ATMから現金を引き出すのに必要なものは?まずは、クレジットカードかキャッシュカードです。こうしたカードは、自分の銀行口座への鍵のようなものです。次に暗証番号です。これがなければ、銀行は取引を許可してくれません。そして最後に、口座にいくらか預金があること。ないものは引き出せません。しかし、ハッカーの手にかかれば話は違います。ハッカーがお金を引き出すには、カードも、暗証番号も、銀行口座も必要ありません。現金が入ったATMと、特殊なソフトウェアさえあればよいのです。
今年、ある金融機関の要請を受けて、Kaspersky LabのGlobal Research and Analysis Team(GReAT)のリサーチャーが、東欧の複数のATMを狙ったサイバー犯罪者の攻撃に対し、フォレンジック調査を実施しました。この調査では、興味深い事実が明らかになっています。想像してみてください – 1人の男がATMにやって来る。暗証番号入力用のキーボードでコードを入力する、あっという間に40枚の紙幣が出てくる。男は同じことを何度も何度も繰り返す。なぜこんなことが可能なのでしょうか?当社のエキスパートは、Tyupkinというトロイの木馬のしわざだと述べています。TyupkinはATM内部のPCに感染し、特殊なコードによって指令を受けると、ATMに紙幣を吐き出させます。
ハッカーが多数のATMから多額の現金を不正に引き出し
Tweet
今回の調査から、犯罪者が何らかの方法でATMへ物理的にアクセスし、内蔵のWindowsマシンにブータブルCDを挿入してマルウェアをインストールしたことがわかりました。使用されたトロイの木馬は、複雑な機能を備えていました。このトロイの木馬はまず、ATM内部で有効化されると、自らの機能を実行しやすくするために、アンチウイルスソフトウェアであるMcAfee Solidcoreを無効にします。
また、偶然発見されてしまうことがないように、日曜日と月曜日の夜にしか活動せず、それ以外の間はスタンバイ状態で待機します。さらに、緊急事態が発生した場合にローカルネットワークを停止させることができるため、銀行はATMにリモート接続して状況を確認することができません。
このような高度な機能を利用すれば、感染したATMまで行って特殊な暗証番号を入力するだけで、秘密のメニューが表示され、現金の引き出しや、トロイの木馬のコントロール(削除するなど)が可能になります。お金を引き出すためには、正しいコマンドだけでなく、セッションキーを計算する特殊な計算式も知っている必要があります。これはある種の2段階認証と言えるでしょう。両方のコードが正しく入力されると、2つめのメニューが表示され、現金カセットの番号を選択して、引き出しができるようになります。一度に引き出せる紙幣は40枚までですが、この手順を何度か繰り返せば、それ以上の金額を引き出すことも可能です。
このように、攻撃者は誰にも警戒されることなく、ATMから何億ドルというお金を盗み出すことができていました。Kaspersky LabのGReATのプリンシパルセキュリティリサーチャー、ヴィセンテ・ディアス(Vicente Diaz)が言うように、今のところ感染するATMのモデルは限られていますが、銀行やメーカーがATMの物理面とソフトウェア面の保護を強化しないかぎり、ハッキング可能なATMの種類は増えていくでしょう。