ATMを空っぽにされてしまったが、フォレンジック調査をしても何も証拠が残されてない。お金もログも。このような話をよく耳にするだろう。 我々は、インシデント対応やセキュリティ監査なども含めた調査・研究により、どのようにATMがハッキングされるか多数の事例を収集してきた。多数のATMが遠隔あるいはローカルからマルウェアに感染する。デバイスの通信ポートに直接接続するブラックボックスも存在する。また ATMが本来接続する正規の情報処理センターではなく攻撃者が用意した不正な情報処理センターや、中間者攻撃のようなネットワーク攻撃もある。 ATM詐欺を阻止する方法はあるのか?ブラックボックス攻撃によって大量にお金を引き出されることを防ぐにはどうすればいい?不正な情報処理センターへの接続や中間者攻撃といったネットワークハイジャックを防ぐ方法はあるのか?これらの問題は設定の変更や金銭による補償により解決可能であるが、多くはベンダしか解決できない。本講演では、そうした中で、今、銀行ができること、そして我々のようなセキュリティコミュニティがベンダに提案・協力すべきことについて説明する。過去、我々は、犯罪者に使われた脆弱性や詐欺手法について発表してきた。本講演では、我々は、過去に積み重ねた専門知識を活かし、ATMをよりセキュアにするためのセキュリティ対策やアプローチの実装方法について、金融界やセキュリティ業界を助けるために、より直接的なアドバイスを提供していきたい。 --- オルガ・コチェトワ Olga Kochetova 様々な機器が現金やクレジットカードとどのように相互通信するかに興味を持つオルガは、カスペルスキー・ラボの侵入テストチームのシニアスペシャリストである。ATMセキュリティに関して多くの記事の執筆やネット上で講演してきた。さらに彼女は、主要なATMベンダの様々な脆弱に対するアドバイザリーの著者であり、Black Hat Europe、Hack In Paris、Positive Hack Days、Security Analyst Summit、Nuit du Hack、Hack In The Box Singaporeなど多数の国際セキュリティカンファレンスでの講演経験を持つ。 --- アレクセイ・オシポフ Alexey Osipov カスペルスキー・ラボの侵入テストチームのリードエキスパート。XMLに関するプロトコルや通信機器セキュリティの脆弱性を悪用する様々な技術やユーティリティの作者。主要なATMベンダの様々な脆弱に対するアドバイザリーの著者。国際セキュリティカンファレンスで講演経験: Black Hat、Hack I