by Marco Verch

マクドナルドに設置された自動券売機にはマルウェアを簡単にインストールでき、接続されている決済システムから情報をスキミングすることができるとして、オーストラリア在住エンジニアのジェフリー・ハントリー氏がその理由を解説しています。

Why are McDonald’s Self Service Kiosks so hackable?

https://ghuntley.com/mcdonalds/

オーストラリアのマクドナルド巡りをよくするというハントリー氏いわく、店内に設置された決済端末付きの自動券売機は頻繁に紙切れを起こし、店員が紙の交換を容易にするために端末のロックを常に解除しているとのこと。オーストラリア中のマクドナルドでこのようなことが日常的に行われているそうです。

さらに券売機には標準的なx86コンピュータのNUCが入っており、タッチスクリーン入力で管理者としてWindows 7を起動し、一般人がどんなアプリケーションでも実行できるとのこと。端末はUSBポートが露出しているため、誰かがマルウェアを仕込むことで簡単に決済情報を抜き取ることが可能だとハントリー氏は話しています。実際にハントリー氏が券売機で電卓を立ち上げた様子は以下の動画で確認できます。





ハントリー氏によると、券売機は「物理的に安全だから管理者として実行できても問題ない」という設計で作られているとのことですが、これは許されないことだとハントリー氏は語ります。券売機は前述の紙の交換に加え、ユーザーインターフェースにエラーメッセージが出現すると注文番号の表示を隠してしまうため、従業員が調整を簡単に行うためにロックを解除したままにしているとのこと。

ハントリー氏は「券売機を簡単に管理者権限で動作させられるままでは、これらの端末が金融犯罪に使われることは必至だと考えています。以上のことから、私はもうこれらの券売機を使用しませんし、使用しないことをお勧めします」と述べました。