ドイツのセキュリティ調査会社Security Research Labs(SRLabs)のセキュリティ研究者によると、米国に拠点を置くVeriFone Systemsが製造するPOS端末Artema Hybridは、サイバー犯罪者が決済カードのデータや暗証番号を盗んだり、取引を改ざんしたりできる攻撃に対して脆弱だという。
VeriFoneによると、Artema Hybridデバイスは主にドイツ市場で流通しており、ドイツ銀行業界の利益を代表する組織であるドイツ信用金融庁(DK)のセキュリティ要件を満たすように設計されている。デバイス上で動作するソフトウェア(一般にファームウェアと呼ばれる)には、ネットワーク通信を処理するライブラリのセットであるネットワークスタックにバッファオーバーフローの脆弱性が含まれていると、SRLabsの創設者で主任科学者のKarsten Nohl氏が木曜日に語った。
攻撃者はこれらの脆弱性を悪用し、デバイス上で任意のコードを実行する可能性があります。SRLabsの研究者は、テストユニットを改造してPONG(古いアーケードゲーム)を実行できるようにしたとノール氏は述べています。しかし、攻撃者はこの種の不正アクセスを利用して、デバイスに挿入された決済カードの磁気ストライプデータや、顧客が入力した対応するPIN番号を記録する可能性があります。通常のデバイス動作では、PIN番号はデバイス内部の保護されたハードウェアセキュリティモジュールに保存された暗号鍵で暗号化されているはずです。
しかし、動作モードには様々なものがあり、PIN番号を暗号化するものと暗号化しないものがあるとノール氏は述べた。暗号化されていない場合、攻撃者はデバイスを改ざんしてユーザーを騙し、PIN番号を漏らしてしまう可能性がある。攻撃者は決済カードのデータとPIN番号を盗み取るだけでなく、取引を改ざんしたり、実際には発生していない取引を決済処理サーバーに報告したり、さらに興味深いことに、将来のある時点の取引を生成したりすることもできるとノール氏は述べた。これらすべては、ヨーロッパで広く普及しているEMVカードで可能だとノール氏は述べた。
EMVカードは、セキュリティ強化のためにチップが内蔵されているため、チップ&PINカードとも呼ばれます。EMV対応のATMまたはPOSは、取引を承認する前に、PIN番号とカードのチップに保存されているデータの両方の真正性を検証します。
ハッカーは、たとえば同じネットワーク上にあるコンピューターをハッキングした後など、ネットワークから脆弱な Artema Hybrid PoS デバイスを攻撃することも、シリアルまたはデバッグ (JTAG) インターフェイスを介してローカルに攻撃することもできます。
理論上は、POS端末をファイアウォールでメインネットワークから分離されたネットワークセグメントに配置することで、ネットワークベースの攻撃の可能性を制限できます。しかし、実際には、Artema Hybridのようなデバイスはネットワークが侵害されても安全であると宣伝されているため、実際にはほとんど行われていないとノール氏は述べています。
ノール氏は、VeriFoneが数ヶ月前に脆弱性について通知を受けていたと指摘した。しかし、責任ある情報開示の慣行を理由に、両社間の非公開のやり取りについてはコメントを控えた。
「VeriFoneは、ドイツで導入されているArtema Hybrid決済端末のアプリケーション整合性を侵害しようとする民間の独立系セキュリティ企業が実験室でのテストを実施したという情報を得ました」と、VeriFoneの副社長兼最高決済セキュリティ責任者であるデイブ・ファオロ氏は電子メールで送信した声明で述べています。「最初の兆候が見られて以来、当社はDKの認定研究所と緊密に協力して調査を行ってきましたが、攻撃シナリオを再現することはできていません。」
「Artema Hybridデバイスは、DKのセキュリティ要件を満たすように設計・テストされています」とファオロ氏は述べた。「今回報告された攻撃シナリオにおいて、セキュリティモジュールや暗号化されたPINが侵害されたことはありません。」
VeriFoneは、SRLabsが提案した侵害シナリオの影響を評価するため、独立した侵入テスト会社も雇用している。しかし、ドイツの研究者たちは、主張されている問題の独立した検証を可能にする詳細の共有を渋っているとファオロ氏は述べた。ドイツ信用銀行(DEK)は木曜日にウェブサイトに掲載した声明で、ドイツの銀行業界は、この新しい形態の攻撃を、たとえ理論上のものであっても真剣に受け止めていると述べた。たとえ攻撃者がクレジットカード情報と暗証番号を入手できたとしても、元のカードのICチップデータも必要となるため、悪用することはできないとDEKは述べている。
しかし、EMV技術は、同技術がまだ導入されていない国のATMとの下位互換性を持つように設計されていました。サイバー犯罪者がEMVカードからコピーした磁気ストライプデータを用いて偽造カードを作成し、米国などATMでICチップ情報が確認されていない国から資金を引き出す事例が既に発生しています。ドイツ信用銀行(DEK)はこの可能性を認め、ドイツのすべてのATMを接続する銀行間ネットワークであるGirocardシステム外でEMVカードが複製され不正使用されたことによる損害については、クレジットカード所有者は責任を負わないと指摘しました。
ノール氏は、VeriFoneや他のメーカーのデバイスが同様の攻撃に対して脆弱である可能性について推測を避けた。しかし、今回の事例は、POSデバイスの深刻な脆弱性が、銀行業界で現在使用されているセキュリティ認証プロセスにおいて見過ごされてしまう可能性があることを示していると、ノール氏は述べた。
ノール氏は、SRLabsの研究者らは、ドイツのテレビで木曜の夜に放映される番組の中で、攻撃方法を実演する予定だと語った。
同氏によると、ショー中にハッキングされるアルテマ・ハイブリッドPOS端末は、研究者らが事前に触れたものではなく、スーパーマーケットの決済インフラを模倣する独立した教授らが設定した構成の一部となるという。
クレジットカード情報と暗証番号を盗み取った後、研究者たちは偽造カードを作成し、それをATMに持ち込んで現金を引き出すだろうとノール氏は述べた。「その時点で、これは単なる理論上の攻撃だと主張できる人はもういないでしょう。」
