2008年はスマートカードであったが、2009年はATMである。
ラスベガスでセキュリティカンファレンスが開催される時期まであと約1カ月となった今、「Black Hat」カンファレンスおよび「DEFCON」カンファレンスで予定されていた現金自動預払機(ATM)に関する講演の中止が明らかにされた。
Juniper Networksによると、同社の研究者がこれらのセキュリティカンファレンスで行う予定であった、ATMソフトウェアの脆弱性についての講演が、ATMベンダーからの要請を受けて中止になったという。
Barnaby Jack氏は「Jackpotting Automated Teller Machines」(現金自動預払機で大当たりを引き出す)という講演において、ATMに存在しているローカルおよびリモートの攻撃ベクトルに関して論じるとともに、一切の改造が施されていないATMを攻撃するというデモンストレーションを行う予定であった。
DEFCONウェブサイトに掲載されていた同講演の説明(現在では削除されている)によると、「ATMに対するよくある攻撃ではたいてい、カードのスキミング機器が使用されたり、ATM自体が盗まれたりする。しかし、ATMに搭載されているソフトウェアを狙う攻撃というものはほとんど見かけることがない。この講演では、ATMの人気の高い新機種のインターフェースを調査、分析し、脆弱性を発見するまでにわたしが取った道のりをたどる」という。
Juniper Networksは声明において、「Jack氏の研究は重要であり、セキュリティを取り巻く状況を向上させるうえで公共の場で発表されるべきものであると確信している。しかし、ATMベンダーが十分な対策を講じる前に、Jack氏の研究結果が公の場で明らかにされることについて、彼らはわれわれに対して懸念を表明してきたのである。Juniper Networksは他のベンダーに対するこの問題の影響の大きさを考慮し、Jack氏の研究で明らかにされた問題に対して、影響のあるすべてのベンダーが十分な対策をとるまで、彼の講演を延期することにした」と述べている。
この声明によると、Juniper Networksは他のATMベンダーに連絡を取り、Jack氏の研究で発見されたセキュリティリスクに関する対策をとるための支援を申し出ているという。
Juniper Networksは、講演で採り上げられることになっていたATMのメーカーを明らかにしていない。また、Jack氏にコメントを求めようとしたものの、連絡を取ることができなかった。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