Windows XP搭載のATMからカード情報を抜き取るマルウェア、東欧で確認される 46
ストーリー by soara
ATMは宝庫だ 部門より
ATMは宝庫だ 部門より
あるAnonymous Coward 曰く、
Windows XPを搭載しているATMをターゲットにしたマルウェアが東欧で出回っているそうだ(本家/.)。
このマルウェアはカードの磁気データや暗証番号を読み取り、DESアルゴリズムで暗号化して記録するとのこと。トリガーカードを使えばATMのキーパッドを使ってコマンドを入力できるようになり、取引数を表示させたり、記録したカードデータをプリントアウトしたり、マシンのリブートやマルウェアのアンインストールなども行うことが可能という。
セキュリティ企業Trustwareはこのマルウェアに関するレポート(PDF)をまとめている。それによるとマルウェアには複数のバージョンが確認されており、同社が分析したものは比較的初期のバージョンと思われるとのこと。新しいバージョンはより高機能になっていると考えられるとのことだ。
なぜカード情報なんだ? (スコア:1, 興味深い)
ATM直接操作するんなら、なぜ現金を抜き取らないんだ?
(それとも、抜き取れるのかな?w)
Re:なぜカード情報なんだ? (スコア:1, 興味深い)
ATMの役割を考えてみれば分かる。
ATMから現金を引き出すには、正規のやり方では当然カードと暗証番号が必要。
カードの認証はATM自体でやってるとしても、カード情報はネットワーク経由で照会してるはず。
つまり、ATMから金だけ抜き出そうとするには、架空のカード情報をでっち上げるよりは、ATMのローカルだけですべて済ませられる方が楽で足がつきにくい。
カード情報を不正に入手→カードが挿入されたとATMに誤認させる操作を行う→入手した暗証番号で現金を引き出す、という手口なのでしょう。
Re: (スコア:0)
または、カード情報売買のチームかもしれない。
Re: (スコア:0)
Re: (スコア:0)
にしたところで、預け入れを捏造するとか、他人の操作からサラミし続けるとか、インターフェイスをのっとれるなら出来ることが他にもたくさんあるはずでは。
個人の口座を奪って足の付かない口座として売り捌く需要が大きいとか、現金の操作自体は物理的に別系統で制御を奪えなかったとかあるのかも。
Re: (スコア:0)
重機を使ったATM荒しで捕まった話を聞く方が少ない気がする。
こわいねぇ。 (スコア:1)
http://srad.jp/security/article.pl?sid=09/06/03/0720246 [srad.jp]
こんな事故もあったばっかりだし。
日本の銀行のATMにWindowsOSなんて入っている訳が無いし、VPNなんて使っている訳が無いけどね!!!
-----
多分、日本のATMの中には人間が入ってるんですよ。
……割と冗談抜きで人間が入ってるんだと思う。
Re:こわいねぇ。 (スコア:3, 参考になる)
例外は(Windows普及以前に作られた)大昔の機械か、OS/2を採用したもの
高々数万台の市場を数社が分け合っているのに、GUIを備えた独自OSなんか作れません
参考
http://www.asahi-net.or.jp/~FV6N-TNSK/gates/column215.html [asahi-net.or.jp]
#中の人なのでAC
Re: (スコア:0)
Re: (スコア:0)
>しかも、UIはFlushときたもんだから・・・ 怖い怖い
Flashよりはマシかな。
Re:こわいねぇ。 (スコア:1)
ATM(自動現金預け払い機)のOSにもWindowsを採用 [nikkeibp.co.jp]している新生銀行なんかは他人事じゃない気がしますが・・・。
Re:こわいねぇ。 (スコア:1, 参考になる)
新生の場合、インターネットVPN(3DES)使っうわなにをするやめr…qwせdrftgyふじk
#ACったら、ACなんだから!!!
Re:こわいねぇ。 (スコア:1, 参考になる)
ATMのブルースクリーンやら
リブートでWindows2000の起動画面を拝見したことがあります。。。
Re: (スコア:0)
これら [google.co.jp] ですね。
店頭のPCみたいにお絵かきソフトで落書きされてるのもありますね。
Re:こわいねぇ。 (スコア:1)
>多分、日本のATMの中には人間が入ってるんですよ。
>……割と冗談抜きで人間が入ってるんだと思う。
IT土方の成れの果てが人柱なのか...
