セキュリティ研究者のバーナビー・ジャック氏は、Black Hatセキュリティカンファレンスの「ATMジャックポッティング再来」と題されたセッションでATMをハッキングし、参加者を驚かせました。ジャック氏が実演したハッキングから得られる重要な教訓はいくつかあり、それはATMだけに当てはまるものではありません。
ジャックのエクスプロイトは、オンラインで入手可能なマスターキーを使ってATMに物理的にアクセスする方法と、リモートでダイヤルインしてアクセスする方法の2種類で、Triton社とTranax社のATMマシンを標的としていました。しかし、問題は必ずしもこの2社に限ったものではありません。ジャックは聴衆に対し、クラッキングして現金を引き出せないATMマシンはまだ見つかっていないと説明しました。
これはすごいハッキングだ。ATMに近づいて、まるでラスベガスのスロットマシンでジャックポットを当てたかのように、お金を吐き出させたいと思わない人はいないだろう。しかし、ほとんどの企業はATMを所有していないので、IT管理者がATMハッキングを気にする必要はないだろう。
答えは、ATMだけの問題ではないということです。ATMは、レガシープラットフォームやニッチなプラットフォームにおける、物理的セキュリティの不備とデジタルセキュリティの不備が組み合わさった、衝撃的な一例に過ぎません。コンピューターはどこにでもありますが、その多くはセキュリティ問題の監視や定期的なアップデートが行われていません。
マカフィーのセキュリティ研究者、トラルブ・ディロ氏はブログ記事で、「今日の多くのデバイスやマシンが、内部ではごく標準的なコンピューターとオペレーティングシステムを実行しているという事実を、多くの人は無視しがちです。ATM、自動車、医療機器、さらにはテレビでさえ、そのようなコンピューターを内蔵し、ネットワーク経由でアップデートを可能にしている可能性があります。残念ながら、ソフトウェアには欠陥が存在します。」と説明しています。
ディロ氏はさらに、システムが複雑になるほど、十分な時間があれば発見され、悪用される可能性のある欠陥が存在する可能性が高くなると説明しています。こうしたシステムの多く、特に街角のガソリンスタンドのATMを動かすソフトウェアのようなシステムは、かなり複雑であり、安全性と保護を確保するために定期的なアップデートが必要です。
国家安全保障への影響も懸念されます。水道や電気、化学処理工場、製造施設、鉄道や地下鉄といった公共施設、そして国の生産性、商業、安全保障の基盤となるその他の重要インフラの多くは、頻繁に更新されない時代遅れのレガシーシステムに依存しており、攻撃者が十分に注意すれば、これらのシステムには悪用可能な脆弱性が存在する可能性があります。
さらに悪いことに、これらのシステムの多くは元々はスタンドアロンでしたが、時間の経過とともにインターネットに接続されるようになり、リモートからのアクセスや不正利用が可能になっています。ATM機へのハッキングは、これらのシステムのセキュリティ強化の必要性を浮き彫りにしています。
これらのレガシーシステムやニッチなシステムを常にアップデートすることを期待するのは非現実的です。ファイアウォールや一般的なマルウェア対策ソフトを運用することも極めて非現実的です。しかし、Dirro氏が指摘するように、「将来的には、アプリケーション制御、構成制御、変更制御を用いてこれらのシステムをロックダウンし、承認されたアップデートや変更は実行しつつも、攻撃者による不正なコードの実行を防ぐことが求められます。」
