ATMにマルウェアが仕込まれる時代? 71
ストーリー by otk
でも、どうやって? が問題 部門より
でも、どうやって? が問題 部門より
taro-nishino 曰く、
本家/.でも取り上げられていますが、ロシアの銀行でATMにマルウェアが仕掛けられる事件があったとのことです。そのATMはWindowsベースのものですが、製造元のDiebold社でも1月にそういう事件があったことを認めており、ユーザに注意喚起しています。詳細は明らかではないのですが、このマルウェアは物理的アクセスにより仕込まれたようです。
一方、SophosのVanja Svajcer氏は、次のように説明しています。
- ATMはしばしば、非標準のOSで動いている。
- たとえWindowsで動いているとしても、組込みWindowsはカスタマイズされている。
- ATMは特殊な、文書化されていないハードとソフトのインターフェースを使っていて、リバース・エンジニアリングは非常に難しい。
- ATMは通常、独立したプライベート・ネットワークに接続されており、マルウェアがたやすく侵入することはないだろう。
- 物理的なアクセスは可能だが、マスター・キーなしで装置がアクセスされていることを感知するセンサーが多く付いている。
さらに、Sophosのマルウェア・データベースに登録されていた3件の類似マルウェアを調査し、アタッカーがTrojanをインストールするためにはATMに物理的にアクセスする必要があり、そのマルウェアはDiebold製ATMの内部情報に詳しいプログラマの産物であろうと論じ、結論としてATMをターゲットにするマルウェアが流行することはないであろうと述べています。
タレコミ子は、日本国内のATMがどのメーカーで、どのOSで動いているのか知りませんが、ロシアのハイテク犯罪を見ると、遅かれ早かれ日本でもこういうことが起きる予感がしてなりません。
ATM なんてもう使ってないよ (スコア:4, おもしろおかしい)
ギガビットイーサになったから。
#すみません、すみません、すみません、オフトピで落としておいてください。
Re:ATM なんてもう使ってないよ (スコア:1)
一時はATMを用いるタイプしかなかったのに,気がついたらIPベースの新装置に置き換えられるのが既定路線になった弊社の某装置のことかと思った.いやもうマジで.
そうじゃないだろう!
Re: (スコア:0)
ATMで落とせるのは戦車と相場がきまっとる
日本のコンビニATMもあぶなくね? (スコア:3, 興味深い)
ちょろっとタッピングしたらどんな情報が見られるだろう。
気になる。
アプリが落ちていたら (スコア:2, 参考になる)
海外でアプリが落ちてデスクトップが見えているような状態のWindows端末に遭遇したことがあります。
(携帯電話会社の料金支払機でした)
スタート>コマンドを指定して実行>osk.exe
ソフトウェアキーボード上げたらもうやりたい放題と思われました。そこから先は自重しましたが。
OSが落ちていたら (スコア:1)
国内なんですが、人の待ち行列がないので、前に立ったら、Windowsが落ちてブルー画面になっているATMをみたことがあります。
その日が、休日だったみたいで、そのまま放置されていました。
月曜日まで、そのままだったのかなぁ・・・
Re: (スコア:0)
朝一で引き出そうと待っていたら、Windows3.1の起動ロゴのまま止まっていた端末があって
さすがにその店舗で引き出すのはやめました。
Re:国内で見たよ (スコア:0)
某大手都市銀の、銀座に近い支店に置いてあったATMで
あきらかにWindowsの起動エラーと思われる画面を見たことがあるよ。
#alt+ctrl+delete押したくてもさぁ、テンキーと確認ボタン程度しかないんだよな。あれ。
ロシアのことだから (スコア:2)
Z80が複数個入ったハードウェアに独自のOSを入れているにちがない。
スペースシャトルにもSystem360が搭載されているぐらいだから
ソ連邦時代の宇宙開発ならまだしも (スコア:2)
天駆けるHitBit [srad.jp]
でも今のロシアにはそのような統制はありませんよ。狙われたATMはアメリカのDiebold [diebold.com]社のものですし。
おまけ:Diebold Security - View our ATM Security Multimedia Presentation [diebold.com]
Re:ソ連邦時代の宇宙開発ならまだしも (スコア:1)
Re:ソ連邦時代の宇宙開発ならまだしも (スコア:1)
それはもしかしたら「16bit級」と判断されてのことかも。
偽物のATM (スコア:2)
口座番号や暗証番号を盗み出す目的なら、本物のATMを攻略するよりも偽ATMを設置しておく方が簡単そうです。
HIRATA Yasuyuki
ハックするのは意外と簡単 (スコア:2, 興味深い)
ATMへ入っているLANの線をタップできれば、セキュリティーレベルは驚くほど低い。
通信プロトコルだってリーバスエンジニアリング可能な場合が多い。
すべての銀行のすべての支店にIDSが設置されているかというと、そんなことはないし、
すべての銀行のすべての機器が暗号化した通信をしているわけでもない。
内部の人が仲間に入れば無線LANなど簡単に設置できるので、
近所にホテルがある支店を狙えば、誰に見られることなく、じっくりと侵入を試みることができる。
じゃあ、なぜそんな犯罪が起きないか?