Re: (スコア:0)
Re: (スコア:0)
もしかしてメンテしやすいのかな
安全の切り売り (スコア:4, 参考になる)
自動窓口機にするために複雑化したため、パソコンを組み込み、
パソコン用OSを使い制御するしか穏当な価格に収めることができなくなった。
その変革期にはUNIXは4.2BSDやらSYSTEM Vなど『お高い』もので
パソコンで動きそうな商業ベースのパッケージはマイクロソフトの
XENIX位しかなかった。(PC-RT用のAIXもあるにはあったがハードがちょっと…。)
2.昔は専用線を使って営業店親機とセンターを直結しており、
気の利いた金融機関はDESを使って親機とセンター間を暗号化していた。
(DES暗号化装置は米国外向け禁輸品だったが金融機関は除外されていた)
ただし、キャッシュカードには暗証番号が記録されており、営業店端末上で
確認されているだけではあった。
インターネットの普及の中、専用線ネットワークを中核としたSNAネットワークは
費用対効果から維持し切れなくなり、VPNなどによる安全性確保前の
TCP/IPネットワークに取って代わられてしまった。
セキュリティは素材によって維持されるのではないことを理解しないといけません。
きちんと管理されたWindows基盤のシステムの方が、いい加減な管理下でのシステムよりも
安全な場合は多々あります。
そして往々にしてきちんと管理されたWindows機は、Windows本来の『小さな親切、大きなお世話』的
部分を削ぎとられた分、『使えねえ』などと罵倒されたりもします。
Re:こわいねぇ。 (スコア:1, すばらしい洞察)
セキュリティ的に万全と言い切れるようなOSって何がありますか?
Re: (スコア:0)
「セキュリティに万全が有ると思うのが一番のセキュリティホールです」
って教わったが。
「まず、基本として一番最初に覚えないといけないのが」
って注釈付で。
Re:こわいねぇ。 (スコア:1)
「適切に管理できない人」にかかれば「適切な環境にならない」だけです。
何をもって適切かはコンピュータの展開の規模や用途によって決まります。
これはNTに限らず、Unixでも同じことです。
ちょっとワクワクする (スコア:1, 興味深い)
これは,なんというか,「ハッカー」っぽいなあ,と。
根本的には (スコア:1)
パスワードなりPINなりが一時的であったとしても、
値が保持されるってことが問題だよね。
俺は銀行さんのサーバとだけ話をしたいんだ!
と思っても、実際には、
ATMさんに取り次ぎしていただいて銀行さんと...
なんだよね。
カード&10keysと、銀行のサーバとの間で、
完全なトンネリングの方法を考えてくれないかな。
カードには相互認証の機能はあるわけだから、
あとは10keys自体に機器認証の仕組みが必要かもね。
-- LightSpeed-J
Re:根本的には (スコア:1)
Re:根本的には (スコア:1)
パスワード/PINが傍受されても問題がないようにあまねく認証をワンタイムパスワードにすればいいのでは。
キャッシュカードとOTP生成機の盗難防止については別の問題なのでここでは触れない。
#生体認証キャッシュカードに切り替えようと思ったらクレジットカード一体型しか無くなってた…
Re: (スコア:0)
でテンキーと銀行のサーバが直接暗号通信していることはどうやって確認しますか?
どんな細工をされてるかわからない備え付けのテンキーで
#というわけでカードへのテンキー搭載を提唱してみます
Re:根本的には (スコア:1)
-- LightSpeed-J
Re: (スコア:0)
>#というわけでカードへのテンキー搭載を提唱してみます
足りない。
ここはカードに無線部を組み込んで、有線のデータとダブルチェックを。
これは危ない!!! (スコア:0)
対する対策を行わないといけないため
マルウエアを仕込んだ具体的な方法を教えてください。
おねがいします。
追伸
よいこはまねしちゃーだめよ
Re: (スコア:0)
SIerの下請けのソフトウェア会社に潜り込ませるんですよ。 :-)
開発用機材はベンダー持ちで、デスマーチに突入すれば・・・・・・ね。
##オバカなのでACで。
組み込み系 (スコア:0)
XPといってもWindows Embedded系だよね?
