サイバーセキュリティコンサルティング企業であるSEC Consult(Eviden傘下)は、決済ソリューション企業KioSoftが、NFCベースのカードの一部に影響する重大な脆弱性への対応に長い時間を要したと述べています。
KioSoftは、コインランドリー、ゲームセンター、自動販売機、洗車場など向けの無人セルフサービス決済機を製造しています。同社はフロリダ州に本社を置き、世界7カ国にオフィスを構えています。公式ウェブサイトによれば、35カ国で41,000台以上のキオスク端末と160万台の決済端末を展開しているとされています。
SEC Consultの研究者は2023年に、KioSoftの一部のストアドバリューカード(特定の決済端末で利用するために顧客がチャージするデジタルウォレット)が、無料で残高をチャージできる脆弱性(CVE-2025-8699)の影響を受けていることを発見しました。このハッキングは、残高が安全なオンラインデータベースではなくカード本体にローカル保存されていることに依存しています。
SEC Consultが特定した影響を受けるカードは、重大なセキュリティ問題が知られているMiFare Classic NFCカード技術を利用していました。
既知のMiFareカードの脆弱性を基に、カード上のデータの保存方法を分析した結果、SEC Consultの研究者はカードからデータを読み取り、書き込むことに成功し、「何もないところからお金を作り出す」ことができました。ハッカーはカードの残高を最大655ドルまで増やすことができ、このプロセスは繰り返し実行可能だと、SEC ConsultのJohannes Greil氏はSecurityWeekに語っています。
攻撃者は、RFIDセキュリティ分析や研究開発用に設計されたProxmarkのようなハードウェアツールを使って攻撃を行うことができます。また、MiFareカードの脆弱性についての知識も必要だとGreil氏は説明しています。
SEC Consultは今週、自社の研究内容を説明するアドバイザリを公開しました。同社はKioSoftとのやり取りの詳細なタイムラインも公開しており、ベンダーが修正パッチをリリースするまでに1年以上かかったことが明らかになっています。
セキュリティ企業は2023年10月に初めてKioSoftに連絡しましたが、カーネギーメロン大学ソフトウェア工学研究所のCERTコーディネーションセンターが関与するまで、ベンダーからの返答はありませんでした。
広告。スクロールして記事の続きをお読みください。
SEC Consultは2023年10月以降、進捗状況の更新を何度も依頼したものの、多くは返答がなかったと主張しています。タイムラインによれば、ベンダーは情報公開期限の延長を複数回要請し、最終的には2025年夏にファームウェアパッチをリリースしたとセキュリティ企業に通知しました。今後、新しいハードウェアも展開される予定だとしています。
KioSoftは、影響を受けるバージョンや修正済みバージョンの番号を提供することを拒否し、影響を受ける顧客には個別に通知すると主張したとセキュリティ企業は述べています。KioSoftの製品は広く利用されていますが、同社はSEC Consultに対し、ほとんどのソリューションでは脆弱なMiFareカード技術は使用されていないと説明しました。
SEC Consultは、当初調査に使用した端末へのアクセス権をすでに失っており、ベンダーのパッチを検証できていません。
KioSoftはSecurityWeekのコメント要請に応じていません。