理由は単純至極、口座の残高を増やせても、それを現金化するのが難しいからである。
振り込み詐欺においても現金化するところが一番リスクが高いので、
低所得者を出し子として雇うことにより、安全に現金化しようとしている。
それに、老人に電話をかけて振り込ませるのは、低い教育水準であっても誰にでもできるから。
ATMの通信ハックして口座番号と暗証番号を抜くのに必要な技術力はたいしたレベルじゃないけど、
そのレベルでも飯を食っていくには十分だ。なにも犯罪に手を染めなくても。
Re:ハックするのは意外と簡単 (スコア:1, 興味深い)
「目で見て確認できない」ソフトウェア的な防御と
「目で見て確認できる」物理的防御
どっちがより現実的かつ経済的なんだろう。両方やれ?そりゃごもっとも
海外の事例ばかりですね (スコア:1, 興味深い)
ATMにマルウェアを仕込むよりも、重機で丸ごと盗み出して破壊したほうがいい、っていうことなんだろうな。
ちなみに日本でATMにWindowsを最初に採用したのは沖電気だったかな。
日本初どころか世界初だったかもしれん。
当時はまだマイクロソフトは日本の大手メーカーを特別扱いしてたからの。
Re:海外の事例ばかりですね (スコア:1, おもしろおかしい)
ATMで金をおろすたびに、ローンの広告が表示され、甚だ不愉快です。
「案内をみない」を選択するという、無駄なワンオペを強要されるたびに、
企画者の愚鈍な無神経さに気分が悪くなります。
そんなに気に食わないなら銀行を変えればいい、ですって?もっともです。
問題は、どこに変えるか、なんですよ。
Re: (スコア:0)
>そんなに気に食わないなら銀行を変えればいい、ですって?もっともです。
みずほのATMを使わなければいい。
10万円ほど入れておけばコンビニATMもタダで使えるから問題なし。
以下オフトピ。
あの広告、どうせ給与振込額がそれなりか、預金残高がそこそこあるかって客にしか出してないんだろうなー。貸し倒れリスクのある客を捕まえてもしょうがないし。確かにウザ過ぎるのだけど、銀行にとって無担保消費者金融はかなり収益率が高いからやめられないんだろうなーって思う。ATMにアドウェア仕込んだみずほは時代から進みすぎたけど、どこの銀行でも無担保の小口ローンは必死で宣伝してるし。
とは言っても、銀行が貸したがる客層に小口のカードローンなんて必要かと言えば全然必要ないわけで(たとえば預金残高が常に500万超えてる客に極度額30万のローンなんて必要か?)、広告打つ場所間違えすぎてるなーってのは感じてる。
Re:海外の事例ばかりですね (スコア:2)
> あの広告、どうせ給与振込額がそれなりか、預金残高がそこそこあるかって客にしか出してないんだろうなー。
はい、給与振込口座にしてますが出ません!
