スコア:0)
すば洞あげたい時に限ってモデがない
Re:銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる (スコア:0)
難易度はどうかで言えば、かなりの高難度。
そっち系のプロの犯罪集団で、内通者もいないと難しいだろう。
そこまで手間暇かけて莫大な予算も投じて、しかしそれ以上の犯罪利益が見込めならやるのが犯罪組織。
彼らにとってはビジネスだから。
金融機関の防犯対策を構築する側のキーマンを抱き込むところからやるんだろうね。
ハード、ソフトを攻略するのは犯行のごく一部にすぎないんと違うかな。
Re: (スコア:0)
この線をぱちんとつないだら、イントラネットを遠隔保守できる。って線、残してませんか。
「(電話)すみません、遠隔保守の者ですが…。」
イントラネット内の端末更新用だから、更新パッケージの署名検証、…してますか。
Re: (スコア:0)
ネットに悪人がいなかったら世の中もっと便利になっていただろうになあ。
Re: (スコア:1)
△ネットに悪人がいなかったら世の中もっと便利になっていただろうになあ。
◎世の中に悪人がいなかったら世の中もっと便利になっていただろうになあ。
悪人にとっては特に自分以外の悪人が居なければ最高のはずなんだろうなぁ
Re: (スコア:0)
皮肉に野暮レス
Re:銀行の社内ネットワークを攻撃し、そこからATMにマルウェアを感染させる (スコア:0)
事務系ネットワークには通常の標的型攻撃でマルウェアを仕込んで、ATMネットワークと事務系ネットワークの両方に接続した機器を乗っ取ったのかなぁ…事務系からATM系にVPNする手段を持った事務系端末があってもおかしくはないだろうし。
「事務系端末、ブリッジないしはVPN権限持ち事務系端末、ATMの全部がWindows機器だった」
て可能性は十分ありそう。
台湾First Commercial Bankの場合 (スコア:5, 参考になる)
ストーリーにあるPDFの20ページ目からに載っている。
ATM固有の話というより、標的型攻撃の怖さが示されている事例だと思う。
①フィッシングメールを使って英国支店のネットワークに侵入。
②イントラネットの音声記録システム(voice recoding system)をクラックしてドメイン管理者のcredentialを入手。
③VPN経由で台湾本社のネットワークに侵入、いくつかのサーバを乗っ取る。
④ATMアップデート配信サーバにログインし、ATMへのtelnet通信を可能にする不正なアップデートプラグラムを配信する。
⑤telnetでATMにログイン、コントロール奪取に成功。
ATMアップデート配信サーバがATMへの侵入経路になったったぽい。
日本の銀行だと、ATMは物理的に別ネットワークにしてるところが多いんじゃないかとは思うが、
何らかの経路がある限り、100%安全ってことはないって話だな。
Re: (スコア:0)
台湾の第一商業銀行(ファースト・コマーシャル・バンク)の件で、確か去年の7月だったような。
なぜ今頃になってこんな話が出てくるのでしょうね。
Re: (スコア:0)
その事件についての詳細な分析が発表されたって事でしょ。
Re: (スコア:0)
> ATMへのtelnet通信を可能にする不正なアップデートプラグラムを配信する。
古いWindowsがどうのこうのって次元を超越してるなぁ……
ATMのネットワーク内でWindowsの脆弱性を突いたとかですら無いのか。
内部犯行説 (スコア:0)
ATMまでの経路に加えて、ATM自体のインターフェイスの実装判ってないと端末から盗み出せないんじゃないかな。
Re: (スコア:0)
こういうことをやる連中はスクリプトキディのレベルじゃない。
本格的なハッキング/クラッキングの素養がある連中だから
インターフェースの情報もネットorソーシャルで取得するだろう。
#ダークサイドに落ちた達人的な?
Re: (スコア:0)
ATMデバイスの中にまで入れたら稼働中のATMプログラムを逆汗してけば分かる事。
一方、日本では (スコア:0)
保守サービスマンが、ウィルスに感染したPCを銀行のネットワークに接続してATMに感染させたという実例がある
ATM単体のクラックだけでも出金できますよ (スコア:0)
つ 縮退モード からぁの、メンテナンスモード
#HW故障時に現場対応するときの動作モードに入れりゃ、
#カートリッジ内の札を全部吐き出させることぐらいはできる
ま、金融機関をハックする連中の仕事と比べればはした金だけど
おそロシア (スコア:0)
https://blog.kaspersky.co.jp/sas-2017-atm-malware/15143/ [kaspersky.co.jp]