🛡 概要
SEC Consultによると、KioSoftが製造するNFCベースのカードに深刻な脆弱性が存在し、これにより無料でカードの残高を増加させる攻撃が可能となることが判明しました。KioSoftは、無人のセルフサービス決済機を提供する企業で、世界中に41,000以上のキオスクと160万以上の決済端末を展開しています。この脆弱性はCVE-2025-8699として知られ、2023年に発見されました。
🔍 技術詳細
KioSoftのストアドバリューカードは、MiFare Classic NFC技術に依存しており、この技術には重大なセキュリティ上の問題が確認されています。SEC Consultの研究者は、カード上にデータがローカルに保存されていることを利用し、データの読み取りと書き込みを行うことに成功しました。この手法により、攻撃者はカードの残高を最大655ドルまで増加させることができ、さらにそのプロセスを繰り返すことができます。攻撃者はProxmarkのようなハードウェアツールを使用し、MiFareカードの脆弱性に関する知識が必要です。
⚠ 影響
KioSoftの製品は多くの業界で使用されているため、この脆弱性の影響は広範囲に及びます。SEC Consultは、KioSoftに対して2023年10月に最初の連絡を取ったものの、同社からの反応はほとんどありませんでした。最終的に、パッチのリリースには1年以上を要し、KioSoftは影響を受けた顧客には個別に通知するとのことです。これにより、ユーザーの信頼が損なわれる可能性が高まります。
🛠 対策
KioSoftは、脆弱性を修正するためにファームウェアパッチをリリースしましたが、具体的なバージョン番号は公開していません。ユーザーは、自身の使用している機器が最新のパッチを適用しているか確認することが重要です。また、KioSoftの製品を使用している場合、MiFareカード技術の使用を避けるか、代替技術への移行を検討することが推奨されます。定期的なセキュリティレビューと脆弱性スキャンを実施し、潜在的なリスクを早期に発見することが重要です。
