Ameba Ownd

アプリで簡単、無料ホームページ作成

【公式】Criminal IP Japanブログ

キオスク端末ハッキング : 攻撃対象領域に漏えいされたキオスクシステム

2023.01.13 07:25

キオスク(KIOSK)端末とは、政府機関や銀行、デパート、展示場、食堂などの公共の場に設置されたタッチスクリーン方式の無人情報端末です。企業及び機関は無人セルフサービスの利便性など、利点のため、より広い産業と分野にキオスク端末の導入を進めています。

新しい技術はいつもリスクを伴うように、キオスク端末もセキュリティ脅威の問題が続いて挙げられています。特に、キオスク端末は予約、決済サービスが主な目的であるだけに個人情報を保存・処理するため、攻撃者のターゲットになるのに最適です。一部のキオスク端末サービスはセキュリティについて十分に考慮されないまま配布されることもありあす。キオスク端末ハッキングが発生する理由としてはいろいろありますが、今度はパブリックネットワーク及びオープンポートで運営される攻撃対象領域に漏えいされたキオスク端末システムと管理者ページを検知し、脅威を予防できる方法について話してみます。


インターネットに漏えいされたキオスク端末システムの管理者ページ

キオスク端末ハッキングが発生する理由の1つとして、インターネットに漏えいされたキオスク端末システムの管理者ページを挙げられます。キオスク端末の供給業者とサービスを提供する企業及び機関はエンドポイント顧客がキオスク端末で決済、予約などの機能を使用できるよう、キオスク端末システムで管理します。正常のキオスク端末システムは外部からのアクセスがブロックされているべきで、管理者ページへのログインなどの認証を行わないとアクセスできません。

セキュリティOSINT検索エンジン、Criminal IPを活用してパブリックインターネットからアクセスできるキオスク端末システムの管理者ページを検索してみました。Criminal IP IT資産検索の検索ボックスにTitleフィルターを活用して次の検索語を入力すれば、漏えいされたキオスク端末システムを探せます。


Search Query: Title: Kiosk Management console UI

https://www.criminalip.io/ja/asset/search?query=title%3AKiosk+management+console+UI

Criminal IP IT資産検索で検索した外部ネットワークに漏えいされた
キオスク端末の管理システム


また他の検索語の“Title: Kiosk Management System” 検索されたあるウェブサイトにアクセスすると、次のようなキオスク端末の管理者コンソールページが稼働されることを確認できます。


Search Query: Title: Kiosk Management System

https://www.criminalip.io/ja/asset/search?query=Title%3A+Kiosk+Management+System

パブリックインターネットに漏えいされたキオスク端末の管理者コンソールページ、
キオスク端末ハッキングの脅威にさらされている


Title: Kiosk Terminal Management System”で検索すると、同様に次のようなキオスク端末システムのログインウェブページが見えます。


Search Query: Title: KIOSK Terminal Management System

https://www.criminalip.io/ja/asset/search?query=%22Kiosk%20Terminal%20Management%20System%22

Criminal IP IT資産検索に「Title:Kiosk Terminal Management System」
キーワードで検索した結果

キオスク端末システムのログインウェブページ、外部からアクセスできる状態で、
キオスク端末ハッキングの脅威にさらされている


特定企業またはサービスの キオスク端末ハッキング 脅威

ハッカーは特定企業または機関をハッキングするために脆弱なキオスク端末システムを探すかもしれません。キオスク端末の障害を起こすハッキングだけでなく、繋がったサーバーに保存された顧客情報、ひいては企業・機関の主要サーバーにまで侵入してより大きな攻撃に繋がりかねません。

今度は、KIOSK検索語に「Hotel」というキーワードを加えて、マレーシアで運営されるホテルのキオスク端末システムを見つけ出しました。


Search Query: Title: Uptown Kiosk - Hotel System

https://www.criminalip.io/ja/asset/search?query=title:%20Uptown%20Kiosk%20-%20Hotel%20System

マレーシアのホテルキオスク端末システムのログインページ


また、特定の企業名のキーワードを追加し、キオスク端末ハッキング攻撃に脆弱なシステムを見つけ出しました。次の画像は、韓国にあるドイツの有名な自動車メーカーが運営するサービスセンターのキオスク端末システムです。

Criminal IP IT資産検索に自動車メーカー「V」社のキオスク端末システムを検索した結果

自動車メーカー「V」社のキオスク端末システムのログインページ、
外部インターネットに漏えいされている


ログイン認証なしでアクセスし、キオスク端末ハッキングまでできる

キオスク端末システムが外部に公開されているだけでも非常に深刻なセキュリティ問題です。しかし、ログイン認証まで不十分な状態で、いつでもハッキングの攻撃ができる状態だったキオスク端末システムもありました。

次のCIP検索で発見されたダッシュボードは大手企業のSグループのキオスク端末に関するシステムで推定されます。該当システムにはセキュリティログインがない状態で、ウェブサイトにアクセスできるというセキュリティ脆弱性があります。

大手企業Sグループのキオスク端末関連システム、ログイン認証なしでアクセスできる


次のイメージは、映画館のキオスク端末管理システムです。既にログインされていて、別の認証なしでもキオスク端末ハッキングができます。

映画館のキオスク端末管理ページ、ログインなしでアクセスができ、
キオスク端末ハッキングの対象になりかねない


提供する企業と提供してもらう顧客、両方が便利に使えるように開発されたキオスク端末は、利便性があるほどサイバー攻撃者により大きな被害を受ける可能性があります。セキュリティOSINTツールを通じてキオスク端末などの多様なIoTデバイスを見つけ出せるということは、ハッカーも攻撃対象領域に無防備に漏洩されている資産を攻撃しやすいことを意味します。企業及び機関は Criminal IP ASM のような攻撃対象領域管理ソリューションを通じて全ての資産の漏洩可否を綿密に確認し、キオスク端末などのIoTデバイスを導入する際、セキュリティに関する安全装置を十分に考慮してから配布するべきです。古いキオスク端末は交換し、キオスク端末システムの定期的なセキュリティパッチアップデートなどもチェックしなければなりません。

関連しては攻撃対象領域に漏えいされたデフォルトページから発生するセキュリティ脅威についての投稿をご参照ください。

データの提供

Criminal IP(https://www.criminalip.io/ja


ご参照

https://blog.criminalip.co.jp/posts/42020439