ビットコインATMを提供するラマッス・インダストリーズは、ホワイトハッカーのチームが同社のATMを完全に乗っ取り、いくつかの欠陥を浮き彫りにした後、脆弱性を修正した。
2023年、IOActiveのセキュリティ研究者のチームがラマッスが発行する複数のATMをハイジャックしようと試みた。研究チームはATMへのアクセスを試みる中で、複数の脆弱性を特定し、それらを悪用してATMへのアクセスを獲得した。セキュリティ研究者たちはATMのカメラとシステムへのアクセスを実演した。
IOActiveの最高技術責任者(CTO)であるギュンター・オルマン氏はコインテレグラフに対し、攻撃者は「ハイジャックしたATMとのやり取りを視覚的に確認し、操作することができる」と説明する。同氏によれば、ハッカーが脆弱性を利用してATMを通じてユーザーのウォレットからBTCを盗む可能性があるという。オルマン氏は「十分な準備をした熟練の攻撃者は、ATMのユーザー体験全体を変更あるいは置き換え、ユーザーに追加のアクションを実行させるためのソーシャルエンジニアリングを行うことができる」と言う。
同氏はまた、攻撃者がユーザーをだまして銀行口座の詳細を入力させ、無料または割引されたビットコインなどのオファーを提示する可能性もあると語った。しかし、オルマン氏はまた、影響はユーザーの口座残高に限定されるだろうとも指摘する。「最終的には、デバイスがオペレーティングシステムレベルまで侵害された場合、ユーザーに対する攻撃の範囲は、そのデバイスや製造者をどれだけ信頼しているかにのみ限られる」と彼は付け加えた。
一方で、IOActiveのハードウェアセキュリティディレクター、ガブリエル・ゴンザレス氏は、この脆弱性により物理的にATMにアクセスできる攻撃者は「完全な制御を持つことができる」と指摘する。ゴンザレス氏は、ビットコインの盗難に加えて、ATM内の全ての現金が抜き取られる可能性もあると説明した。また、実際の金額とは異なる高額の入金が行われたように「紙幣リーダーを騙す」ことも可能だとした。
ゴンザレス氏は、ATMがどこに設置されているかによっては、特に無人の場合、さまざまな方法で悪用される可能性があると付け加えた。
ATMの欠陥がユーザーに深刻な影響を及ぼす可能性があったが、ATMプロバイダーは2024年に脆弱性が公に開示される前にセキュリティパッチを通じて修正を行った。また同社は、ATMのオーナーに対してビットコインATM機器のアップデートをするよう求めた。
翻訳・編集 コインテレグラフジャパン