SCAN DISPATCH :ATMに潜むトロイの木馬が発見される | ScanNetSecurity
2024.03.29(金)

SCAN DISPATCH :ATMに潜むトロイの木馬が発見される

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際 海外情報
 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 イギリスとアメリカに本社を持つセキュリティ企業のSophos社がそのブログで、ATMを利用したユーザーのクレジットカード情報を盗むトロイの木馬Skimer-AがATMに潜んでいたのが、ロシアで発見されたと報告している。

 SCAN DISPATCHでも繰り返しATMのセキュリティについて述べ、以前にもクレジットカード・スキマーと呼ばれるハードウェアとWebカムを使用して、ユーザーのカード番号やPINを盗む方法についても報告した。が、ATM専用のトロイの木馬プログラムが在野で発見されたのは今回が初めて。

 トロイの木馬は3機のWindowsベースのDiebold社のマシンで見つかっており、Diebold社ではすでに全世界の顧客に通告を出し、安全を期してソフトウェアのアップデートを配布している。

 このトロイの木馬は"ドロッパー"と呼ばれる種類の悪意のあるプログラムを使用している。そのドロップ・オブジェクトがPEリソースの一つにストアされており、コードは保護されたストレージサービスを停止し、これを改変し、ドロッパーのファイルであるlsass.exeをwindowsのフォルダからラウンチする。正規のlsass.exeはwindows/systemフォルダにあるが、正規でないsass.exeはATMが使用するプログラムを悪意のあるプログラムと置き換える。

 トロイの木馬のエクスキュータブルには、磁気カードリーダーでデータを読み、ATMのプロセスにコードを注入し、ウクライナのフリヴニャ、ロシアのルーブル、そして米ドルで取引を行うと共に、盗んだ情報をプリントするためにプリンタを使うコードが存在している。これらのコードはDiebold Agilis91xという、社内秘密の機能を使っているらしい。また、ブログの筆者であるVanja Svajcer氏は「キーボードでPINをタイプする命令の一部はhooksに接続されていて、PINをキャプチャしてこれをログにすることは間違いない」と書いている。キャプチャされたデータを暗号化するコードと、もう一つのユーザーインターフェイスも見つかっており、「盗難されたデータは…

【執筆:米国 笠原利香】

【関連記事】
SCAN DISPATCH : ハッキングされるWindows XP Embedded搭載ATM
https://www.netsecurity.ne.jp/2_11493.html

【関連リンク】
Sophosのブログ
http://www.sophos.com/security/blog/2009/03/3577.html
dark reading
http://www.darkreading.com/insiderthreat/security/attacks/showArticle.jhtml;jsessionid=DTD1ELYTHUPLAQSNDLPSKHSCJUNN2JVN?articleID=215901034
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×