[udon]
Re: (スコア:0)
銀行にとって、あまりおいしい客ではないのかも。
カードで買い物することなんてめったに無く
たまの買い物も基本は現金払いで、カード使っても一回払いで済ますし
時間外でATMからの出金は、しょっちゅうだし
Re:海外の事例ばかりですね (スコア:1)
マイホーム貯金→家を買うために蓄えるお金。
マイカー貯金 →車を(ry
から、帰納的に
タンス預金 →タンスを買うために蓄えておくお金。
ということになりますがいいですか?よくないですね。
Re:海外の事例ばかりですね (オフトピ) (スコア:2)
Re: (スコア:0)
日本で同じ犯罪やろうとすれば証拠が残りすぎるからだと思いますよー。ATMの周囲にはほぼ例外なく防犯カメラがありますから。ATMの近くで変な体勢でチマチマ作業してたら、それだけで警備員に取り押さえられるか警察呼ばれるか、完遂したとしても映像に証拠を残してしまいます。
覆面して重機に乗って短時間で遂行するほうがよっぽど安全で確実です。
Re:海外の事例ばかりですね (スコア:2, 参考になる)
単純に銀行ごとにシステムが独自実装になっているために、内部情報に詳しい者でないと
犯行を行えないだけかも。仮に行ってもすぐ容疑者が特定されるので、防犯カメラの記録と
会わせるとリスクが大きすぎると。
あと他スレにも出てるけど
>んなもん、もっとお手軽でセキュリティの弱い人間というやつを狙った方が早いわ。
>日本じゃ詐欺事件が流行り放題ではないか。
クレジットカードと携帯電話の普及率が高い上に高額の振り込みもフリーパスなので、
振り込め詐欺の方がずっと成功率が高いんでわ。おまけにたとえバレた時でさえも
逆探知が事実上不可能だから捕まるリスクが非常に低い。
よし、見習おう! (スコア:1, おもしろおかしい)
ドキュメントが出来てないのはセキュリティを考慮してるからですよ
決してExcelで仕様書を書けって指示を嫌がってるからじゃないんです!
Re:よし、見習おう! (スコア:1, 興味深い)
>情報が属人化してるってことでしょ。
そうとも言うけど、職業プログラマーの質が低すぎるのも問題。
一昔前ならドキュメントなんてなくてもソース見れば分かる(バイナリ見ても分かるってキチガイもいた)ってのが当たり前だった気がするんだけど、今はドキュメントないとワカリマセーンって低レベルの人が多すぎ。で、ドキュメントの不備があれば自分が作ったバグもドキュメントのせいにして逃げたり。
クラックする側は全て自力で攻略しているので(スクリプトキディとかは置いといて・・・)、スキルレベルでクラッカーに太刀打ちできないというとんでもない事態になってるんじゃないのかな。で、独自開発して仕様を隠蔽すれば安全とか寝ぼけたこと考えてみたり。それこそが最大のリスクだと思う。
Re:よし、見習おう! (スコア:2)
いまだにインデントちゃんと出来ないのとかいますからね。 IDEに書式整形機能あるのに凄いことになったりしてるし。
#しかも独自ルールでもなくて前後で統一性がまったく無い。
これはマトモなソースだからわかるんじゃないかと。
Re:よし、見習おう! (スコア:2)
>> 職業プログラマーの質が低すぎるのも問題。
>いまだにインデントちゃんと出来ないのとかいますからね。
「インデントさえちゃんと出来ない」のは問題だけど、
「インデントだけに拘る」のはもっと問題。
これは一体どちらかな。
いくら優れたプログラマでも、他人の作ったコードの一部を修整してたりすれば、
たまにおかしくなることくらいあるし、インデントくらい狂っていてもIDEのオート
インデント一発で修整できるんだから、現在では大きな問題ではない。
むしろクラス設計とか変数名とかコメントとか、IDEでは修整できない部分の方を
きちんと作って欲しい。初心者には無理だけど。
Re:よし、見習おう! (スコア:2)
もちろん『インデントさえ出来ていれば良い。』ってことでは有りません。
偶々かもしれませんが、クラス設計や変数名が普通に書ける人で、 インデントがちゃんと出来ていない人に会ったことが無いため、 あのような表現になっています。
Re:よし、見習おう! (スコア:1)
「めちゃくちゃなプログラムでも、理解するのは難しくない」かどうかは、プログラムの種類にも寄るんじゃないですかね。
数値演算系のプログラムで「どういう式に基づいて何を計算しているのか」が分からなかったらつらいですよ。
「方程式を立てて、代数的に解いて、その最終結果だけがコードになってる」ようなプログラムの
最終的なコードを見ただけでその式が正しいか判断するのは難しいです。
#たとえば、FFT のコードに何のコメントも無かったら、そのコードから「フーリエ変換を行ってる」と読み解き「フーリエ変換として正しいかどうか」を判断することが出来ますか?
#まあ、FFTなんかは有名なアルゴリズムなので、基礎知識があればアタリを付けることも出来るでしょうけど、
#その手の「最適化された演算」を行う下請け関数がずらずらと並んでたりすると、インプットとアウトプットは分かっても、
#途中の意味が分からず、コードが正しいかどうか検証できなかったりします。
「大学の研究室が自分とこの研究成果のアルゴリズムを実装したプログラム」のリファクタリングをやったことがありますが、
非常に綺麗なソースで、その処理の流れも明確なのですが、コメントは関数毎の説明だけで、ドキュメントも全然なく、
コードからの意味読み取りがほとんど出来なかったです。
結局、核となる部分は論文の方から読み取ることになったり。ていうか、その方が早い。
まあ、この場合は「論文」という名の、途中の計算過程をちゃんと述べた仕様書があったのでなんとかなったのですが、
そういうのが無い場合は、自分でもう一度定式化するところから始める羽目になったりして、すごく効率悪いです。
#コード中に数式なんかを入れるのは面倒なので、たいてい紙のノートに残してたりするのですが、昔のノートが行方不明になったりとか。
#数式だけなら、TeXスタイルで書くとか方法はありますが、図まで出てくるとテキストベースで残すのが難しい。
特殊なハードウェアって? (スコア:1, 参考になる)
POSやATMで使われているんでしょうか?
長崎屋とかにおいてあるPOSは、普通にIBM PC互換機のようです。
ソフトウェアキーボードと言わず、本体に繋がっている
POS操作用のキーボードが、普通にOSからキーボードとして認識されています。
単に、通常はPOSソフトが前面にいて、その操作しかできないというだけ。
具体的な手順は覚えていませんが、マウスなどの追加デバイスを使うこと無く
パスワードさえわかれば、POSシステムを終了して、キーボードからOS操作ができます。
ただ、104とか109とかの体裁も、QWETYとかDVORAKとかのわけがなく
手探りで、どこがQでどこがWでどこがEなのか探さないといけません。
出荷設定の上流のミスで、OS導入入れ直しになるおってときに遊んでみました。
#当時ぼくはCeleron/1000MHzよりも遅いPCを使っていたんだ orz
最近のPOSレジはPOSの皮をかぶったPC (スコア:0)
>具体的な手順は覚えていませんが、マウスなどの追加デバイスを使うこと無く
>パスワードさえわかれば、POSシステムを終了して、キーボードからOS操作ができます。
マウスは要りません、今時のPOSはタッチパネルですからね。
でも納入前ならともかく客先納入後レジを操作するには物理的な鍵が要りますよ。
BSOD ATMで検索すると (スコア:0, フレームのもと)
BSOD ATMで検索する [google.co.jp]と、/.Jの過去ストーリーがトップなわけですが…。
このストーリーは2003年で、同じDiebold社のATMのようだが、6年経っても状況が変わっていないのか?
それはそれとして、「非標準OSだから安全」、という主張は「Macだから安全」と同じくらい根拠がないと思います。
そして、「例えWindowsで動いているとしても、組込みWindowsはカストマイズされている」からといって、セキュリティホールが開いていればそれまででしょう。
「ATMは普通、プライベートで独立したネットワークにあり、マルウェアが届くことはないだろう」というのは、「インターネットに繋いでないから安全」とか言ってたお役所で、物理メディアで持ち込まれたマルウェアが蔓延した事実などもありますので、どうなんでしょうね。
キオスク端末をいじるにはそれなりの手順が必要 (スコア:4, 参考になる)
さらに追記。
>お役所で、物理メディアで持ち込まれたマルウェアが蔓延した事実
参考として引き合いに出したWindows POS の場合、システムパスワードの入力や物理的なキー操作が必要(オークションなどで公開されている情報)であり、Windows ATM に関してもおそらくそうなっていると思われる。このように通常はキオスクモード [atmarkit.co.jp]で運用されている端末で、Windowsシステムにフルアクセスできる管理者権限を奪うにはそれなりの知識と手順(マスターキーを奪ったりATMのパネルを外すなど)が必要。単に USB メディアを挿すだけで自動感染したお役所 PC とは訳が違う。
Card-sniffing trojans target Diebold ATM software • The Register [theregister.co.uk]にはさらに詳しい情報があった。
# 日頃は「OS/2だから Virus Free だ」と言って、ここ /. で叩かれているID(w
# このストーリーではオフトピックだからご遠慮願いたい
ネットワークは使わない (スコア:4, 参考になる)
タレコミ文の箇条書き部分とその後のつながりが解りにくいかもと思い、補足。Vanja Svajcerによるエントリの前半を要約すると、次のようになります。
つまり一般論として、ATMにおいてはマルウェアは効率が悪い、ネットワーク経由での侵入・拡散は難しく、ハードウェアでの攻撃になりがちなのはその表れでもある、ということを述べています。
ちなみに箇条書きの「組込みWindowsはカスタマイズされている」に相当する部分は直訳すると「Windows Embeddedのカスタマイズされたビルド (a customized build of Windows Embedded)」であり、「(デスクトップ/サーバ向け)Windowsの設定を変えて組み込んでいる」という程度の意味ではありません。で、続き。
以下分析して判明した内容が書かれていますが、今回のものをトロージャンとしており、ワームのようなネットワーク経由の拡散能力についての言及はありません。侵入したATMから暗証番号など盗み取って攻撃者による特定キー操作でプリンタに出力するものと推測されており、ネットワークを利用するものではなさそうです。
これは素人の推測ですが、ATMのような限定目的のネットワークであればイレギュラーな通信を締め出すのは容易でしょうし、そのように運用するのが普通でしょう。「USBメモリからデスクトップPCに、さらにLAN内に」というような感染事例との比較は適当でないと思います。
Re:BSOD ATMで検索すると (スコア:3, 参考になる)
WindowsベースのATMがNachiに感染 [srad.jp]
>6年経っても状況が変わっていないのか?
