カジノ用システムの脆弱性を報告した研究者がベンダーの役員に襲われる事件が発生

by Pezibear

カジノやギャンブル市場についてのカンファレンスであるICE Londonのイベント会場で、カジノのシステムに脆弱性を発見したセキュリティ研究者がカジノシステムベンダーのCOO(最高執行責任者)に胸ぐらをつかまれるという事件が発生しました。事件のバックグラウンドについて、情報セキュリティ関連のメディアSecjuiceの編集長であるGuise Bule氏が記しています。

Security Researcher Assaulted Following Vulnerability Disclosure
https://www.secjuice.com/security-researcher-assaulted-ice-atrient/

2018年9月、セキュリティ研究者のDylan(@degenerateDaE)氏とMe(@Me9187)氏は、カジノシステムの技術ベンダーであるAtrientが提供するキオスク端末のシステムに脆弱性があることに気がつきました。キオスク端末はカジノが顧客に提供する「リワードシステム」に利用されるもの。カジノの多くでは、顧客が使った金額に従ってボーナスとして宝くじのチケットを付与したり近隣ホテルの宿泊料を無料にしたりする「リワードシステム」が採用されていて、Atrient製のキオスク端末を使うことで顧客がリワードをゲットできる仕組みになっていました。

キオスク端末はラスベガスだけでなく、世界中のカジノに販売されているとのこと。キオスク端末はバックエンドサーバーとユーザーの個人情報をやり取りしていますが、Dylan氏とMe氏によると運転免許証のスキャンや住所、ユーザーの行動などの個人情報が暗号化されることなく、誰でもアクセスできるインターネットを利用して送信されていたそうです。

Atrientのキオスク端末は平文でサーバーにユーザー情報を送信しており、全てのデータがネットワーク上で容易に読み取れてしまうとのこと。SSLによる保護もされていないことからキオスク端末のAPIは外部からの攻撃に対して非常に脆弱であり、IoTデバイス検索エンジンのShodanを使って簡単にデータが発見できてしまう模様。

by Ed Gregory

Dylan氏とMe氏はこの脆弱性について、Atrientのずさんな情報管理体制の氷山の一角に過ぎないと語ったそうです。2人によれば、Atrientがシステム開発を依頼しているインドのサードパーティーが、AtrientシステムのソースコードをGitHubに投稿してスタックオーバーフローについての質問を行っている事例さえあったとのこと。

Bule氏によればDylan氏らは誠実に行動し、脆弱性を開示する前にAtrientに直接連絡を取ろうと試みました。Atrientのようにグローバルな顧客を抱える企業にとって、今回発見された脆弱性は非常に危険なものですが、Atrientの社員らは2人から繰り返し送られてきたメールを完全に無視したそうです。

そこで2人はBule氏に対し、「どうにかしてAtrientとコンタクトが取れないだろうか」と相談を持ちかけてきました。Bule氏は「ラスベガスのカジノに関する脆弱性を調べています」とTwitterで発信したところ、FBIのサイバー統合ユニットが連絡を取ってきたそうです。このFBI部門はセキュリティ研究者が脆弱性を発見したにも関わらずベンダーが研究者とのコンタクトを拒絶している場合、お互いを協力させる役割を果たしているとBule氏は述べています。

by rawpixel.com

FBIの介入によってAtrientとDylan氏らは話し合いの場を設けることができ、FBIやBule氏を含めたグループでの電話会議が行われました。Atrient側はCOOのJessie Gill氏が同席しており、Dylan氏とMe氏はキオスク端末が外部からの攻撃に脆弱であり、犯罪者に狙われる危険とその影響が大きいことを説明したとのこと。

Gill氏がセキュリティ向上のためにできることなどを研究者らに尋ね、会議が前進したように見えた頃合いで、電話会議に参加していたFBIがAtrientに顧客への説明に関する質問を行いました。すると、Gill氏は「ここから先はオフラインで話したい」と発言し、2人とAtrient側は脆弱性発見の報酬と秘密保持契約(NDA)に関する非公開の会話を行ったそうです。

Bule氏はこの話し合いに招待されませんでしたが、研究者らによると2人は6万ドル(約660万円)の報奨金を提示され、NDAの書類ができるまで脆弱性について黙っているように頼まれたとのこと。研究者らにとって6万ドルは大金であるため非常に喜んだそうで、Gill氏も弁護士からNDAの同意書を送付することを約束したとBule氏は述べました。

しかし、Atrientはいつまでたっても2人に報奨金を払うことはなく、システムの脆弱性も修正されませんでした。やがて双方の話し合いから4カ月後が経過したころ、Atrientは最初から2人に報奨金を支払う手続きも、NDAの同意書を送付する依頼もしていなかったことが明らかになりました。

by Hichem Deghmoum

そんな折り、Dylan氏はカジノやギャンブルについてのカンファレンスであるICE Londonにおいて、AtrientのCEOであるSam Attisha氏が新たなシステムについて発表するという情報を手に入れました。Attisha氏はカジノユーザーの顔をスキャンし、ユーザーが会員カードをスワイプすることなくキオスク端末を利用できるシステムについて、ICE Londonで話す予定だったとのこと。

システムのセキュリティが保たれていればこのシステムに問題はないかもしれませんが、Atrientのようにセキュリティが適切に保護されていないシステムの場合、顔のスキャンは重大なプライバシーリスクとなります。そこでDylan氏とMe氏はカンファレンスに参加し、何度も会話してきたGill氏と直接会って話し合おうと決心しました。

そしてICE Londonの会場でDylan氏がGill氏に近づいて自己紹介を行ったところ、Gill氏はいきなりDylan氏に向かって突進し、胸ぐらをつかんでカンファレンスの参加者バッジをもぎ取ったとのこと。Gill氏は研究者に向かって「これはもういらないだろう」と言い、バッジを離そうとしなかったそうです。この事件はAtrientのCEOであるAttisha氏をはじめとする複数の人間に目撃されており、Bule氏はICEの主催者に対して展示ホールの録画ビデオを要求しているとしています。また、Dylan氏もGill氏の行為について警察へ連絡したとのこと。

Gill氏から解放された後にDylan氏はGill氏の様子をスマートフォンで撮影していますが、ムービー中でGill氏は何度も会っているはずのDylan氏に対し「お前のことなんか知らない」と話していることがわかります。

また、Bule氏がこの事実をSecjuice上で公開したところ、Dylan氏とMe氏を含む関係者にAtrientから法に訴えるという内容のメールが送られてきました。メールによるとセキュリティ研究者はAtrientに対してハッキングを仕掛けて脅迫を行ったことになっていますが、Bule氏はこのメールの内容は全く事実でないとしてメール本文をサイト上に掲載しています。Dylan氏も同様のメールをTwitter上で公開し、「私は全てのやり取りを記録しており、私たちは一切の金銭的要求を行っていません」と述べました。