• ホームページ
  • 問い合わせ

脆弱性「Meltdown」および「Spectre」からATMを守る

執筆:Aravinda Korala / Kit Patterson(KAL社員)
協力:Michael Moltke(FortConsult) / Alex Gherman


2018/1/8


2018年1月3日以降、攻撃手法「Meltdown」および「Spectre」が大きな話題となっています。インテル、AMD、およびARMのチップのハードウェアセキュリティの脆弱性から生じたこれらの攻撃手法については、元々昨年7月にドイツのサイバーウェブサイト上でAnders Foghが潜在的な脅威だと主張していました。そして遂に先週、現実の脅威となってしまったのです。自社のOSにパッチを適用し、PCとスマートフォンの安全性を確保するため速やかに修正を行うことができるように、この情報がまず大手オペレーティングシステム(OS)ベンダーに対して秘密裏に公開されたのは不幸中の幸いだったと言えるでしょう。


では、ATMはどうでしょうか。ATMがこれらの攻撃手法の影響を受ける可能性はあるのでしょうか?端的に言えば、「可能性はあります」。ただしまだ慌てる必要はありません。
差し迫った脅威は「Meltdown」です。この攻撃手法は、マルウェアがWindowsのカーネルメモリ、あらゆる物理メモリ、同じPC上にある他のプロセスに属するすべてのメモリを含むWindows PC上のデータアイテムをすべて読み取ることを可能します。世界中で運用されているATMのほとんどが慎重にロックダウンされているWindows PCで動作しています。ではここで、ATMでのリスクとそれらのリスク軽減するために必要なことを分析してみましょう。


世界には、銀行が運用するATMが約300万台存在し、そのほとんどがWindows 7またはWindows XPで動作しています。欠陥は該当するハードウェアのチップにあり、OSの脆弱性が原因ではないため、あらゆる種類のATMがリスクにさらされていることになります。この記事では、主にWindows 7またはWindows XPで動作している銀行が運用するATMについて取り上げたいと思います。
まずは朗報から。ATM業界は、ATMのPC内ではなく、ハードウェアの暗号化PINパッド(EPP:Encrypting Pin Pads)内に取引処理の機密情報を保存しています。したがって、ATMが取引を行うために信頼している暗号キーはEPP内に安全に保存されないため、結果的に暗号キーは今回明らかとなった攻撃手法の対象にはなりません。これらの暗号キーはEPP内で保護されているだけでく、「リモート・キー・ローディング」という仕組みを利用してEPPにキーをリモート送信する手法によっても「Meltdown」から守られていると当社は考えています。EPPには、この種の攻撃のリスクにさらされない独立型のセキュアな内部環境があります。


ただし、それだけではATMを十分に保護していることにはなりません。攻撃者がマルウェアをATMに侵入させることに成功した場合、一時的にメモリに保存される機密情報(顧客のカードに記載されている口座番号など)やATM管理者のログインパスワードなどある種のパスワードにマルウェアがアクセスできるようになる可能性があります。これを踏まえると、新たな疑問が生じます。ハッカーは簡単に新たなマルウェアをATMに侵入させられるのでしょうか。


ほとんどのATMにマルウェアに対する保護対策が十分になされています。また、確実な方法は、認識できないプログラムやライブラリ、スクリプトの実行を自動的に阻止する「ホワイトリスト」と呼ばれるテクノロジーを使用することだと考えられています。ホワイトリストはATMで新しいマルウェアの実行を自動的に阻止するため、優れた第一の防御となります。


ただし、すべての銀行がATMでホワイトリストを使用しているわけではありません。アンチウイルスソフトウェアを使用している銀行もあれば、一切マルウェア対策を行っていない銀行もあります(言うまでもなく、理解できませんが…)。ATMを保護するという観点から考えた時に、アンチウィルス(AV)が適切な選択肢であったことはこれまで一度もありません。そして今回の脅威は、この事実を浮き彫りにしています。今回の脅威は非常に新しい脅威であるため、AVソフトウェアにはこの脅威を特定するシグネチャが存在しません。最低でもATM上でAVシグネチャを更新する必要がありますが、先ほど申し上げた通りこれらの脅威を実行するために書かれた実際のマルウェアが特定されていないためシグネチャの更新は難しいのです。また残念なことに、現時点でこの攻撃手法を使用するマルウェアは「標準的なソフトウェア」にかなり類似していると考えられているため、区別すること自体難しいのです。


