一般的な「ビットコインATM」に複数の脆弱性が発見される、ハードウェアとソフトウェア両面で

「ビットコインATM」とは、現金やデビットカードを使用してビットコインを購入したり、逆に所有しているビットコインを売却して現金にしたりできるATMのことです。暗号資産(仮想通貨)の普及に伴ってビットコインATMの設置台数は増えていますが、仮想通貨取引所・クラーケンの研究機関であるKraken Security Labs(クラーケン・セキュリティ・ラボ)が、「一般的に使用されているビットコインATMにハードウェアおよびソフトウェアの脆弱性(ぜいじゃくせい)を発見しました」と報告しています。

Kraken Security Labs Identifies Vulnerabilities In Commonly Used Bitcoin ATM - Kraken Blog
https://blog.kraken.com/post/11263/kraken-security-labs-identifies-vulnerabilities-in-commonly-used-bitcoin-atm/

クラーケン・セキュリティ・ラボは、潜在的なセキュリティの欠陥についてのユーザー意識を高めると同時に、問題を解決できるよう製品メーカーに警告するという目的で、さまざまな仮想通貨関連ハードウェアのセキュリティ調査を行っています。今回、研究者らは広く使われているビットコインATMである「BATMTwo」の実機を入手し、ハードウェアとソフトウェア両面で分析を実施したとのこと。なお、BATMTwoはビットコインだけでなく、イーサリアムやライトコインを含む40以上の仮想通貨取引に対応しており、壁や専用のスタンドに取りつけられる設計となっています。

分析の結果、BATMtwoには複数の脆弱性が確認されました。クラーケン・セキュリティ・ラボは以下のムービーで、悪意のある攻撃者がBATMTwoの脆弱性を悪用する方法について説明しています。

Kraken Security Labs Bitcoin ATM Vulnerabilities Overview - YouTube

◆管理用QRコードの問題
これがBATMTwoの実機です。

BATMtwoを受け取った所有者は、「管理用QRコード」を本体でスキャンしてATMを設定するように指示されています。管理用QRコードはATM本体のパスワードの役割を持っているため、それぞれのATMは異なったQRコードを利用することが望ましいのですが……

複数のルートから中古のBATMTwoを入手して調べたところ、デフォルトの管理用QRコードが複数のATMで共通していることが判明。BATMTwoの管理用QRコードを変更する作業は手動で行わなければならないため、変更を怠ったかなりの数のBATMTwo所有者は、他のATMと共通したデフォルトの管理用QRコードを用いているとクラーケン・セキュリティ・ラボは指摘しています。管理用QRコードを用いてATM管理メニューにアクセスすると、BATMTwoを有害なサーバーに接続することが可能になるため、ユーザーの個人情報や仮想通貨ウォレットが危険にさらされてしまうとのこと。

◆物理的侵害に弱いハードウェア
また、BATMTwoは単一のロックで保護されていますが、このロックが解除されてしまった際の脆弱性もクラーケン・セキュリティ・ラボは問題視しています。

BATMTwoの内部はこんな感じ。組み込みコンピューターと現金が入るボックスが分離されておらず、扉を開きさえすれば簡単に内部構造にアクセスできてしまいます。扉が開いたことを検出して警告するセンサーやサーバー側のアラームが存在していないため、現金ボックスや組み込みコンピューター、ウェブカメラ、指紋リーダーが危険にさらされる可能性があるとのこと。

◆Android OSの不十分な防御
クラーケン・セキュリティ・ラボによると、BATMTwoに搭載されたAndroid OSには多くの一般的なセキュリティ機能もないそうです。内部の組み込みコンピューターに設けられたUSBポートにBluetoothキーボードを接続すれば……

完全なAndroid UIに直接アクセスできてしまいました。AndroidはUIを単一のアプリケーションのみに限定する「キオスクモード」をサポートしていますが、BATMTwoでは有効になっていないとのこと。悪意のあるユーザーがATMのUIにアクセスすると、アプリのインストールやファイルのコピー、攻撃者への秘密鍵の送信といった悪意のあるアクティビティを実行可能です。

◆セキュアブート機能を有効化していないコンピューター
BATMTwoは、組み込みコンピューターに使われているプロセッサのセキュアブート機能を利用していません。そのため、USBケーブルをキャリアボードに接続し……

直接電源ボタンを押すと、コンピューターを再プログラミングできてしまうとのこと。また、デバイスのブートローダーもロックが解除されており、UARTポートにシリアルアダプタを接続すれば、ブートローダーへの特権アクセスを取得できるそうです。

◆バックエンドのクロスサイトリクエストフォージェリ保護の欠如
BATMTwoは「Crypto Application Server(CAS)」というソフトウェアを使用して管理されていますが、クラーケン・セキュリティ・ラボの研究チームは、CASがウェブアプリケーションに存在する脆弱性を使った攻撃であるクロスサイトリクエストフォージェリの保護が実装されていないことを発見しました。これにより、攻撃者はCASに対して認証されたリクエストを生成できてしまうとのこと。

クラーケン・セキュリティ・ラボは今回の分析結果から、以下の事項をビットコインATMのユーザーと所有者に推奨しています。

・ユーザー
1：信頼できる場所と店舗でのみビットコインATMを使う。
2：ビットコインATMの周囲に監視カメラなどが設置されており、人の目を盗んで侵害されている可能性が低いことを確認する。

・所有者
1：管理用QRコードを初期設定時から変更する。
2：CASサーバーを更新し、販売元のベストプラクティスに従う。
3：監視カメラなどが設置されており安全な場所にビットコインATMを設置する。