以前ご紹介したように、多数のハッカーグループがATMからお金を盗んでいます。今回は、その手口を実際に見ていただきましょう。当社のエキスパートがATMハッキングの実演動画を撮影しました。なお、このデモで被害を受けた銀行はありません。また、これらの手法を試さないようお願いいたします。
手口1:処理システムの偽装
この方法では、攻撃者はATMとネットワークをつなぐケーブルに物理的にアクセスしなければなりません。まずATMを銀行ネットワークから切り離し、偽の処理システムとして動作する機器に接続します。
この機器を使って現金カセットを制御し、ATMにコマンドを送信して、選択した現金カセットの現金を要求します。実に簡単です。どんなカードでも使えますし、どんな暗証番号でも入力できます。不正な現金取引が正規の取引のように見えます。
手口2:複数のATMに対してリモート攻撃
この方法では、標的の銀行に勤務する内部関係者が関わります。犯罪者はATM筐体を開けるための鍵を内部関係者から購入します。この鍵では現金カセットにアクセスすることはできませんが、ネットワークケーブルには接触可能です。ケーブルを引き抜いて銀行ネットワークからATMを切り離し、代わりに特殊な機器を接続してすべてのデータを攻撃者のサーバーへ送信します。
ATMをつなぐネットワークはセグメント化(安全のために分離)されていないことが多いですし、ATM自体を不正に設定することもできます。この場合、不正な機器がたった1台のATMに接続されているだけで、この機器から複数のATMへ一気に侵入することができます。
あとは手口1で説明した手順を実行するだけ。サーバーに偽の処理システムをインストールし、ATMを完全に乗っ取ります。どんなカードを使ってもATMから現金を引き出すことができ、ATMの機種は何でもかまいません。この手法を成功させる上で必要なのは、ATMと処理システムとの通信に同じプロトコルを使用することだけです。
手口3:ブラックボックス攻撃
前述の手口では、ATM筐体の鍵を入手してアクセスしますが、今回はATMをメンテナンスモードにします。ハッカーは、いわゆるブラックボックスをUSBポートにつなげます。この場合、ブラックボックスはATMの現金カセットを制御するためのデバイスです。
攻撃者がATMを改竄している間、ATMの画面には「メンテナンス中」や「ご利用できません」などのメッセージが表示されます。実際は現金の引き出しが可能なのですが。さらに、ブラックボックスはスマートフォンから無線で制御可能です。ハッカーはスマートフォンの画面でボタンをタップするだけで現金を引き出すことができ、あとはブラックボックスを捨ててATMへの不正侵入の痕跡を消します。
手口4:マルウェアによる攻撃
標的のATMにマルウェアを感染させる方法は2つあります。1つは、マルウェアが入ったUSBドライブをポートに挿す方法(ATMの筐体の鍵が必要)。もう1つは、銀行のネットワークに不正侵入した後にATMをリモート感染させる方法です。
標的のATMがマルウェア対策を講じていない場合、または許可リスト方式を採用していない場合、ハッカーはマルウェアを実行してATMにコマンドを送信し、現金カセットが空になるまで攻撃を繰り返し、現金を吐き出させます。
もちろん、すべてのATMがハッキング可能というわけではありません。ここで説明した攻撃は、設定に誤りがあった場合にのみ有効です。たとえば、銀行のネットワークがセグメント化されていない、ATMのソフトウェアがハードウェアとデータのやり取りをするときに認証が不要、アプリケーションの許可リストが存在しない、ネットワークケーブルに簡単にアクセスできる、などが挙げられます。
残念ながら、こうした問題はありがちです。数多くのATMがトロイの木馬Tyupkinに感染してしまった件も、そうした問題が関係していました。Kaspersky Labでは、コンサルティングサービスのほか、銀行のインフラストラクチャを検証して攻撃に対する耐性をテストするサービスなど、問題解決を支援する各種サービスをご用意しています。