コンビニチェーンに設置されたATMから暗証番号が盗まれ、さらにそれが悪用されている……こんな事件がいま米国で話題になっている。米Associated Press(AP通信)の7月1日の報道によれば、米7-Elevenに設置されたATM端末のソフトウェア上の脆弱性を利用し、PINコードを盗み出していた人物ら3人が米ニューヨーク州南地方裁判所で起訴されていたという。同人物らは何百万ドルもの資金の窃盗容疑がかけられているが、その中に上記のPINコード盗難疑惑が含まれている。Seven Elevenは現在、米Citibankとの提携で同社名義のATM端末を全米店舗に展開している。ATM端末にはWindowsが利用されているが、今回の問題はATMの運営会社がこのシステムを適切な形で運用していなかったため、暗号処理上の問題からハッカーによる侵入を許してしまったようだ。

手軽に利用できるコンビニのATM端末だけに、そこでのPINコード盗難は大きな衝撃だ。しかもそれが、大手コンビニチェーンに設置された大手金融ブランドのATM端末となればなおさらだ。AP通信の報告によれば、同端末はWindowsベースのシステムで構築されているという。Windowsはツールやソフトウェアが充実しており、現在ではPOS端末や空港/公共機関に設置された端末など、さまざまな用途で利用されている。同システムはリモートでのメンテナンスを想定して、インターネットを介してリモート診断やソフトウェアの修復を行えるような設定が行われていたが、この際にPINコードを保護するのに十分な暗号強度が設定されておらず、この部分を利用して前述のハッカーらによる侵入を許す結果になった。現在Citibankでは、7-Eleven店舗を通して同社名義のATM端末約5,700台を全米展開している。この間どれだけの被害があったかは不明だが、Wired.comによれば少なくとも2007年10月から2008年3月までの期間は問題が存在していたようだ。

また、さらに問題を大きくしているのは、上記のATMを運営していたのはCitibankではない点だ。上記ATMは米テキサス州ヒューストンに拠点を置く米Cardtronicsが保有している機材で、同社はATMの一部の運用も担当している。残りのATMについては米ウィスコンシン州ブルックフィールドに拠点を置くFiservが運用を担当しており、実際の運用担当責任はCardtronicsとFiservの2社にある。AP通信のインタビューによれば、Fiservの担当者は同社運用端末での問題は確認できなかったとコメントしている。筆者が確認した時点でCitibankからの公式声明は出ていないものの、ATM端末の運用体制や今後の責任問題を巡って3社間で話し合いが行われるものとみられる。

今回の事件のポイントは、セキュリティ上の脆弱性を抱えたATM端末が存在していたこと、そしてその運用体制がどこまで厳密に考慮されていたかだ。今後Citibankは、同端末を含むすべての同社ブランドの端末の運用体制を見直すことを迫られるだろう。またこうした問題は氷山の一角と思われ、実際には問題を抱えているものの、気付かずにそのまま運用が続けられているシステムも存在していると考えられる。