ATM の仕組み：詐欺を阻止する方法オルガ・コチェトワ（ Olga

Kochetova ）アレクセイ・オシポフ（ Alexey Osipov ）Kaspersky Lab

root@root:~# whoamiKaspersky Lab ペネトレーションテスト部門所属• @_Endless_Quest_ 、 @GiftsUngiven• ATM および POS のセキュリティ評価• ペネトレーションテスト• フォレンジック調査

多くの IT イベントでの講演複数の記事、リサーチ & アドバイザリの著述

ATM とは

レゴ

ハードウェアについて

ソフトウェアについて• ホスト（コンピューター）• MS Windows （ Windows XP!!1 ）• GUI およびデバイスコントロール• アンチウィルスまたはインテグリティコントロール

ソフトウェア• ビデオ監視• Radmin または TeamViewer などのリモート操作

ソフトウェア• デバイス• RTOS を備えたマイクロコントローラ

ロジックについて

レベル 0

カセット• セキュアなケーシング• 不正開封の防止機能• 不正開封の痕跡検出機能

カセット• 追跡システム• 現金破棄装置• アラーム

現金• 簡単に追跡可能• 力づくでカセットから

引き出すことは不可能

カード• 静的データなし• 動的データは伝達不可• 動的データの基盤となる機密情報は抽出不可

レベル 0

レベル 1

ディスペンサー• カセットが含まれる• 現金カセット• リジェクトカセット

• 機構を管理• ステータスを送信• コマンドを受信

カードリーダー • ユーザーとそのアカウントを識別• 認証機能を提供• EMV• 生体認証データ用

Match-on-Card

PIN パッド• 一般的に認証データの入力に使用• 金額の入力にも使用• キーボードと併用されることもある

生体認証デバイス• 認証のためにユーザーの物理的特性を把握• さまざまな特性• 虹彩• 指紋• 音声• 顔• 血管• その他

ディスペンサー / カードリーダー/PIN パッド

• コマンドは認証される• 通信は暗号化される • ファームウェアは変更できない• 機密データは個別に保護される

レベル 1 - ディスペンサー / カードリーダー /PIN パッド• 認証されるコマンドは最小限• 通信は暗号化されない • ファームウェアは変更できる • 機密データは個別に保護される

レベル 2\

通信回線• バス• USB• SDC （ RS485 ）• CAN

• 回線• COM （ RS232 ）• GPIO

通信回線• 送受信中のデータはデータとは別に暗号化される• ケーブルをいじるとデバイスが無効になり、物理的な操作が必要になる

レベル 2 - 通信回線• 送受信中のデータが

追加で暗号化されることは無い• ケーブルをいじるとデ

バイスが無効になり、物理的な操作が必要になる。一部のモデルで追加のモジュールまたはファームウェアのみがアップデートされる

ビデオブラックボックス

レベル 3

サービスプロバイダ• ハードウェアユニットと通信するユーザー空間ソフトウェア• デバイスの製造元が作成• 統一された通信標準は

無い

XFS• eXtensions for

Financial Services( 金融業界向け拡張機能 )• さまざまなハードウェア

ベンダーとソフトウェア製作者の間に相互運用性を提供

“Windows アプリケーション”

• グラフィカルユーザーインターフェイス• ネットワーク

クライアント• サービスモード• テクニカル• 両替• セキュリティ機能の構

成

XFS およびサービスプロバイダ• プロキシとして考えることが可能• 送受信するデータには関知しない• デバイスとのセキュアな通信を開始

“Windows アプリケーション”

• 最小限のインターフェイス• すべてのサービスオプ

ションに対するパスワード保護• セキュアな

ネットワーク通信

レベル 3 - マルウェア

レベル 3 - マルウェア

ビデオWin32.Skimmer

レベル 4

物理的側面• 鉄筋コンクリートのカバー• 不正開封の防止機能• 不正開封の痕跡検出機能• アラームシステム

オペレーティングシステム• GUI を起動するためのプラットフォーム• 役割ベースの

システムへのアクセス• パスワードによる保護• インテグリティ

コントロール• 堅牢なアップデート

ネットワーク• 処理センターとの通信• リモートによる

システム管理• カスタマイズに関する

情報

レベル 4 - 物理的側面

レベル 5 - ネットワーク

レベル 5

処理

処理

処理

ビデオ不正処理

結論ではない

ATM のセキュリティの現状

詐欺に遭った場合• netstat -an | findstr

LISTEN• tasklist• nmap -sU -sS -p-

ATM_IP• wireshark• usbpcap

賢い選択を

セキュリティは一連の過程である

ご清聴ありがとうございましたオルガ・コチェトワ、 Olga.Kochetova@kaspersky.com 、 @_Endless_Quest_

アレクセイ・オシポフ、 Alexey.Osipov@kaspersky.com 、 @Gi

ftsUngiven