エフセキュアブログ

XFS を含む記事

サイバー検閲との闘いに参加




表現の自由は誰にとっても重要な課題です。この一年の出来事によって、この課題がいかに難しいものであるかが浮き彫りになりました。表現の自由は、国や文化といった枠を大きく越えてはいますが、世界中の人々にとって、そうした枠により表現の自由という問題はそれぞれ違った形で形成されているのです。表現の自由が、私たち全員にとっての課題である一方で、これが意味することは、人によって異なるということです。

国境なき記者団は、2008年に世界反サイバー検閲デーを定めました。その目的は、私たちが本当に思っていることを口にする権利は、当然のものとして考えるべきものではないという意識を高めることにあります。言論の自由は、その普及を脅かすような変化に直面する中で、絶えず成長と縮小を繰り返す動的な概念です。インターネットによって、世界中の多くの人が効果的に発言できるようになった一方で、このインターネットというかけがえのない資源に対抗して発生する脅威が常に存在しています。世界反サイバー検閲デーはこうした闘いに注意を向けています。

昨年、国境なき記者団は、年次イベントの一環として「インターネットの敵」と呼ばれるリストの作成を行いました。このリストを見ると、世界各国の政府機関が挙げられていることがわかります。私たちのデジタル・フリーダムのもろさを浮き彫りにしている事例の多くの原因はこうした政府機関にあり、例えば、数百万件におよぶ通話への暗号化キーがNSAとその共謀者によって盗まれたジェムアルトのハッキング事件もその一例です。また、監視などはまだ序の口に過ぎず、事例の中には、こうした機関が自分たちの標的を確認したら、行動をエスカレートさせ、標的を抑圧するといったこともあります。香港の抗議団体は、地元の民主化運動ウェブサイトがマルウェアに感染した際にこれを経験しました。また、トルコでも国民がツイッターの取り締まりにおいてこれを経験しています。

インターネットの敵としてこうした機関に注目することは、「敵と味方」という大きな二分化の中での闘いを生み出します。敵・味方というのは、この対立を指すには少々ありふれた、単純化し過ぎた表現かもしれませんが、それでもこれが示すのは、自分たちが持つ権利を結集し主張する機会が人々にはまだあるということです。そして、この闘いにおいて、誰ひとり孤独な人はいません。この闘いの中では、すべての人に敵も味方もいるのです。

ここまで色々述べてきましたが、世界反サイバー検閲デーは悲観的なことばかりではありません。国境なき記者団は、政府によってブロックされた多くのウェブサイトの抜け道を見つけるべく努力をしています。また、電子フロンティア団体は、引き続き情報の提供や教育、また開かれた自由なインターネットを求める声の代表としての取り組みを続けています。そして、エフセキュアは、プライバシーおよびセキュリティ対策を世界中の人々にとって簡単で身近なものにしていくことで、貢献したいと考えています。

>>原文へのリンク



この世は標的型攻撃に満ちている?


当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

いやいや、間違いあるだろう。NCR社製以外のATMをお使いの業者の方も安心してはいけません。

問題となっているWOSA/XFSという規格は、ウィキペディアでの説明によると、ベンダーごとにばらばらだったATMの規格を統一するために作られた規格です。WOSAのOはOpenのOですので、わざわざ百度(バイドゥ)さんの力を借りなくても誰でもソースコードレベルで実装を手に入れることができます。NCR社だって、XFSを使っていることを堂々とオープンに宣伝しています。

そういうわけですので、「NCR APTRA XFSソフトウェア」がインストールされていなくてもマルウェアは動きます。実際にmsxfs.dllをインストールした私の手元にあるWindowsでも動いています。



残念ながら手元のWindowsには現金が入っていないので、現金があるかのようにエミュレートしています。
(エミュレート部分は弊社エンジニア(op)により作成されました。)

要するに、統一規格であるXFSを採用しているATMであれば被害を受ける可能性があるということです。

じゃあ日本ではどれだけ採用されているのかというと、ウィキペディアのXFSのページには次のように書かれています。
日本国内の主要ATM及び通貨処理機メーカーは、ほぼ全ての金融関連製品で本規格(旧版を含め)を活用している