前回はネットワークを介して、今回は物理的な侵入経路ということなので違うと思います。ATMは知りませんが、Windows POSの場合背面パネルを開けるとUSBポートなどが標準装備されていますから、同じようにATMのメンテナンスパネルを開けたら、USBキーボードやストレージが接続できるのではないかと、容易に想像はできます。
# 自分が書いた懐かしい記事を見かけた気がするのでID
Re:BSOD ATMで検索すると (スコア:1, 興味深い)
>それはそれとして、「非標準OSだから安全」、という主張は「Macだから安全」と同じくらい根拠がないと思います。
MacOSは公開されてるが、「非標準OS」とやらも公開されてるのか?
Re:BSOD ATMで検索すると (スコア:1)
>「非標準OSだから安全」
セキュリティって結局、守る方も攻める方も費用対効果だからねぇ。
大して価値がないものにしか使われていないシステムならなくはない言い訳ではあっても
苦労してでも破る価値があるようなものには通用しないだろうね。
その点、ATMなんか破れば即お金だものねぇ。
ましてネット上で不確実なターゲットを探し当てなくても現物が物理的に特定できるし。
個人のPCでも最近は{クレジット|キャッシュ}カードの情報が入ってたりするから破りたい人にとって価値が上がってるわけだが…。
Re: (スコア:0)
Re: (スコア:0)
騙すなら人間 (スコア:0)
んなもん、もっとお手軽でセキュリティの弱い人間というやつを狙った方が早いわ。
日本じゃ詐欺事件が流行り放題ではないか。
やの付く人達以外にも、ど素人が参入して捕まってる位だし。
しかし‥あれだけ「~に注意!」と言われてるにも関わらず詐欺事件は絶えんな~。
少しは疑え!
Re:騙すなら人間 (スコア:1)
>しかし‥あれだけ「〜に注意!」と言われてるにも関わらず詐欺事件は絶えんな〜。
被害ゼロにはなってないけど、啓蒙の効果で減少傾向にある。
マスコミは増えたときだけ報道して、順調に減ってるときは報道しない。
印象として増え続けているように見えるがそれは間違い。
この数年では2007年の年末から2008年前半が増加で、それ以外は減少。
Re:騙すなら人間 (スコア:1)
>>しかし‥あれだけ「~に注意!」と言われてるにも関わらず詐欺事件は絶えんな~。
結果としてみれば「毎度毎度の詐欺事件」ですが、騙す側とて専門家。
日々様々な手法を開発しているコトでしょう。
大筋で同じ方法でも、枝葉を改良するだけでわからなくなったりするものですよ。
Re: (スコア:0)
Re:騙すなら人間 (スコア:1)
一網打尽にしようとすると、稼働コストが高くなるし、余計な物を拾うリスクも高くなるから、
計画段階で止められるのが優秀なSEと聞いた
Re: (スコア:0)
過去の事例 (スコア:4, 参考になる)
利息をちまちまと集める事例は知らないけれど、昔こんな事件もありましたよね。
75%キャッシュバックしてくれるATMクラック事件発生 [srad.jp]
地元紙 [wvec.com]の記事もどうぞ。結局犯人は捕まったのかしらん?
Re: (スコア:0)
Windowsと言えば… (スコア:0)
((((;゚Д゚)))ガクガクブルブル
Aaron Rashid
Re:Windowsと言えば… (スコア:1)