画像提供：Image Credits: Victor J. Blue/Bloomberg / Getty Images

2010年、世界的に有名なセキュリティ研究者である故バーナビー・ジャックは、ブラックハット会議のステージ上でATMをハッキングし、キャッシュディスペンサーを騙してドル紙幣を次々と吐き出させることに成功しました。 このテクニックは、「ジャックポッティング」と名付けられました。

Jackの大ヒットデモから10年後、セキュリティ研究者は、コロナウイルスの大流行のおかげで、バーチャルではありますが、Nautilus ATMの2つの新しい脆弱性を発表しています。

ニューヨークのセキュリティ企業Red Balloonのセキュリティ研究者Brenda So氏とTrey Keown氏は、2つの脆弱性によって、銀行ではなく店舗でよく見られる、人気のあるスタンドアロン小売ATMを騙し、命令に応じて現金を払い出させることができたと述べています。 しかし、彼らの発見は、ATMはしばしば何年も、場合によっては最初に構築されたときから眠っている脆弱性を持っていることを強調しました。 10年後の今、2人のセキュリティ研究者が、新たに2つのATMの現金吐き出し攻撃を発見しました。 Credit: YouTube

So と Keown によると、彼らの新しい脆弱性は Nautilus ATM の基本ソフトウェア、Microsoft がもはやサポートしていない 10 年前のバージョンの Windows をターゲットにしているとのことです。 まず、2人はATMを買って調べました。

最初の脆弱性は、XFS (Extensions for Financial Services) と呼ばれるソフトウェアレイヤーで発見されました。 このバグはXFSそのものではなく、ATMメーカーが自社のATMにこのソフトウェア層をどのように実装しているかにありました。 研究者は、特別に細工された悪意のあるリクエストをネットワーク経由で送信すると、ATMのキャッシュディスペンサーが効果的に作動し、中の現金が捨てられることを発見したと、Keown氏はTechCrunchに語りました。

2番目の脆弱性は、ATMのリモート管理ソフトウェアに見つかりました。

So は TechCrunch に、ATM の支払いプロセッサーを悪意のあるハッカーが管理するサーバーに切り替え、銀行データを吸い上げることが可能であることを語りました。 「

Bloomberg が最初にこの脆弱性を報告したのは、研究者が Nautilus に調査結果を内々に報告した昨年のことでした。 ブルームバーグは、米国内の約8万台のノーチラス社製ATMに、修正前の脆弱性があると報じました。 Nautilus 社の広報担当者は、この数字を確認しませんでした。

ジャックポット攻撃の成功はまれですが、聞いたことがないわけではありません。 近年、ハッカーはさまざまなテクニックを使ってきた。 2017年には、ヨーロッパ全域で活動する活発なジャックポット集団が発見され、数百万ユーロの現金がもたらされました。

最近では、ハッカーがATMメーカーから独自のソフトウェアを盗み、独自のジャックポッティングツールを構築しました。

シグナルとワッツアップで安全にチップを送って+1 646-755-8849 へ、または暗号化した電子メールで送って下さい。 [email protected]