偽造ATMがラスベガス周辺に設置されている。
先週、ハッカー、クラッカー、フリーク、セキュリティ研究者、法執行官など、あらゆる分野のコンピュータセキュリティ専門家が、毎年恒例のセキュリティカンファレンス「Black Hat」と「DefCon」に参加するためにラスベガスに集結しました。先週、ある攻撃者がラスベガス周辺に偽のATMを設置し、アカウント情報と暗証番号を盗み出し、不正アクセスしたアカウントから金銭を搾取しようとしたことも、おそらく偶然ではないでしょう。
おそらく攻撃者は、これを「ハッカーをハックする」という個人的な挑戦と捉え、セキュリティ愛好家や専門家が自分たちの目を欺こうとする試みを見抜くことができるかどうかを試したのでしょう。皮肉なことに、BlackhatではJuniperのBarnaby Jack氏が特定のATM機の脆弱性を悪用する方法に関するプレゼンテーションを行う予定でしたが、ATMベンダーの要請によりキャンセルされました。
プレゼンテーションは、Windows CEオペレーティングシステム搭載デバイスの脆弱性を悪用する手法に焦点を当てていました。多くのATM機はWindows CEオペレーティングシステムを採用しているため、ハッキング情報を公開すれば深刻な事態を招きかねませんでした。ジュニパーネットワークスのコーポレートソーシャルメディアリレーションズ担当ディレクター、ブレンダン・ルイス氏は、ジュニパーネットワークスの公式ブログに、「影響を受けたベンダーが適切なリスク軽減策を講じる前に調査結果を公表すれば、顧客を危険にさらす可能性があったでしょう。これは絶対に避けたい事態です」と投稿しました。
ジュニパーが8ヶ月以上も前に脆弱性をベンダーに通知していたことを考えると、ジュニパーとバーナビー・ジャックの行動は非常に利他的であるように思われます。ベンダーにとって、ゼロデイ攻撃や突然の衝撃だったわけではありません。発表を中止したことで、脆弱性が公に知られることは避けられましたが、彼らが脆弱性を発見し、影響を受けたシステムが8ヶ月以上も脆弱であったという事実は、より倫理観の低い他者が偶然この脆弱性を発見し、積極的に悪用していた可能性を示唆しています。
残念ながら、この脆弱性はおそらく孤立した、あるいは特異な事例ではないだろう。ATM、キオスク、POS端末のセキュリティ評価を行うセキュリティおよびコンプライアンスサービスベンダーであるTrustwaveの幹部は、最近のインタビューで、「当社のラボに持ち込まれたデバイスで脆弱性が見つからなかったことは極めて稀です。実際、そのようなことは一度もなかったと思います」と述べた。
トニー・ブラッドリーは、10年以上のエンタープライズIT経験を持つ情報セキュリティとユニファイド・コミュニケーションの専門家です。彼は自身のサイトtonybradley.comで、情報セキュリティとユニファイド・コミュニケーション技術に関するヒント、アドバイス、レビューを提供しています。
