ATMにスマートフォンをかざすだけでハッキング？ NFCに見つかった脆弱性の深刻度

WIREDより。
セキュリティ研究者とサイバー犯罪者たちは何年も前から、あらゆる手段を使って現金自動預払機（ATM）の内部に入り込んでハッキングを試みてきた。フロントパネルを開けてポートにUSBメモリーを差したり、ドリルで穴を開けて内部の配線を露出させたりといった手法だ。

ATMのハッキングは今後も増加し、そして“ゲーム”のようになっていく

こうしたなかATMのみならず、さまざまなPOS端末まで新たな方法でハッキングできるバグを研究者が発見した。非接触型のクレジットカードリーダーにスマートフォンをかざすだけでハッキングできるというのだ。

セキュリティ企業IOActiveの研究員兼コンサルタントのジョセップ・ロドリゲスは、このほど1年かけて世界中の何百万台というATMやPOSシステムに使われている近距離無線通信（NFC）リーダーのチップの脆弱性を調べた結果を報告した。

NFCのシステムがATMに搭載されていれば、クレジットカードをスワイプしたり挿入したりする代わりに、リーダーにかざすだけで支払いを済ませたりATMから現金を引き出したりできる。世界中の無数の小売店やレストランのカウンター、自動販売機、タクシー、パーキングメーターなどに設置されている。

このほどロドリゲスは、クレジットカードの無線通信をスマートフォンに模倣させることで、NFCシステムのファームウェアの欠陥を悪用できるAndroidアプリを開発した。これによりスマートフォンをかざすだけで、さまざまなバグを利用してPOS機器をクラッシュさせたり、ハッキングしてクレジットカードのデータを収集して送信したり、目に見えないかたちで取引額を変更したり、ランサムウェアのメッセージを表示させて機器をロックしたりできる。

ロドリゲスによると、少なくともある特定のブランドのATMについては、現金を強制的に払い出させることさえ可能であるという。ただし、この「ジャックポット」と呼ばれるハッキングは、ロドリゲスがATMのソフトウェアに発見した別のバグとの組み合わせでのみ機能する。ロドリゲスはATMヴェンダーと秘密保持契約を交わしているため、こうしたバグを特定したり公表したりはしていない。

「例えば、レジの画面には50ドルを支払っているように表示されていても、ファームウェアをいじって価格を1ドルに変えることができます。機器を使えなくしたり、特定の種類のランサムウェアをインストールしたりすることもできます。できることはたくさんあるのです」と、ロドリゲスは自身が発見したPOSへの攻撃について語る。「攻撃を連鎖させて、さらに特殊なデータをATMのコンピューターに送信すれば、スマートフォンの画面をタップするだけでATMに現金を吐き出させることがでるのです」

いまも多くの機器に残る脆弱性
今回のバグの影響を受ける機器のヴェンダーに対して、ロドリゲスは1年前から7カ月前にかけて警告したという。具体的には、ID TECH、Ingenico、Verifone、Crane Payment Innovations、BBPOS、NEXGO、そして匿名のATMヴェンダーなどだ。

それでもこうした機器の多くは脆弱なままである可能性が高いと、ロドリゲスは警告している。影響を受けるシステムがあまりにも多いことに加えて、POS端末とATMの多くはソフトウェアのアップデートが定期的に実施されておらず、アップデートには物理的なアクセスが必要なケースが多いからだ。「何十万台ものATMに物理的にアップデートを施そうとすれば、膨大な時間が必要になります」

こうした脆弱性が機器に残っていることを実演するために、ロドリゲスは自身が暮らしているマドリードの街角でATMのNFCリーダーにスマートフォンをかざして機器にエラーメッセージを表示させる動画を撮り、それを見せてくれた。NFCリーダーはクラッシュした様子で、次に彼がクレジットカードを機器に接触させても読み取れなくなっていた。

なお、法的な責任を問われる恐れがあるため、この動画を公開しないようロドリゲスは求めた。また、ジャックポット攻撃の様子を映した動画を提供しなかった理由は、合法的にテストできたのが影響を受けるATMヴェンダーに対するIOActiveのセキュリティコンサルティングの一環として入手した機器のみで、IOActiveはヴェンダーと秘密保持契約を締結しているからだという。

セキュリティ企業SRLabsの創業者でファームウェアのハッカーとしても有名なカーステン・ノールは、ロドリゲスの研究をレヴューし、今回の発見は「組み込み機器で動作するソフトウェアの脆弱性に関する優れた研究」であると指摘している。だがノールは、実際に盗みを働く者にとって実用を難しくする障壁をいくつか指摘している。

