「マクドナルドの自動券売機はハッキングし放題」である理由をエンジニアが解説
by Marco Verch
マクドナルドに設置された自動券売機にはマルウェアを簡単にインストールでき、接続されている決済システムから情報をスキミングすることができるとして、オーストラリア在住エンジニアのジェフリー・ハントリー氏がその理由を解説しています。
Why are McDonald’s Self Service Kiosks so hackable?
https://ghuntley.com/mcdonalds/
さらに券売機には標準的なx86コンピュータのNUCが入っており、タッチスクリーン入力で管理者としてWindows 7を起動し、一般人がどんなアプリケーションでも実行できるとのこと。端末はUSBポートが露出しているため、誰かがマルウェアを仕込むことで簡単に決済情報を抜き取ることが可能だとハントリー氏は話しています。実際にハントリー氏が券売機で電卓を立ち上げた様子は以下の動画で確認できます。
CVE-2022-244622: A local unauthenticated attacker within a @McDonalds could exploit this knowledge to pop calc.exe.
The default user on the terminals is Administrator and touch screen input is enabled. pic.twitter.com/uG1pXG6iYb— GEOFF (@GeoffreyHuntley) July 22, 2022
ハントリー氏によると、券売機は「物理的に安全だから管理者として実行できても問題ない」という設計で作られているとのことですが、これは許されないことだとハントリー氏は語ります。券売機は前述の紙の交換に加え、ユーザーインターフェースにエラーメッセージが出現すると注文番号の表示を隠してしまうため、従業員が調整を簡単に行うためにロックを解除したままにしているとのこと。
ハントリー氏は「券売機を簡単に管理者権限で動作させられるままでは、これらの端末が金融犯罪に使われることは必至だと考えています。以上のことから、私はもうこれらの券売機を使用しませんし、使用しないことをお勧めします」と述べました。