NCR社製ATMのAPIドキュメントが百度(バイドゥ)で公開される

 最近起きた、マレーシアにおけるATM(現金自動預け払い機)の侵害では、いくつかの地元の銀行に大混乱を巻き起こした。報告されたところでは、おおよそ300万マレーシア・リンギット(約100万米ドル)が18台のATMから盗まれた。犯人がどのような方法で犯行を行ったのか詳細な情報はないが、地元のニュースで報じられたことによると、「ulssm.exe」というファイル名のマルウェアを犯人がインストールしたと警察は述べているとのことだ。このマルウェアは侵害されたATMで見つかった。ファイル名からすると、問題のマルウェアはシマンテック社が最初に発見した、「PadPin」として知られているものだと我々は考えている。このマルウェアに関する基本的な技術情報はこちらにある。マレーシアでATMのハッキングに使われたものとPadPinが同一のものであるかについて、我々には確信はない。しかしそれでも、当社にてPadPinのコードの分析を行ったところ、興味深い点が見つかった。

 当社のバックエンドである、サンプル集約システムをくまなく探し、すぐに前述のファイル名に関連するサンプルをいくつか特定した。このサンプルは典型的なWindowsコンピュータでは動作しなかったため、当社のサンプル自動分析システムは、当該サンプルが悪意のあるものと判定しなかった。このサンプルは、ATMやセルフサービス端末などWindows Embedded OSを実行するマシン上にあると思われるDLLライブラリを必要とするのだ。このDLLライブラリはXFS(Extension for Financial Services)と呼ばれる。

Malware import Extension for Financial Services library
画像:マルウェアはXFSライブラリをインポートしている

 コードの調査中、見慣れないAPIファンクション群を発見した。見たところ、上の画像で示したMSXFS.dll経由でインポートされるものだ。残念ながらマイクロソフトはこれらのAPIについて公式なドキュメントを提供しておらず、そのことがマルウェアのコードの理解を難しくしている。マルウェアコードのある部分に出くわすまで、疑問は続いた。前述のAPI群のうちの1つを用いて、ATMの暗証番号入力パッドとの通信チャネルの確立を試みる部分だ。基本的にその目的は、犯人が暗証番号入力パッドに入力したキーをリッスンし待機することだ。これは、シマンテックの記事で述べられている別のタスクを実行するためのものだ。言い換えると、マルウェアがサポートするコマンドは、暗証番号入力パッドで入力できるキーに限られる。たとえば、犯人が暗証番号入力パッドで「0」と入力すると、ATM自動機から現金の払い出しを始める。コードを分析しながら、我々は不思議に思い始めていた。暗証番号入力パッドのサービス名として何をAPIに提示すれば、プログラムが暗証番号入力パッドと通信できるようになるのか、マルウェアの作者はどうやって知ったのだろうか。これはもっともな疑問である。コード内で使われているサービス名は非常に独特なもので、マニュアル無しにサービス名を特定できることは、まったくもってありそうにない。

 そこで我々は、API名とサービス名を用いて、APIのマニュアルがないかWebで検索を行った。その結果は?百度に設置された専用の電子書籍のWebサイトにて、容易にマニュアルが見つかった。NCR社のプログラマ用のリファレンス・マニュアルのようだ。

WOSA/XFS Programer's Reference Manual

 マニュアル全体をざっと読んで、ATMとの通信を行うソフトウェアをどのようにプログラミングするかについて予備知識がない人にとっても、ATM自動機とやり取りをするプログラムを書くことは、お手軽になったと結論付けた。このドキュメントは、その上プログラマにコードのサンプルを提示するほど親切である。我々は偶然、次のことにも気付いた。マレーシアの銀行のATM自動機を標的にする件のマルウェアが、Windowsのスタートアップフォルダから「AptraDebug.lnk」というショートカットファイルを削除しようと試みている。それと同様に、感染したマシン上のローンチポイントのレジストリキー「AptraDebug」もだ。その目的はおそらく、マシン上で実行中のデフォルトのATMソフトウェアを無効化し、マシンが再起動する際にそれをマルウェアで置き換えることだ。このファイルとレジストリキーは、NCR APTRA XFSソフトウェアを参照しているように見受けられる。そのため当該マルウェアが、このセルフサービスのプラットフォーム用のソフトウェアを実行しているマシンのみを狙ったものと仮定しても間違いないだろう。

 結論として、PadPinの作者ではない何者かがこのドキュメントを漏えい、アップロードした可能性がある。そして、銀行の従業員で経験豊かなプログラマがこのマルウェアを書いたという説を排除してはならない。

 ドキュメントがインターネット上でいったん入手可能となったら、誰かがそれを閲覧したりダウンロードしたりするのを止めることは、現実的には不可能だ。しかし、こうした侵害が再び起こることを避けるために銀行が採用できる対策がある。USBやCD-ROMから直接ファイルを実行しないようにATM自動機を守ることは、もっとも単純な対応方法の1つだ。

Post by — Wayne

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード