ATM をハイジャックする方法、Black Hat で発表される 50
ストーリー by reo
衝撃の事実 部門より
衝撃の事実 部門より
ある Anonymous Coward 曰く、
セキュリティ関連のカンファレンス Black Hat にて、ATM をハイジャックして金を引き出す方法が発表されたそうだ。発表者は IOActive Labs 所属のリサーチディレクタ、Barnaby Jack氏 (Black Hat の発表概要、SFGate の記事) 。
Black Hat での発表では、スタンドアロンの ATM を使用して実際に ATM をハイジャックするデモを行ったそうだが、同様の手法で一般的な ATM についてもハイジャックが可能とのこと。
今回発表されたハイジャック手法は、ATM の筐体内部にアクセスするための (物理的な) 鍵を偽造するというもの。Jack 氏は一台数千ドルもする ATM を 3 台購入し、その鍵やインターネット上で公開されていた鍵の写真から、そのメーカーが製造した、そのモデルの ATM がすべて同じ鍵を使用していることを発見。これを用いて筐体を開け、内部の USB スロット経由でプログラムを ATM に送り込むことで、ATM 内の金庫を開けることができてしまうそうだ。
そもそも (スコア:4, 興味深い)
私が、仕事で鍵扱ったときは、そうでしたけどね。
本当に鍵が一緒で設置されてるとは到底思えないんですが。
えーと (スコア:1)
えーと、ATMとブース自体の警報装置の解除は???
まさか、メリケンでは裸のATMが野ざらしなのかいボブ!?
Re: (スコア:0)
野ざらしなんかにしてたら、ATMごと持ってかれるだろ...
日本ですら、たまに持ってかれるのに。
Re: (スコア:0)
どうするんですか?
Re: (スコア:0)
中国ではこんなところもあるくらいだからね。。。
http://gigazine.net/index.php?/news/comments/20090323_atm/ [gigazine.net]
Re: (スコア:0)
世界には色んなATMがあるんだなー
http://karapaia.livedoor.biz/archives/51741748.html [livedoor.biz]
Re: (スコア:0)
鍵を使って筐体を開ける場合でも、警報装置の解除が必要なものなの?
#警報装置も同じ鍵で解除できたらさらに泥沼か
Re: (スコア:0)
そういや、映画のターミネータ2で、ジョンがハックして
金を取り出してたATM、野ざらしだったような記憶があるけど・・どうだっけ・・
Re: (スコア:0)
皆が行き交う歩道に面した壁にATMが付いてたりしますね。
犯罪者大国である米国のATMが、治安が比較的良い日本のATMよりも危険な
状態で提供されてるのって違和感がありますけど。
Re: (スコア:0)
Re: (スコア:0)
カードを挿入するまでは画面や現金入出口はシャッターの中に隠れていたりしますよ。
あと、人通りがある程度は有る箇所にしか設置されてないと思います。
#パワーショベルでごっそり持って行かれたらしらんがw
Re: (スコア:0)
米国でもヨーロッパでもよくみかけました。
そんな面倒で不確実な方法より (スコア:0)
盗んだユンボで走りだす方が手っ取り早いぞ
Re:そんな面倒で不確実な方法より (スコア:1)
真っ青な札を手に入れて、自販機ででも使えるならそれでもいいでしょうけどね。
Re: (スコア:0)
Re: (スコア:0)
ユンボはレンタルのニッケンの登録商標です。
それはさておき
油圧ショベルとかの鍵ってけっこういい加減なものしか付いてないらしいですよ。
ハイジャック? (スコア:0)
Re:ハイジャック? (スコア:1)
Re: (スコア:0)
ご教授
役不足
すべからく
New! ハイジャック
Re:ハイジャック? (スコア:2, 興味深い)
他はともかく○○ジャックは結構歴史が古いというか応用例が多すぎるのでは。
カージャックとかシージャックとかTVジャックとかステレオピンジャックとかユニオンジャックとか。
Re:ハイジャック? (スコア:1)
バイオレンスジャックが抜けてます。
らじゃったのだ
Re: (スコア:0)
メタルジャック
Re: (スコア:0)
ボンジャック
Re: (スコア:0)
Re: (スコア:0)
いいえ Barnaby Jack です(違
Re: (スコア:0)
クジャク
Re: (スコア:0)
ジャックはありえない
微妙だけどこれであってると思うよ
Wikipediaとかで調べてみるといい
Re: (スコア:0)
つまりATMは交通手段なんですね?
