2015年1月19日、著名なセキュリティジャーナリストのブライアン・クレブス氏が、「ATMを狙った攻撃」の新手法を自身のブログ記事で解説した。念のために記すと、ここでいうATMとは「automated teller machine」、つまり世界中の銀行や小売店に設置されている、あの現金自動預け払い機のことだ。

このクレブス氏の報告を、一切コードの話を交えずに説明しよう。この「black box」と呼ばれる攻撃は、まず攻撃者がATMの上部へ物理的にアクセスし、そのATM自身のコア（指令を出す部分）からディスペンサを切断する。そして、この脳を失った状態のディスペンサに、コンピュータ（攻撃者が持ち込んだ小さな基板）を物理的に接続し、現金を強制的に吐き出させるためのコマンドを実行するという大胆なものだ。

ただ、具体的な手法のアイディアとしては、実はそれほど目新しいものではない。「Positive Research Center」ブログが同日19日の投稿でも指摘しているとおり、black boxの攻撃は、昨年のセキュリティカンファレンス「Black Hat Europe 2014」で行われたプレゼンテーション「Hack your atm with friend's Raspberry.Py（Alexey Osipov & Olga Kochetova）」（動画）の手法と良く似ている。

このプレゼンテーションでは、攻撃用のツールとして、市販のRaspberry Pi（軽量・安価で人気のシングルボードコンピュータ）が用いられた。発表者たちはデモ用のATMの外装カバーを物理的に侵害し（具体的には鍵を開ける）、その内部へ直接的にRaspberry Piを接続することで、このATMからデモ用の紙幣を取り出すことに成功している。

伝説のハッカーとして名高いバーナビー・ジャック氏（2013年、35歳の若さで死去）が、Black Hatのステージで「ATMのジャックポット」を実演し、聴衆の喝采を浴びたのは2010年の夏だった。「人間がATMを騙して金を受け取る」というテーマは、純粋に人々の好奇心を煽るもののようで、その後も複数のセキュリティ研究者たちがATM攻撃の様々な手法を発表している。

だが、こういった発表を「なんだか怖いですね」とハリウッド映画のように楽しむだけの時代は過ぎたのかもしれない。なぜなら、いま現実に起きている「犯罪的なATMの利用」や「ATMそのものへのハッキング」が、研究者たちの発表に負けぬほど興味深く、また巧妙で恐ろしいものとなってきているからだ。これまで「ATMの犯罪的利用」として報告されてきた手法の多くは、実際にATMの内部から金を抜き取るのではなく、ATMにツールを設置し、そのATMを使ったユーザーのカードが持つ情報や暗証番号を盗み、クローンカードを作成するというものだった。つまりスキミング用のツールをATMに仕掛けるタイプのものだ。とはいえ、それはそれで非常に独創的で興味深い手法なので、本題に行く前に軽く触れておきたい。

例えば、先述のクレブス氏もこれまでに多様なタイプの手法を報告している。ほんの数例を挙げると、「暗証番号を読み取るためのピンホールカメラと共に、ATMのカード挿入口にかぶせる透明のスキミングツール」「キャプチャしたカード情報の詳細を音声波形に変換して送信し、後にデコードするタイプの、MP3ベースのスキミングツール」といった具合だ。これらは実際に欧州などで犯罪に使われている。

これらのスキミングで使われるツールは、より目立たぬように小型化される傾向にあるが、中には例外もある。例えばラテンアメリカでは、ATMの上に被せて設置するタイプの偽のATM操作盤が報告された。この偽物はスクリーンを備えており、カードを挿入した被害者に向けて「故障中」のメッセージを表示させることができる。他にも、実際のキーパッドの上にフィットする偽物のキーパッド」にスキマーを内蔵させたタイプもあり、それはスキミングしたカードの暗証番号を同時に記録することを極めて容易にするものだ。

そして今や、ATMへの攻撃はスキミングだけでなく、実際に金を抜くハッキング事件が現実に起こっている。実は、ダイレクトに現金を吐き出すハッキングの実例が報告されたのはblack boxが初めてではない。次回は、これまでに取り沙汰された例を紹介しつつ、black boxの機能について、もう少し踏み込んで説明したいと思う。

※後編に続く