ATMにスマートフォンをかざすだけでハッキング? NFCに見つかった脆弱性の深刻度

非接触クレジットカードに対応したシステムの脆弱性を突いてATMから大量に現金を吐き出させたり、レジを誤操作させたりできる手法を研究者が発見した。近距離無線通信(NFC)リーダーのチップの脆弱性によるもので、いまだに脆弱性の多くは機器に残っている可能性が高いという。

TEXT BY ANDY GREENBERG

WIRED(US)

セキュリティ研究者とサイバー犯罪者たちは何年も前から、あらゆる手段を使って現金自動預払機(ATM)の内部に入り込んでハッキングを試みてきた。フロントパネルを開けてポートにUSBメモリーを差したり、ドリルで穴を開けて内部の配線を露出させたりといった手法だ。

こうしたなかATMのみならず、さまざまなPOS端末まで新たな方法でハッキングできるバグを研究者が発見した。非接触型のクレジットカードリーダーにスマートフォンをかざすだけでハッキングできるというのだ。

セキュリティ企業IOActiveの研究員兼コンサルタントのジョセップ・ロドリゲスは、このほど1年かけて世界中の何百万台というATMやPOSシステムに使われている近距離無線通信(NFC)リーダーのチップの脆弱性を調べた結果を報告した。

NFCのシステムがATMに搭載されていれば、クレジットカードをスワイプしたり挿入したりする代わりに、リーダーにかざすだけで支払いを済ませたりATMから現金を引き出したりできる。世界中の無数の小売店やレストランのカウンター、自動販売機、タクシー、パーキングメーターなどに設置されている。

このほどロドリゲスは、クレジットカードの無線通信をスマートフォンに模倣させることで、NFCシステムのファームウェアの欠陥を悪用できるAndroidアプリを開発した。これによりスマートフォンをかざすだけで、さまざまなバグを利用してPOS機器をクラッシュさせたり、ハッキングしてクレジットカードのデータを収集して送信したり、目に見えないかたちで取引額を変更したり、ランサムウェアのメッセージを表示させて機器をロックしたりできる。

ロドリゲスによると、少なくともある特定のブランドのATMについては、現金を強制的に払い出させることさえ可能であるという。ただし、この「ジャックポット」と呼ばれるハッキングは、ロドリゲスがATMのソフトウェアに発見した別のバグとの組み合わせでのみ機能する。ロドリゲスはATMベンダーと秘密保持契約を交わしているため、こうしたバグを特定したり公表したりはしていない。

「例えば、レジの画面には50ドルを支払っているように表示されていても、ファームウェアをいじって価格を1ドルに変えることができます。機器を使えなくしたり、特定の種類のランサムウェアをインストールしたりすることもできます。できることはたくさんあるのです」と、ロドリゲスは自身が発見したPOSへの攻撃について語る。「攻撃を連鎖させて、さらに特殊なデータをATMのコンピューターに送信すれば、スマートフォンの画面をタップするだけでATMに現金を吐き出させることがでるのです」