Windowsには、Shiftキーを5回連続で押すことで有効にすることができる「固定キー(Sticky Key)」と呼ばれる機能が搭載されています。
固定キーは有効にするとShiftキーやCtrlキーを押した状態を保つことが可能となる、2つ以上のキーを同時に押すことが困難な方向けのアクセシビリティ機能とされていますが、この機能を悪用してATMをハッキングする事が可能なようです(MSPoweruser、Neowin)。
ロシアのWebサイトHabrahabrは、ロシアの銀行Sberbankが運用しているATMで、「Shift」キーを5回連続して押すだけで、この固定キー機能を呼び出し、Windows XPの通常のUIにアクセスできることを発見しています。
固定キーを呼び出すことで、攻撃者はATMの画面をバイパスし、通常のWindows XPのスタートメニューやタスクバー、その他ツールにアクセスすることで、マルウェアを埋め込んだり、ATMの動作を改変することが可能となります。
Sberbankは2週間前に脆弱性を知らされたそうですが、現在まだ修正されていないとのこと。
これに対し、何故ATMにフル物理キーボードが備え付けられているのか、疑問の声もあがっています。
