海外における個人情報流出事件とその対応 第176回 珍しい金融機関からのPIN番号漏洩 (1)インターネットを通じた初めてのATM犯罪 | ScanNetSecurity
2020.12.01(火)

海外における個人情報流出事件とその対応 第176回 珍しい金融機関からのPIN番号漏洩 (1)インターネットを通じた初めてのATM犯罪

6月18日付けの『Wired』ブログで、シティバンクのサーバがハッキングされ、その結果、ATMから不正引き出しの被害を受けたと、Kevin Poulsen が報告している。犯行を行ったのはニューヨークのブルックリンに住む男性で、最低でも75万ドルを盗み出したようだ。

国際 海外情報
6月18日付けの『Wired』ブログで、シティバンクのサーバがハッキングされ、その結果、ATMから不正引き出しの被害を受けたと、Kevin Poulsen が報告している。犯行を行ったのはニューヨークのブルックリンに住む男性で、最低でも75万ドルを盗み出したようだ。

この事件は、大手銀行のシステムへの侵入と公的に結び付けられた、初めてのATM犯罪だとPoulsenは説明している。「ATM用のPIN番号が金融機関から不正に獲得されるなどということは、これまでになかったためで、関係者にショックを与えている」と重大視している。

Poulsenも書いているが、重要な個人情報盗難の手口で典型的なものは、ソーシャル・エンジニアリングの手法を用いて、ユーザなどから不正に入手するケースだ。金融機関を騙り、フィッシングメールを送りつけ、「カードの利用期限が切れた」「本人認証のため」などと、さまざまな理由でPIN番号をはじめとする重要情報を教えるようユーザを騙す。さらに、最近ではVishingとも言われる、インターネット電話を用いた手口も使われている。電話を使うだけで、ユーザから重要情報を不正に獲得しようとしているのはフィッシング詐欺と同じだ。

あるいは、迷惑メールにトロイの木馬を添付して送付する、または特定のウェブサイトにアクセスすると、トロイの木馬をダウンロードするように仕掛けておくなど、なんらかの方法でユーザのPCを感染させて、オンラインバンキングなどを利用した際に、その情報を不正に取得する。ただし、オンラインバンキングではPIN番号を入力することはまずないため、今回の事件では、現時点で明らかになっている事実だけを見ると、トロイの木馬は無関係と考えていいだろう。

他は、ガソリンスタンドやその他、店舗などで、PINパッドに細工を加えてキーロガーを仕掛け、利用した人の入力した情報を獲得する、あるいはレジで支払いの際、後ろからこっそりと盗み見をするという手口だ。近年、テクノロジーの進化でハイテク犯罪が注目される中、盗み見はローテクではあるものの、まだまだ多い手口とされている。ATMにカメラが仕掛けられていて、ユーザが利用した際、入力する番号をいつの間にか隠し撮りされ、その情報を用いて、不正に引き出しを行ったという事件もあった。ユーザに対し、PINパッドへの細工はともかくとして、入力の際には他人の目に注意するべきだと、金融機関などで警告している。

●監視カメラに記録された犯罪

ソーシャル・エンジニアリングやトロイの木馬、PINパッド関連の事件は、これまでにも繰り返し報道されてきた。しかし、Poulsenが報告したのは、シティバンクのサーバからの漏洩事件だ。

事件の時点で、シティバンクはWired.comによる「シティバンクのシステムが侵入を受けた」という報道を否定している。しかし、Poulsenは連邦政府の検察の起訴状を読んだ上で、「サーバが被害を受けている」と主張している。

シティバンクは今年2月1日、コンビニエンスストアの7-elevenに設置されたATMからの引き出しを管理するシティバンクのサーバが攻撃を受けたと、FBIに通報しているという。事件は実際、FBIが捜査を行い、ニューヨーク東部地方検察局により起訴されている。

2月28日付けの起訴状から、事件の詳細について見てみよう。告訴されたのは、31歳、ウクライナからの移民Yuriy Ryabinin だ。Ryabininは、Yuriy Rakushchynetsと言う名前も使用しているらしい。

・2007年9月30日から10月1日ごろ、および2008年2月、Ryabininは何らかのデバイスを用いて、1000ドル以上を不正に取得した。この犯行については、どの金融機関が被害に遭ったかなどは、起訴状には明記されていない。
・「7-elevenに設置されたATMからの引き出しを管理するシティバンクのサーバが攻撃を受けた」と、2008年2月1日、シティバンクの代表がFBIに通報。
・シティバンクは同期間に不正引き出しが行われた口座番号を全て確認していて、不正警告システムを直ちに導入。これらの口座を使用しようとするときは、シティバンクに通知されるよう措置を採った。
・被害を受けた口座から引き出しがあった日時、場所の情報を、シティバンクでまとめた。
・2月の間に、ニューヨークで数百件という多数の引き出しが行われていることがわかっている。例えば、2月20日午後3:10頃にはブルックリンで2度に分けて、合計約3000ドルが引き出された。さらに、それより前、午後1:42から1:54の間に、ブルックリンの別の場所で5回にわたり、5000ドルが引き出されていた。
・引き出しの様子はビデオ監視カメラに記録されていた。
・シティバンク側は2月中にATMから不正に獲得された合計金額は、75万ドルにのぼったとしている。

●事件の規模の割りに、迂闊だった犯人

また、『SC Magazine』による6月19日付けの記事では、「犯人はシティバンクの複数顧客の銀行口座に関する情報を、インターネットを通じて入手した」としている。そのため、シティバンクのサーバがハッキングを…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×