Re: (スコア:0)
まぁ、強弁すれば、経済の交通手段と言えなくもない。
# 「理屈と膏薬はどこにでもくっつく」(日本のことわざ)
Re: (スコア:0)
hijackの対象は交通手段とは限らないようです。
オンライン版Longman英英辞典より
http://www.ldoceonline.com/dictionary/ [ldoceonline.com]
hijack
(2) to take control of something and use it for your own purposes
Re: (スコア:0)
ATMは乗り物じゃないですね。
> ジャックはありえない
ついでに“密猟者を意味する「Jacker」”から由来しているそうなので、ATMの密猟ってことでジャックはありでしょう。
I will always love you. (スコア:0)
ジャーーーーーック!!!
マスターキー (スコア:0)
何故マスターキーを製品に付けるのか分からん。
もしかしたら錠自体が同じなのかも知れないけど、どちらにしてもセキュリティの欠片もない。
Re:マスターキー (スコア:2, 参考になる)
それぞれのキーの形状や、インターネットで得た同じATMのキーの写真から、
マスターキーの形状を発見。
それを使って内部に物理的にアクセスできるように開け、そこから
電子的なハッキングをしたということなのではないかと読めた。
なんかわかってないようにも思えるけど、マスターキーって、
それぞれ違うカギを使っているドアとかに対して、どのドアでも
開けることができる1つの特別なカギのことだと思うよ。
当然それは製品には付いていなくて、メーカーが持ってる。
Re: (スコア:0)
どこを読んでるんだ。全部同じ鍵だったと書いてあるだろ。
安物HDラックとかの鍵が共通なのと一緒で、鍵というよりは特殊工具だな。
#それをマスターとは呼ばないのは同意だが
Re:マスターキー (スコア:2, おもしろおかしい)
200番…
Re: (スコア:0)
単に取り外しが出来るドアノブだったんじゃない?
脆弱性があったのは、USBポートからプログラムを
流し込んで云々、のほうなんじゃないかという気がする。
古典的手法 (スコア:0)
むかし中国で、銀行のオンラインを乗っ取って自分の口座の預金額を自在に操ったハッカーの手口が、深夜銀行の屋根裏に忍びこんでネットワーク回線を分岐してPCに繋いで操作してたって話しを思い出しました。
そういえばHDDマウンタの鍵やサーバーラックの鍵って、全部同じですよね?
あれって情報漏えいや盗難防止上はたして意味があるんでしょうかね。
Re:古典的手法 (スコア:2, 興味深い)
最近の流行は、電気錠らしい。(管理室で集中管理)
・ラックを固めてもケーブル類は保護できないので、あんまり意味ないと思う。
notice : I ignore an anonymous contribution.
Re: (スコア:0)
Re: (スコア:0)
一般的な話だけど、電気錠って、施工がまずいと物理的な鍵よりおもいっきり脆弱だよ:)。
電気錠の管理用ケーブルがモロに出ているのとかを見ると、アホの子施工じゃないかと思ってしまう。
ついでにいうと、サーバーラックの鍵は発注時でなくても後からでもユーザー交換可能だね。
Re:古典的手法 (スコア:2, 参考になる)
警備が取り押さえに駆けつけるまでの時間を稼ぐのが目的なので、おざなりなんでしょう。
(特殊な形状のネジを床下に落とし、あわてて潜ったら……思い出しくないので以下略)
notice : I ignore an anonymous contribution.
Re: (スコア:0)
ネジの件はご愁傷様で・・・。気をつけてください。
本気の客はラック貸しの部屋をスペースで借りて天井はもとより床下まで全部物理的に隔壁を作って
しまいます。(データセンターの運営側からすればすごく迷惑なんですが・・・)
ケーブルルートも鉄管入れてその中にケーブルを収納する勢い。
いろんな発想があるもんです。ていうか、そこまでしてすぐ撤退するのは反則(涙)。
意外と安いな (スコア:0)
>Jack 氏は一台数千ドルもする ATM
おおよそ数十万ってことだよね?
3台も買う気はしないが、1台だけなら買えそう。
というか、身元確認しないまま売っていいのかよ。
確認してもしょうがない (スコア:0)
security by obscurityでぐぐれ
弟子の名は「ジョン・コナー」 (スコア:0)
ATMって (スコア:0)
なんだ、そっちのATMの話ね。それなら大した問題じゃないな。また、電話網 [wikipedia.org]が攻撃を受けたという大問題かと思っちゃった。
# という不自然なコメントを付けてみたり
Re: (スコア:0)
なんだ対戦車ミサイルのことじゃないのか。
とボケてみる
何のためにやってるの? (スコア:0)
高価なATMを3台も購入してクラッキングする方法を開発したのはわかったが
それによってIOActive Labsって会社はその投資に見合う収益があるのだろうか
Re:何のためにやってるの? (スコア:1)
うまくいったなら、教えてくれないんじゃないでしょうか。