X-Force

【事例】大手商業銀行、IBM X-Force Redの侵入テストを採用し、犯罪組織の手法を特定

2020-05-13

記事をシェアする:

IBM X-Force Red の侵入テストが、犯罪組織によるATM からの現金の盗難方法の特定に貢献

この銀行は、自社の広範なネットワーク内のATM にセキュリティー侵害が発生していることを検知した際に、IBM X-Force Red に ATM 侵入テスト (ペネトレーション・テスト) の実施を依頼しました。ベテラン・ハッカーで構成された X-Force Red チームは、窃盗犯が標的とする ATM にマルウェアをインストールすることができるセキュリティー上の欠陥を突き止め、銀行が手頃な費用で修復できるソリューションを見つけるのを支援しました。この記事を共有する

Business challenge

この銀行は、自行に強力なセキュリティー体制が整っているにもかかわらず、犯罪者が ATM に侵入し、マルウェアをインストールして思いのままに現金を引き出しており、大きな損失を出していたことに気付きました。

Transformation

X-Force Red のベテラン・ハッカーは、窃盗犯が悪用した脆弱性、すなわちATM のハードドライブの暗号鍵を生成する脆弱なアプローチを見つけ出し、より強力な防御策を講じる手助けをしました。

Results

窃盗犯がマルウェアをインストールできてしまう脆弱性を特定
脆弱性の修復をコスト効率よく行うアプローチ採用を支援
銀行内の他の ATM のセキュリティー対策の効果を精査

Business challenge story

窃盗犯は 2 台の ATM に侵入し、最終的には何百万ドルもの現金を盗み出しました。
それは、銀行にとって最悪の悪夢と言える状況でした。窃盗団は銀行の ATM を自分たちの貯金箱に変え、思いのままに現金を引き出していたのです。定期的な出金と 1 回で全額を引き出す「キャッシュアウト」を組み合わせて、窃盗犯は最終的に数ヶ月間のうちに400 万米ドル相当の現金を盗み出しました。その全てが、ほぼ追跡不可能な現金でした。

しかし、窃盗団の手法にあるパターンが浮かび上がりました。窃盗団は、ATM の特定のモデルだけを標的にしていました。また、同機種のATMが2 台盗まれていたことも判明しました。ATM を盗んだのが現金の引き出しを行っていたのと同じ犯罪者グループであったと仮定すると、この窃盗団には ATM を「破る」方法を見つけるための十分な時間があったことがわかりました。

これらの ATM はビデオ・カメラや侵入検知センサーによって保護されていませんでした。しかし隣接している企業から入手した監視ビデオの解析により、ギャングが ATM の上半分つまり、コンピューター・システムが収納されているキャビネット部分を開ける方法を見つけ出したことがわかりました。このビデオを見ると、何者かがキャビネットを開き、ハードドライブを取り外して持ち去り、その 40 分後に戻ってきてキャビネットを再び開いて、ハードドライブを再度設置していることがわかりました。

銀行独自で実施したフォレンジック調査の結果、その 40 分間に窃盗団が現金の引き出しを可能にするマルウェアをインストールしていたことが判明しました。しかし、銀行が解明できなかったのは、窃盗団がどのようにコンピューター・キャビネットに侵入し、マルウェアのインストールを防ぐためのセキュリティー対策を回避できたのかということでした。

「銀行は ATM のセキュリティー対策を行う上で、多くの適切な方策を実施していたことがわかりました。しかしながら、銀行が見逃していた欠陥が1つだけ見つかり、窃盗団にまんまと悪用されていたことがわかりました」
— X-Force Redのハッカー、IBM

Transformation story

唯一の脆弱性が、本来信頼性の高いセキュリティー対策を弱体化
銀行の最高情報セキュリティー責任者 (CISO) は、 IBM Security サービスに ATM の監視を依頼しました。次に X-Force Red チームのベテラン・ハッカーが ATM 窃盗の調査に乗り出したのは当然の流れでした。このチームは、銀行の研究所で、犯罪者ネットワークに悪用されていたソフトウェア、ハードウェア、物理的な脆弱性を突き止めることに着手しました。

X-Force Red チームは、アンチウイルス・ソフトウェアの実行、Windows 環境の強化、USB バスがキーパッドやキャッシュ・ディスペンサーのような承認済みのデバイス以外のものを受け入れないように設定するなど、銀行が ATM の安全性を確保するために、多くの対策を適切に行なっていたことを確認しました。実際、このテストを行った X-Force Red のハッカーは、Windowのコンソール・モードから抜け出すことができず、特権アクセスに拡張することができませんでした。これは初めてのことでした。

銀行はまた、ATM でディスク暗号化を有効にしていました。これにより、窃盗犯が、ダーク Web で簡単に入手できる通常の ATM 向けのマルウェアの変異版を読み込まないないようにすることができたはずでした。しかし、銀行は問題に直面し、その結果、銀行が見落としていた脆弱性が発生してしまいました。見過ごしてしまった唯一の脆弱性を引き起こす問題に実地で直面することになりました。原因としては、銀行のATMの多くは、接続性が悪く、携帯電話のサービスが行き届いていない地域に設置されていたので、銀行はATMの起動時に暗号鍵を分散する際に、「コール・ホーム (call home)」アプローチを使用することができませんでした。その結果、特定のモデルはすべて同じ鍵になってしまいました。窃盗団はこのことを見つけ出すや否や、盗んだ ATM に自由にマルウェアをインストールし、独自のアクセス・コードを使って、ATMから現金を引き出すことができるようになりました。

窃盗団がコンピューター・キャビネットに容易にアクセスすることを許す物理的な脆弱性を特定することは比較的簡単でした。現金保管庫が設置されている下部のキャビネットは、非常に高度な鍵により保護されているのに比べて、上部のキャビネットの鍵は、標準的なファイリング・キャビネットの錠前と同等なものでした。これは多くの ATM に共通した脆弱性です。X-Force Red チームはその鍵を 15 秒未満で開錠できました。また、特定の場所にドライバーを差し込めば、簡単にキャビネットを開けらることもできると判断しました。いずれにしても、窃盗団は、1分以内にキャビネットを開けてハードドライブを取り外したり、再度設置することができたのです。

「ATM のテストを複雑にしているのは、アプリケーション・テスト、ハードウェア・テスト、ネットワーク・テスト、場合によっては電子機器、物理的なセキュリティーなど、さまざまなセキュリティー分野が関連していることです」
— X-Force Red ハッカー、IBM

Results story

暗号鍵管理の安全性を高めるアプローチにより ATM を強固に
X-Force Red の侵入テストにより、銀行はさらに ATM を強固なものとし、窃盗団が ATM をターゲットとする企みを頓挫させることができました。X-Force Red チームは銀行と暗号化ソフトウェアのベンダーと協力し、何千台ものATMに実装することが可能な、より安全な暗号鍵の生成のアプローチを決定しました。

このテストの取り組みにより、大きなセキュリティー・リスクにはなっていないものの、銀行が修復できる脆弱性も特定されました。例えば、パッチが適用されていないソフトウェアにより、遠隔地からATMの再起動や電源を切ることができるようになっていました。またリモート・モニタリング設定にも、すぐに対処可能な軽微な欠陥も見つかりました。

全体的に見て、この銀行は、非常に優れたATMのセキュリティー・プログラムを運用していたことが検証されました。また、X-Force Red の侵入テスト・サービスは投資価値が高いこともわかりました。