海外における個人情報流出事件とその対応 第199回 ATMマルウェアで60万ドルの被害か (1)ATMソフトウェアも攻撃対象に | ScanNetSecurity
2021.05.12(水)

海外における個人情報流出事件とその対応 第199回 ATMマルウェアで60万ドルの被害か (1)ATMソフトウェアも攻撃対象に

 6月3日付の『The Register』は、過去18カ月の間で、データ盗難を行うトロイの木馬の一種が東欧のATMマシンにもぐりこんでいることを、セキュリティ関係者が指摘していると、伝えている。

国際 海外情報
 6月3日付の『The Register』は、過去18カ月の間で、データ盗難を行うトロイの木馬の一種が東欧のATMマシンにもぐりこんでいることを、セキュリティ関係者が指摘していると、伝えている。

 状況を発表したTrustwaveの研究機関、SpiderLabsによると、このマルウェアは感染したマシンで磁気データや個人識別番号を読み取り、ATMのレシートのプリンタで情報を読み取るという。2007年ごろから、マルウェアは16回ほどアップデートされている。つまりマルウェアを作成した犯人は熱心にソフトを高度化させながら、攻撃を続けているということになる。

 Trustwaveはシカゴに本社を持つ情報セキュリティおよび支払いカード産業のコンプライアンスサービスおよび製品を提供する会社だ。東欧というのは、ロシアとウクライナの2カ国におけるATMの漏えい事件らしい。

 調査によると、約20カ所のATMマシンが高度なマルウェアに感染していた。そして攻撃者は、トラッキング用データやPIN番号だけでなく現金も盗むことができたという。

 SpiderLabsの研究員はマルウェアの最新4バージョンを徹底的に調べた。その結果、プロフェッショナルに作成された非常に能力の高いマルウェアだと結論付けている。ATMにインストールされると、トランザクションのメッセージを監視して、その機械で使われたカードの"トラック2データ"を読み取る。

 "トラック2データ"には、口座番号や有効期限、暗号化された個人識別番号、カード発行会社が選んだ任意の情報などが含まれる。このデータは磁気ストリップに記録されていて、銀行をはじめとする金融機関が発行する本物のカードであることを証明する情報だ。そのため、"トラック2データ"を使うことで偽のカードを本物のように使用できる。

 ソフトウェアは"コントローラーカード"と一緒に作用することで、攻撃者が感染したマシンを操作できるようにする。カードは一見すると、通常のATMカードのように見えるものだ。

 このコントローラーカードを挿入すると、ATMのディスプレイがキーパッドを用いて選択できる10個のコマンドオプションをディスプレイする。集めたデータの印刷、マルウェアがインストールされる前の状況にログファイルを戻すこと、マルウェアのアンインストールなどのオプションも選択できる。

 さらに、二次的なメニューでは現金を全て取り出すことができる。大きなATMなら最高60万ドルを盗難できたという。Percocoはマシンからの現金獲得は、犯人たちにとって、情報盗難よりも大きな成果を上げたかもしれないと考える。情報盗難によって、口座から現金を盗むのは手間もかかるし、攻撃の対象の残高が少ないと"収穫"も少ないためだ。

 傍受したカードデータをコントローラーカードのチップにアップロードするという別の特徴もあるようだが、こちらはまだ開発段階で作動はしていなかった。コントローラーカードはマスターとシングルという二つの機能を持ち、マスターは組織の高い地位にいる人物が用い、シングルはミュールと呼ばれる実行犯用だ。

 SpiderLabsの関係者は内部関係者の犯行だと見ている。これは、攻撃者はマルウェアをインストールして実行するために、物理的にATMにアクセスする必要があるためだ。『Information Security』も事件を伝えているが、TrustwaveのNicholas Percoco副社長からの、「攻撃者はATMの鍵のコピーを持っていて、マシンを開いてマルウェアを搭載した可能性もある」という話を紹介している。

 Percocoは金融ネットワークに接続したATMのシステムは、"オープン"で攻撃を受けやすいと指摘している。つまりATMは無人のことが多い。マシンが開いていても、「修理中」または「点検中」だとしか思わない。

●ロシアで初めてのATMマルウェア発見

 攻撃を受けたATMはWindows XPベースのマシンのみだったようだが、SpiderLabsではどのATMソフトウェアが攻撃を受けたのかは明らかにしていない。しかし、ロシアで発生したDieboldのATMソフトがターゲットにされた事件とのかかわりも囁かれている。

 Dieboldのソフトウェアが狙われた事件は、3月にソフォスのセキュリティ研究員Vanja Svajcerが明らかにしている。ただし、Dieboldは、セキュリティの問題がある可能性について1月の時点で認識しており、顧客に警告も行っていた。

 Svajcerは、ATMソフトへのマルウェアについて連絡を受け、疑わしいファイルを分析。ウイルスを迅速に探知するためのVirusTotalや、同様のオンファインデータベースを詳しく調べていて3つのサンプルを見つけた。これら3つのトロイの木馬は、インストールされると、ATMの磁気カード読み取り機が記録した情報を盗んでしまう。

 Svajcerによると、これまでATMをターゲットにするマルウェアのサンプルはなかったし、カードの詳細やPIN番号を盗むためにATMを感染させるのは難しいことだった。その理由として…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×