世界No.2のビットコインATMに脆弱性、米クラーケンが注意喚起

ビットコインATM「BATMtwo」に脆弱性

米大手暗号資産(仮想通貨)取引所クラーケン(Kraken)の研究部門Kraken Security Labsは29日、普及しているビットコイン(BTC)ATMについて、いくつかの脆弱性を発表した。

脆弱性が見つかったのは、The General Bytes社が提供する「BATMtwo」のシリーズである。管理用QRコード、Androidのオペレーティング・ソフトウェア、ATM管理システム、さらに機械のハードウェア・ケースなど、いくつかの側面で不正に使用されてしまうリスクが発見された。

チェコ共和国に拠点を置くGeneral Bytes社は、世界第2位のビットコインATMプロバイダー。世界で約6,380台のビットコインATMを設置しており、この市場の約23%を占めている。

合計で約5,300台と、そのATMのほとんどが米国とカナダにあるが、ヨーロッパにも820台以上が設置されている。「BATMtwo」は、ビットコイン以外にもイーサリアム(ETH)、ライトコイン(LTC)、ドージコイン(DOGE)など40銘柄以上に対応するシリーズだ。

ビットコインATMとは

一般的な現金自動預け払い機(ATM)と同様の感覚で、現金やデビットカードなどで仮想通貨を購入したり、仮想通貨を現金に変換して引き出すことができるデバイス。

▶️仮想通貨用語集

Kraken Security Labsは、2021年4月にも、General Bytes社にATMの脆弱性を報告。同社は、バックエンドシステムを修正し、ユーザーに注意喚起も行っている。

しかし、今回改めてKraken Security Labsが実機を取り寄せて調査したところ、まだ修正すべき点があることが分かったという。

報告された主なリスク

まず、デフォルトの管理用QRコードにアクセスできる者であれば、ATMを不正に操作できる可能性がある点をKrakenは指摘。調査では複数のATMが取り寄せられたが、それらのATMには同じデフォルトキーが設定がされていた。多くのATMオーナーが初期のものから管理用コードを変更していないためだという。

また、ATMのキャッシュボックス(現金を入れておく箱)を交換する際には、その人物がATMの後ろのドアを開けて、内部の組み込みコンピュータ、ウェブカメラ、指紋リーダーなどに細工することができる。ドアが開いていることを警告するアラームが設置されていないことも、そうしたリスクを高めている。

さらに調査によると、BATMtwoに搭載されているAndroid OSには、一般的なセキュリティ機能が不足していた。BATMtwoにUSBキーボードを取り付けると、Androidの全UI(ユーザーインターフェース)に直接アクセスして、アプリケーションのインストールやファイルのコピーなどが可能な状態だ。

クラーケンの推奨事項

Kraken Security Labsは、ビットコインATMユーザーに以下の措置を推奨している。

  • 信頼できる場所や店舗に設置されているATMのみを使用する。
  • ATMが監視カメラなどで常に監視されていることを確認する。

また、ATMのオーナーには次のことを勧めた。

  • デフォルトのQR管理コードを変更していない場合は、変更する。
  • ATMは監視カメラなどで常に監視される場所に設置する。
  • サーバーを更新し、General Bytes社のベストプラクティスに従う。
24時間上昇率ランキング(国内)
24時間下落率ランキング(国内)
1週間上昇率ランキング(国内)
1週間下落率ランキング(国内)
時価総額ランキング(国内)

画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します