ATMでAVを使用している銀行にとってはさらに皮肉なことに、多くのサードパーティー製AV製品は、新しいパッチを終了させる侵入型の方法でCPUにアクセスするため、「Meltdown」に対してMicrosoftが提供しているセキュリティパッチは、多くのサードパーティー製AV製品によってブロックされてしまうことが明らかとなっています。これらの事実から、銀行はATMの保護に関して教訓を得ることができます。ATMを保護するという観点から考えた時に、アンチウィルス(AV)が適切な選択肢であったことはこれまで一度もなく、今回のケースではAVソフトウェアによりATMの脆弱性が高くなる可能性があります。当社から銀行へのアドバイスは、直ちにホワイトリストを使用するATMに変更することです。


ただし、銀行のATMを保護するために至急やらなければならないことはそれだけではありません。「Meltdown」からATMを保護するため銀行はMicrosoftが2018年1月に公開したWindows向けの新しいセキュリティパッチを配信する必要もあります。公開当初はこのパッチによるパフォーマンスヒットが懸念されましたが、ベンチマークではパフォーマンスヒットは実証されていません。ホワイトリストだけでも新しいマルウェアからATMを保護できる可能性はありますが、当社は第二の防御として2018年1月に公開されたパッチを推奨しています。これにはいくつかの理由があります。1つ目の理由は、「内部攻撃」です。ホワイトリストの設定を変更できる行内の社員が不正を働いた場合、ホワイトリストがリスクにさらされる可能性があります。KALは、誰にもATMの管理者権限を与えないことを常に推奨していますが、残念なことに、多くの銀行がATMの管理者権限を社員に付与しているのが現状です。これはセキュリティに関して銀行が下す判断ですが、「Meltdown」は管理者権限を使用して簡単にATMへの不正侵入を可能にする可能性があります。


このため、当社は社員の誰にもATMの管理者権限を付与しないことを銀行に強く推奨します。社員への管理者権限の付与は不要です。ATM上で有効なメンテナンス作業は、標準権限を使用して実施できます。また、ATMの管理者権限を持つ社員であれば誰でも「Meltdown」に限らずあらゆるマルウェアを簡単にATMにインストールし、実行できてしまいます。
さらに、誰もが認識していながらあえて触れることを避けている重要な問題も存在します。それが、ATMで未だにWindows XPを実行している銀行が存在するということです。MicrosoftはWindows XP向けのセキュリティパッチの提供打ち切りを正式に発表しています。ATMでXPを実行している銀行は、この脆弱性を修正するため直ちにパッチを発行するようMicrosoftに依頼する必要があります。
幸いなことに「Meltdown」から保護するためのWindows 10のパッチはサポートされているOS向けにすでに公開されています。サポートされているOSはこちらからご確認いただけます。


「Meltdown」と「Spectre」は深刻に考えるべき問題ですが、ATMのセキュリティにはATM独自の幅広い側面があることを心に留めておくことが重要となります。重要なことに意識を集中し、考えられる最善のセキュリティ対策すべてを積極的に導入することで、新たな脅威が出現したとしても、脅威の被害を受ける前に先手を打てるようになります。


KALについて


KALは世界をリードするATMソフトウェア企業であり、Citibank、UniCredit、ING、Westpac、中国建設銀行など世界のメガバンクに選ばれているサプライヤーです。KALのソフトウェアは、銀行がATMネットワークを完全にコントロールすることを可能にすることで、コストを削減し、セキュリティに関するニーズをすべて満たし、競争力を強化します。お電話(+44 131 659 4900)またはメール(このメールアドレスはスパムボットから保護されています。閲覧するにはJavaScriptを有効にする必要があります。)で当社までお問い合わせください。


FortConsultについて


FortConsultはNCC Groupの一部であり、ITセキュリティのコンサルタントで構成される世界で最も実績のあるチームを有しています。NCC Groupと合わせると、1,000人以上のコンサルタントが在籍しており、世界中で15,000社以上の企業より信頼できるアドバイザーとして評価されています。世界35ヶ所以上に支社を構え、ITセキュリティに関するあらゆる問題について様々な業界のクライアントにアドバイスを提供しています。