セキュリティ

「マクドナルドの自動券売機はハッキングし放題」である理由をエンジニアが解説

by Marco Verch

マクドナルドに設置された自動券売機にはマルウェアを簡単にインストールでき、接続されている決済システムから情報をスキミングすることができるとして、オーストラリア在住エンジニアのジェフリー・ハントリー氏がその理由を解説しています。

Why are McDonald’s Self Service Kiosks so hackable?
https://ghuntley.com/mcdonalds/

オーストラリアのマクドナルド巡りをよくするというハントリー氏いわく、店内に設置された決済端末付きの自動券売機は頻繁に紙切れを起こし、店員が紙の交換を容易にするために端末のロックを常に解除しているとのこと。オーストラリア中のマクドナルドでこのようなことが日常的に行われているそうです。


さらに券売機には標準的なx86コンピュータのNUCが入っており、タッチスクリーン入力で管理者としてWindows 7を起動し、一般人がどんなアプリケーションでも実行できるとのこと。端末はUSBポートが露出しているため、誰かがマルウェアを仕込むことで簡単に決済情報を抜き取ることが可能だとハントリー氏は話しています。実際にハントリー氏が券売機で電卓を立ち上げた様子は以下の動画で確認できます。

CVE-2022-244622: A local unauthenticated attacker within a @McDonalds could exploit this knowledge to pop calc.exe.

The default user on the terminals is Administrator and touch screen input is enabled. pic.twitter.com/uG1pXG6iYb

— GEOFF (@GeoffreyHuntley)


ハントリー氏によると、券売機は「物理的に安全だから管理者として実行できても問題ない」という設計で作られているとのことですが、これは許されないことだとハントリー氏は語ります。券売機は前述の紙の交換に加え、ユーザーインターフェースにエラーメッセージが出現すると注文番号の表示を隠してしまうため、従業員が調整を簡単に行うためにロックを解除したままにしているとのこと。

ハントリー氏は「券売機を簡単に管理者権限で動作させられるままでは、これらの端末が金融犯罪に使われることは必至だと考えています。以上のことから、私はもうこれらの券売機を使用しませんし、使用しないことをお勧めします」と述べました。

この記事のタイトルとURLをコピーする

・関連記事
地下鉄の運賃が無料になって乗り放題となった理由とは? - GIGAZINE

クレジットカードなどの情報を盗むマルウェアに感染しているオンラインショッピングサイトは増加し続けている - GIGAZINE

クレジットカード情報を抜き出すスキミングコードがAmazon S3で1万7000件のドメインに仕掛けられる - GIGAZINE

カミソリのように薄いATMスキミング装置が発見される - GIGAZINE

・関連コンテンツ

in ハードウェア,   セキュリティ, Posted by log1p_kr

You can read the machine translated English article here.