ATMに潜む見えざるスキマー

ATMに怪しい機械が取り付けられていないか、注意している人も多いでしょう。しかし、スキマーなどを取り付けることなくATMを感染させている犯罪者グループが発見されました。

atm-infector-featured

ATMスキマーがどんなものかご存じの方なら(ご存じない方はこちらの記事をまずご覧ください)、キャッシュカードを守るために何をすればよいかおわかりだと思います。ATMに不審物が取り付けられていないか確認して、怪しそうなATMは利用を控える必要があります。しかし、何も取り付けられていない場合はどうでしょうか?スキマーがまったく見えないとしたら?

そんなことがあり得るのでしょうか?

残念ながら、あります。それはまさに、サイバー犯罪者グループ「ATM Infector」の手口なのです(英語記事)。このグループは当社のグローバル調査分析チーム(GReAT)とペネトレーションテストチームの共同調査にて発見されました。ATM Infectorはロシア語話者のサイバー犯罪者グループで、ATM自体をスキマーに変える能力を持っています。

倍賭け

どうやら、サイバー犯罪者も「シェアリングエコノミー」(共有経済)の概念を好むと見えます。必要なハードウェアはすべてATMに備わっているのだから、わざわざスキマーを取り付ける必要などない、というわけです。ATMを「Skimer」という特殊なマルウェアに感染させるだけで、ATM自体のカードリーダーとテンキーを使って必要なキャッシュカード認証情報をすべて盗めるようになります。

それだけに留まりません。ATMを感染させれば、さらに一歩進んで、テンキーやカードリーダーのほかに現金引き出しユニットもコントロールできるようになります。つまり、カードの認証情報を盗むだけでなく、コマンドを送信してATMの預金ユニットに入っている現金を全額吐き出させることも可能なのです。

このサイバー攻撃の背後にいる犯罪者は、犯行の痕跡を実に注意深く隠しています。こうした二重の手口を使うのは、まさに隠蔽のためです。その気になれば、感染させたすべてのATMに現金を排出するよう命令して、いつでもお金を引き出すことができますが、それをやると間違いなく怪しまれ、大規模な調査が実施されるでしょう。そういうわけで、ATM内のマルウェアの存在は隠したままでカードデータを密かに集め、第2の選択肢(すぐに現金を引き出す)は今後のために取っておく方が、犯罪者にとって都合がいいのです。

ATM Infectorメンバーの手口

最近のブログ記事にも書いたように、ATMの物理的な警備はとても厳重なのですが、サイバー空間では攻撃を受けやすい場合がほとんどです。今回のケースでは、ATMへの物理的なアクセスか、銀行の内部ネットワークへのアクセスのどちらかによって、ATMが感染しています。

システム内に侵入したSkimerマルウェアは、コンピューター化されたATM中枢部に感染します。これで犯罪者は感染したATMを完全に掌握し、ATMをスキマーに変えてしまうことが可能となります。Skimerはその後、犯罪者が感染ATMを使うときまで、ひっそりと身を潜めます。

ATM内のマルウェアを起動するには、磁気ストライプに特定のレコードが仕込まれた特製カードを挿入します。Skimerマルウェアはそのレコードを読み込んだ後、ハードコードされたコマンドを実行するか、カードによって有効化された特殊なメニューを使ってコマンドに応答します。

カードを取り出してから60秒以内に、テンキーから正しいセッションキーを入力すると、Skimerの操作メニューがディスプレイに表示されます。このメニューを使って21種類のコマンドを有効にすることができます。以下はそのコマンドの例です。

  • 現金を引き出す(指定したカセットから紙幣を40枚)
  • 挿入されたカードの詳細情報を収集する
  • 自分自身を削除する
  • アップデートする(アップデートされたマルウェアコードがカードのチップに埋め込まれている)
  • カードと暗証番号のデータを含むファイルを、同じカードのチップに保存する
  • 収集したカード詳細情報をATMのレシートに印刷する

保護対策

当社のエキスパートはSecurelistのブログ記事(英語)で、銀行に対する推奨事項を紹介しており、システム内で検索すべきファイルについて説明しています。これまで、ATM Infectorの活動に関するレポートの全文は、限られた範囲で公開されていました。警察機関、コンピューター緊急対応チーム(CERT)、金融機関、Kaspersky Labの脅威インテリジェンスサービスのお客様などです。

皆さんや私のような一般の人にとって、ATM Infectorの存在は非常に恐ろしいものです。ATMが感染しているかどうかは、中身のコンピューターを調べない限りわかりません。表面上はまったく正常に動いているように見えるからです。

銀行は通常、暗証番号が入力されたということは、カード所有者によって取引が実施されたことの証明だと考えます。または、暗証番号の漏洩はカード所有者の責任であるという姿勢です。銀行の決定に異を唱えるのは難しく、銀行が補償してくれる可能性は限りなくゼロに近いでしょう。

結局のところ、キャッシュカードをATM Infectorから100%完全に保護することはできませんが、少なくとも預金の大部分を守るのに役立つヒントはいくつかあります。

  1. 感染したATMかどうかを見分けるのは無理ですが、なるべく安全そうな場所にあるATMを使えば、リスクを最小限に抑えられます。一番いいのは銀行の中にあるATMです。犯罪者にとっては感染させる難易度が上がりますし、銀行の技術チームが点検する頻度も他の場所より高いはずです。
  2. カードの請求は定期的に、1件も漏らさず確認しましょう。この確認に便利なのがSMS通知サービスです。ご利用の銀行でこのようなサービスが提供されているなら、必ず使ってください(※訳注:日本の銀行では、SMSによる通知サービスは一般的ではないようです)。
  3. 請求書に身に覚えのない取引があったら、すぐに銀行に電話して、不正利用されたカードを止めてもらいましょう。いいですか、見つけたらすぐにです。対応が早ければ早いほど、被害額の少なくとも一部を取り戻せる可能性が高くなります
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?