まず、ハッキングされたNFCリーダーが盗めるのは、磁気ストライプのクレジットカードのデータのみであり、被害者の暗証番号やEMVチップのデータは盗むことができない。また、ATMに現金を払い出させるには、ターゲットとなるATMのコードに別の脆弱性が必要になることから、実行に移すことはかなり難しいとノールは言う。

「バッファオーヴァーフロー」を引き起こす
とはいえ、IOActiveのハッカーだった故バーナビー・ジャックやRed Balloon Securityのチームなどのセキュリティ研究者たちは、何年も前からこうしたATMの脆弱性を明らかにしている。しかも、ハッカーが遠隔操作でATMのジャックポットを引き起こせることも証明してきた。

Red Balloon Securityの最高経営責任者（CEO）でチーフサイエンティストの崔昂（ツィ・アン）は、ロドリゲスの発見に感銘を受けたと語る。IOActiveは攻撃の詳細を一部は伏せているものの、NFCリーダーをハッキングすることによって現代のATMの多くに現金を払い出させることが可能であることに疑いの余地がないと、崔は言う。

「こうした機器でコードを実行できればメインコントローラーにたどり着けるということは、極めてもっともだと思います。10年以上も前から修正されていない脆弱性がたくさんありますから」と、崔は語る。「メインコントローラーからなら、間違いなくカセットディスペンサーをコントロールできます」。カセットディスペンサーは利用者に払い出す現金を入れておく場所だ。

コンサルタントとして長年ATMのセキュリティを検証してきたロドリゲスは、ATMの非接触型カードリーダー（決済技術企業のID TECHが販売しているものが多い）がハッキングの入口になる可能性について、1年前から調べ始めたという。eBayでNFCリーダーやPOS機器を購入し始めたが、その多くに同じセキュリティ上の欠陥があることをほどなく発見した。そうした機器はNFCを介してクレジットカードからリーダーに送信されるデータパケット、すなわちAPDU（Application Protocol Data Unit）のサイズを検証していなかったのだ。

ロドリゲスは、リーダーが想定しているサイズの数百倍の大きさで念入りに作成されたAPDUを、カスタムアプリを使ってNFC対応のAndroid端末から送信することで、「バッファオーヴァーフロー」を引き起こすことに成功した。バッファオーヴァーフローは数十年前から存在するソフトウェアの脆弱性で、ハッカーはこれを使うことで標的にしたデヴァイスのメモリーを破壊し、独自のコードを実行できる。

研究者が脆弱性を公表した理由
今回の脆弱性の影響を受ける企業に『WIRED』US版は問い合わせたが、ID TECH、BBPOS、NEXGOはコメントの要請に応じなかった。ATM協会もコメントを拒んいる。

Ingenicoはコメントを発表し、同社のセキュリティ対策によってロドリゲスのバッファオーヴァーフローのテクニックは同社の機器をクラッシュさせることしかできず、コードは実行できないと説明している。ただし、「お客さまにご不便をおかけし、影響が及ぶことを考慮して」、いずれにしても修正プログラムを発行したという。なお、このセキュリティ対策によって実際にコードの実行を防げるかどうかは疑問だとロドリゲスは反論しているが、実際にそれを証明する概念実証を考案してはいない。

一方でVerifoneは、ロドリゲスが明らかにしたPOSの脆弱性は、彼が報告するはるか以前の2018年に発見して修正していたと説明している。これに対してロドリゲスは、そうであれば同社の機器に一貫したパッチが施されていないことを示すものでしかないと主張する。彼は昨年、レストランでVerifoneの機器を使ってNFCのテクニックを試したところ、脆弱性が残っていることがわかったというのだ。

ロドリゲスは彼の発見の多くを1年は公表してこなかったが、今後数週間以内に脆弱性の技術的詳細をウェビナーで公開する計画だという。これは影響を受けるヴェンダーの顧客に、各社が提供しているパッチを施してもらう目的だが、それだけではない。組み込み機器のセキュリティの惨憺たる現状を広く知ってもらいたいと考えているからでもある。

彼はバッファオーヴァーフローのような単純な脆弱性が、これほど多くの一般的に使用されている機器に残っていることに衝撃を受けたという。しかもよりによって、現金と機密性の高い金融情報を扱う機器に見つかったのである。

「こうした脆弱性は何年も前からファームウェアに存在しており、わたしたちはこのような機器を毎日使ってクレジットカードやお金の取引をしているのです」とロドリゲスは言う。「こういった機器は安全でなければなりません」