ATMに感染し巨額の現金を引き出すマルウェア

マルウェア「Tyupkin」に感染したATMから現金を盗まれる被害が発生しています。Kaspersky Labの調査で、その手口が明らかになりました。

tyupkin-featured

ATMから現金を引き出すのに必要なものは?まずは、クレジットカードかキャッシュカードです。こうしたカードは、自分の銀行口座への鍵のようなものです。次に暗証番号です。これがなければ、銀行は取引を許可してくれません。そして最後に、口座にいくらか預金があること。ないものは引き出せません。しかし、ハッカーの手にかかれば話は違います。ハッカーがお金を引き出すには、カードも、暗証番号も、銀行口座も必要ありません。現金が入ったATMと、特殊なソフトウェアさえあればよいのです。

今年、ある金融機関の要請を受けて、Kaspersky LabのGlobal Research and Analysis Team(GReAT)のリサーチャーが、東欧の複数のATMを狙ったサイバー犯罪者の攻撃に対し、フォレンジック調査を実施しました。この調査では、興味深い事実が明らかになっています。想像してみてください – 1人の男がATMにやって来る。暗証番号入力用のキーボードでコードを入力する、あっという間に40枚の紙幣が出てくる。男は同じことを何度も何度も繰り返す。なぜこんなことが可能なのでしょうか?当社のエキスパートは、Tyupkinというトロイの木馬のしわざだと述べています。TyupkinはATM内部のPCに感染し、特殊なコードによって指令を受けると、ATMに紙幣を吐き出させます。

今回の調査から、犯罪者が何らかの方法でATMへ物理的にアクセスし、内蔵のWindowsマシンにブータブルCDを挿入してマルウェアをインストールしたことがわかりました。使用されたトロイの木馬は、複雑な機能を備えていました。このトロイの木馬はまず、ATM内部で有効化されると、自らの機能を実行しやすくするために、アンチウイルスソフトウェアであるMcAfee Solidcoreを無効にします。

また、偶然発見されてしまうことがないように、日曜日と月曜日の夜にしか活動せず、それ以外の間はスタンバイ状態で待機します。さらに、緊急事態が発生した場合にローカルネットワークを停止させることができるため、銀行はATMにリモート接続して状況を確認することができません。

Tyupkin_ja

犯罪者は感染したATMに2つのコードを入力するだけでお金を盗んでいる!

このような高度な機能を利用すれば、感染したATMまで行って特殊な暗証番号を入力するだけで、秘密のメニューが表示され、現金の引き出しや、トロイの木馬のコントロール(削除するなど)が可能になります。お金を引き出すためには、正しいコマンドだけでなく、セッションキーを計算する特殊な計算式も知っている必要があります。これはある種の2段階認証と言えるでしょう。両方のコードが正しく入力されると、2つめのメニューが表示され、現金カセットの番号を選択して、引き出しができるようになります。一度に引き出せる紙幣は40枚までですが、この手順を何度か繰り返せば、それ以上の金額を引き出すことも可能です。

このように、攻撃者は誰にも警戒されることなく、ATMから何億ドルというお金を盗み出すことができていました。Kaspersky LabのGReATのプリンシパルセキュリティリサーチャー、ヴィセンテ・ディアス(Vicente Diaz)が言うように、今のところ感染するATMのモデルは限られていますが、銀行やメーカーがATMの物理面とソフトウェア面の保護を強化しないかぎり、ハッキング可能なATMの種類は増えていくでしょう。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?