素のXPではないよね?
Windows Embeddedって必要最低限の機能だけを組み込んで必要ない機能は削除とか組み込み系のシステムを作る側が決めて構築できるんだよね?
Re:組み込み系 (スコア:1, 参考になる)
そうとも限らないようですよ。
ローソンのなにかの機械(メディアプリントだったかなぁ?)を店の外から何の気なしに見たらWindows XP HOME Editionのライセンスシールが張ってあったのを見たときには転げそうになりました。
Re:組み込み系 (スコア:2, 参考になる)
十ン年前の話だが、初代LoppiはWindows 98だったんだぜ。
当時バイトで深夜番してたときに自動リブートの瞬間を見たんだから間違いない。
SEだったかどうかは流石に憶えてないですが。
#オフトピだけどもうIDでいいや
Re:組み込み系 (スコア:1)
Windows95じゃなかったかな?
まぁたいした違いは無いですが。
# 青画面で死んでる姿を見た時、(いいか悪いかは別として)新しい時代を感じました。
Re: (スコア:0)
元コメはATMに限らず組み込み系の話をしているんだけれども....
Re: (スコア:0)
通常のWinXPをEmbeddedライセンスにしただけのもの。そういうのもありました。
#今も販売されてるかどうかは知らん。
Re: (スコア:0)
NECとか [nec-nexs.com] 日立とか [hitachi.co.jp] 東芝とか [toshiba.co.jp]、今でも売ってますよ。
産業用だと5年くらいの長期供給(と10年くらいの保守対応)の需要が結構あったりするんで、ライフタイム的に「素のXP」を売ることができないから、そいう用途に"for Embedded"を出してます。
中身的には、電解コンなどの部品が長寿命用なのと
Re: (スコア:0)
Windows Embeddedが役に立つのは、メモリや二次記憶装置(HDDとか、SSD)の容量が少ない場合に
OSが使用するサイズを減らしてアプリ用に回せることぐらい
それよりも、
必要最低限の機能って、誰がどうやって調べて判断するの?
アプリが使う機能を逐一調べたり、アプリ開発時に制限を付けたりするの?
機能を削っても問題にならないことを確認しなきゃいけないけど、工数はどうするの?
周辺機器のドライバはどうするの(機器メーカに尋ねると、XP Embeddedはサポート外と言われる)
.....
など、XP EmbeddedはメモリやHDDの容量を少なくできるメリット以上に、
開発やサポートに手間がかかるデメリットがある
Re: (スコア:0)
とか言う割りには組み込み系OSへの導入で上位に位置づけられているのは何故なんでしょうね?
キミの身の回りにあるキオスク系はほぼEmbeddedだよ。
#多分思い込みの産物だと思うが。
Re: (スコア:0)
Embeddedはライセンス費が安いのです
だから、製品の原価しか考えないヤツらは、Embeddedを選ぶ
で、そのシワ寄せが....
Re: (スコア:0)
Embeddedナメてるな。
ウチにはWindowsXpEmbeddeで動いているストレージがChipOnDiskの8MBってデータロガーが有るぞ。
もう、元のXpとは何処が一緒?ああ、プログラムのローダーとアプリの互換性だけね、って奴が。
って事で、不要部分を外すのは別に難しい事ではありませんよ。
EmbeddedStudioで不要機能をDisableにすれば良いだけ。
#普通は「必要な物」を入れていくんだけど。そうすれば必然的に不要なものは入らない。
そもそもEmbeddedはアプリに合わせて造るんであって、後で好きなアプリを入れる物じゃありません。
それでも全部入りにして実質普通のXpProに近いものとして使う事
根本的に (スコア:0)
Re: (スコア:0)
全ATMが一個のWindowsネットワークに繋がってたりするんじゃないんですかw
実は犯人は政府機関だったりして (スコア:0)
何か怪しげなものを見つけたと政府機関に報告したら、口を封じられたりしてね。