ATM 詐欺の仕組み

オルガ・コチェトワ（Olga Kochetova）アレクセイ・オシポフ（Alexey Osipov）

Kaspersky Lab

root@root:~# whoamiKaspersky Lab ペネトレーションテスト部門所属

•  @_Endless_Quest_、@GiftsUngiven

•  ATM および POS のセキュリティ評価

•  ペネトレーションテスト

•  フォレンジック調査

多くのITイベントでの講演

複数の記事、リサーチ&アドバイザリの著述

概要すべきこと

大人向けのレゴ

• 上部 – サービスゾーン•  PC

•  カードリーダー

•  PIN パッド

•  その他

• 下部 – 金庫 •  現金引き出しモジュール（ディスペンサー）

•  現金投入モジュール（預金ユニット）

•  リサイクリングモジュール（引き出しおよび投入）

ソフトウェア

• ホスト（コンピューター）•  MS Windows

•  GUI およびデバイスコントロール

•  アンチウイルスまたは整合性管理ソフトウェア

•  ビデオ監視

•  Radmin または TeamViewer などのリモート操作ソフトウェア

• デバイス•  RTOS を備えた一部のマイクロコントローラ

冗談かと思うような事実

仕組み

1990 年代からの技術

攻撃手法

• 物理的側面

• ハードウェア

• ソフトウェア

• ネットワーク

現金を保護するための措置

現金管理のために多くの要素が連鎖

サービスプロバイダ

現金 カセット 現金装置 通信

現金保護システム

XFS

整合性管理アプリ

オペレーティングシ

ステム

ハードウェア VPN

オフィスコンピュー

ター

処理センター

ソフトウェア VPN

GUIWindowsベー

スアプリ

ATM 管理者

ネットワーク

ネットワーク

サービスゾーン

bla

• bla

現金破壊されるのではない。盗まれるのである。

宝箱

錠前ではなく、鎖を破壊

現金装置現金は金庫にある。だからといって安全ではない。

落とし穴は何か

• マイクロコントローラ

• ファームウェア

非常に高度な持続的標的型脅威

• ファームウェア•  変更

•  アップデート

• 現金装置•  管理

•  総合管理

偽物の現金を預け入れ

• 偽物の現金を投入 • 本物の現金を引き出す

1 ドルを 100 ドルに換金

カードリーダー現金ではないが、最終目的は現金

カードリーダーの悪用

• プレーンテキストの機密データ

• ハードウェアスニファ

本人認証を欺く

出典：https://media.ccc.de/v/31c3_-_6450_-_de_-_saal_1_-_201412272030_-

_ich_sehe_also_bin_ich_du_-_starbug#video

•  ID の乗っ取り

通信

解析

• RS…（例：232、485）

• SDC

• USB

典型的な形式

•  ASCII ベース

•  バイナリ

•  暗号化、難読化

ハッカー関連のもの

ビデオ - 新たな悪質USB（BlackBox）

サービスゾーン現金がないのは本当か。

侵入方法

•  「マスターキー」

• スクリュードライバー

•  「特殊」ツール

ビデオ - 侵入方法

私たちのサービスゾーンは安全 ©

本当に信頼できるのか？

サービスプロバイダ

次世代のマルウェア

• 攻撃者は XFS マネージャーとのやり取りを回避

• 特定の ATM ベンダーソフトウェアによって使用される

すべての機能をフック

• XFS ベースのマルウェアに比べ、

最も重要な情報を攻撃者に付与：•  クリアテキストのネットワークデータを傍受

•  EMV 取引を傍受

•  USB/COM 通信を傍受

次世代のマルウェア

ビデオ – マルウェアに関する NG 事項

マルウェア：XFS ベース

• 実行されるすべてのウィンドウは、XFSマネージャーへの

コマンドを発行することが可能

• マルウェアはほとんどの ATM で実行可能

• ATM セキュリティの関係者であれば

誰でもその事実をほぼ承知

DevOpsSec の連鎖

• バッファオーバーフロー

• キオスクモードの回避

• 機密データの漏洩

サードパーティ製のセキュリティソフトウェアもう 1 つの扉• バッファオーバーフロー

• キオスクモードの回避

• 機密データの漏洩

• リモート管理

オペレーティングシステム MS08-067 が再び登場

すぐ先には

• 旧バージョン

• アップデートされていない

• 脆弱性

• 標準サービス

Shodan を使ってみる

ハードウェアユニット

ビデオ – ネットに従う

VPNが適切ではない場合がある理由

• ソフトウェア•  OS へのアクセスによって無効化される可能性

がある•  ファイアウォール機能が常に提供されるわけで

はない•  VPN 接続が遮断された場合、それ以降の全

データはクリアテキストで送信されることがある

• ハードウェア•  物理的アクセスに対して保護されない•  ホストコンピューターに関係なく動作する•  金属/プラスチック製のモノであるため、手でつ

かむことができる

処理センター

諸刃の剣

• 不正な処理センター（ATMを攻撃）•  現金の引き出し

• 不正な ATM（処理センターを攻撃）•  偽の現金を預け入れ

•  クレジットカードアカウントの不正アクセス

•  支払サービス/システムの攻撃

•  tcpdump

•  「tcpreplay」

ビデオ – 不正処理

ATM 管理者

人は非常に怠惰である

人は非常に社交的である

人はとても愚か、侵害されている

侵害の対象

• 管理システム

• アップデートサーバー

• ログサーバー

まとめ

万能な解決策

セキュリティは一連の過程である

協力してくれた方々

• アレクサンドル・トリヤポフ（Alexander Tlyapov）@_Rigmar_

• アルチョーム・コンドラチェンコ（Artem Kondratenko）@artkond

• アレクサンドル・ザイツェフ（Alexander Zaytsev）@arbitrarycode

• その他の皆様

ご清聴ありがとうございました

オルガ・コチェトワOlga.Kochetova@kaspersky.com

@_Endless_Quest_

アレクセイ・オシポフAlexey.Osipov@kaspersky.com

@GiftsUngiven