セキュリティジャーナリストのブライアン・クレブスさんが、Amazon で購入した ICカードリーダーの問題点を見つけた人の事例を紹介しています。
1/ So you go shopping for a PIV card reader, because the US govt gave you one and you're curious to look at what's on it. You settle for this "DOD military USB common access smart card reader," because it's compatible with Mac OS. Cool! Only $15(1650円)! What a bargain! pic.twitter.com/MHPPkZVixp
— briankrebs (@briankrebs) May 16, 2022
Amazon で買ったこのICカードリーダーを Windows 10 につなげたところ、初期のドライバが古くてだめなのでベンダーのサイトへ行ってくれと出たそう。
それで、指定されたサイトから最新ドライバーの入ったzipをダウンロードし、念のため Virustotal というサイトでzipファイルにチェックを掛けると、39個の異なる判定ツールが、情報を漏洩させるマルウェア Ramnit.a がこの zip ファイルに含まれると検出したそうです。
3/ And then you think, hrm….maybe I should scan this thing at Virustotal, just because who TF is this company anyway? Holy smokes! 39 different antivirus tools detect this driver as Ramnit.a, a type of malware able to exfiltrate sensitive data. pic.twitter.com/qqo2tboUes
— briankrebs (@briankrebs) May 16, 2022
問い合わせに対し、商品を販売している米Amazon はこのICカードリーダーの問題を認識し、セキュリティチームが調査中ということですが、
製造元の方は「あなたの使ってるアンチウイルスの誤動作」であり「ウイルスなど入ってないし無視して進めて」と返答が有ったそう。
# ドライバダウンロードのページでダウンロードができなくなっていて、自分で確認できていないのですが。今は問題を認識したということなのかな。ウェブ検索でこの会社のサイト自体が出にくいようになっていますね。
政府や企業の仕事でリモートアクセスしないといけない状況などで、ICカードリーダーを出先で適当に調達する、なんていうのもリスクを増やしていそうです。
今回Virustotal で警告されたのはICカードリーダーに固有のマルウェアではないみたいで、なんとなくですが故意というよりベンダーのサイトの管理がまずくて起こった事件のようにも思います。
しかし、ベンダーがカードリーダーの本体機能に対して悪意のある動作を意図的に組み込んできたらもっと大変ですね。元の報告者もクレブス氏も「アメリカ国内で作ってるICカードリーダーはあるのだろうか? 自分は見つけられなかった」と言っています。
クレブスさんが自ら一連のツイートとその反応をまとめたブログ記事では、アメリカ政府の推薦する読み取りハードウェアのリストが紹介されていて、確かにこのリストに今回問題とされたブランドは含まれていません。
そしてこのICカードリーダー、日本でもネットで普通に買えるようです。日本もマイナンバーカードのサイトにICカードリーダライタの一覧というリストがありました。仕事で使うならリストにあるICカードリーダーを使うのが無難なんでしょう。