ATM の現金不正引き出しを可能にするマルウェアを発見、被害額は数億ドル規模に ~ Kaspersky Lab とインターポールが警告
犯罪者はこのマルウェア 「Tyupkin」 を ATM に感染させることで、現金を不正に引き出すことができます。インターポールは、このマルウェアの影響が及ぶ加盟国に対して警告を通知するとともに、捜査を支援します。
Kaspersky Lab のグローバル調査分析チーム(Global Research and Analysis Team:GReAT)※1 のエキスパートが、ある金融機関の要請を受けて ATM を標的としたサイバー攻撃のフォレンジック調査を実施したところ、その過程で ATM を狙った新たなマルウェアを発見しました。犯罪者はこのマルウェアを ATM に感染させることで、現金を不正に引き出すことができます。
国際刑事警察機構のインターポールは、このマルウェアの影響が及ぶ加盟国に対して警告を通知するとともに、継続中の捜査を支援します。
Kaspersky Lab は、今回発見したマルウェアのコード名を「Tyupkin」と名付けました。
攻撃のしくみ
犯行は2段階に分かれています。第1段階では、何らかの方法で ATM にブータブル CD を挿入し、Tyupkin マルウェアをインストールした後、ATM を再起動させます。これで犯罪者は ATM をコントロールすることが可能になります。詐欺の発見を困難にするため、ATM 内のマルウェアは日曜日と月曜日の特定の夜の時間帯にのみ、コマンドを受け付ける状態になっていました。
第 2 段階では、実際に現金を引き出します。Tyupkin に感染した ATM の防犯カメラに、その手口が映っていました。犯罪組織以外の人物が偶然現金を手にすることを防ぐために、セッションごとに乱数を利用した一意の数字が用意されます。現金の引き出し役は、その数字を ATM のテンキーから入力します。さらに現金の持ち逃げを防ぐため、犯罪組織の他のメンバーから電話で指定された別の数字を入力します。2 つの特殊な数字を正しく入力すると、ATM 内の各カセットに保管されている現金の合計額が画面に表示されます。現金を引き出すカセットを選択すると、そのカセットから 1 回に 40 枚の紙幣が引き出せます。
Tyupkin マルウェア
今回発見したマルウェアは、現時点で中南米、欧州、アジアの ATM で見つかっています。Kaspersky 製品での検知名は、Backdoor.MSIL.Tyupkin です。
GReAT のプリンシパルセキュリティリサーチャー、ヴィセンテ・ディアス(Vicente Diaz)は次のように述べています。「過去数年間で、ATM に対するスキミングデバイスやマルウェアを利用した攻撃の大幅な増加が確認されました。この脅威の自然な流れとして、サイバー犯罪が新たな段階へと進み、金融機関を直接攻撃しています。実際の手口は、ATM 自体を感染させるか、APT 型の攻撃を直接銀行にしかけることが挙げられます。今回発見した Tyupkin マルウェアは、犯罪者が ATM インフラストラクチャのぜい弱性を悪用していることを示します。ATM の物理的なセキュリティとネットワーク環境を見直し、質の高いセキュリティソリューションに投資することを強く推奨します」
インターポールのデジタル・クライム・センター ディレクター、サンジェイ・ヴィルマーニ(Sanjay Virmani)氏は、「攻撃者は絶えず新たな手口を生み出し、犯罪の手段を進化させようとしています。インターポール加盟国の警察機関が連携し、最新の傾向と手口の情報を共有することが不可欠です」と述べています。
リスクを軽減するための対策:
- ATM の物理的なセキュリティの見直しと、高性能なセキュリティソリューションへの投資を検討する
- ATM の鍵をすべて交換し、メーカー提供の既定のものは使用しない
- ATM に警報器を取り付け、動作確認をする。サイバー犯罪者が Tyupkin を感染させたのは、警報器のない ATM のみ
- 既定の BIOS パスワードを変更する
- アンチウイルス製品を常に最新の状態にする
- ATM が感染しているかどうかを確認する方法については、 intelreports@kaspersky.com までお問い合わせください。ATM システムの完全スキャンとバックドアの削除には、無料の Kaspersky Virus Removal Tool をご利用いただけます。
■ 実際の ATM への攻撃方法の動画はこちらをご覧ください。
http://www.youtube.com/watch?v=QZvdPM_h2o8&feature=youtu.be
■ Tyupkin の詳細については、Securelist.com をご覧ください。
https://securelist.com/blog/research/66988/tyupkin-manipulating-atm-machines-with-malware/
※1 Global Research and Analysis Team(GReAT:グレート)
GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
ATM の現金不正引き出しを可能にするマルウェアを発見、被害額は数億ドル規模に ~ Kaspersky Lab とインターポールが警告
Kaspersky
関連記事 ウイルスニュース
Kaspersky Lab、インターポール主導のASEAN地域を対象としたサイバー犯罪捜査活動に参加
ASEAN地域においてインターポールが主導する官民連携のサイバー犯罪捜査活動に参加しました。この捜査活動の結果、8,800台のボットネットの指令サーバー(C2)と、政府の公式Webサイトを含む数百件のマルウェアに感染したWebサイトなどが特定されました。詳しくはこちら >インターポールをはじめ30以上の新規パートナーが「No More Ransom」プロジェクトに参加、新たに15の復号ツールを公開
2016年7月に発足した官民連携のランサムウェア対抗プロジェクトに、新たに30超の組織が参加し、計87組織となりました。今回、15の復号ツールが追加され、ポータルサイトも日本語をはじめ14の言語で利用が可能になりました。2016年12月以来、全世界で1万人以上のユーザーが同プロジェクトで提供されている復号ツールを利用して、攻撃を受けたデバイスを復号することに成功しています。詳しくはこちら >Kaspersky Lab、悪名高きサイバー犯罪組織「Lazarus」を追跡調査し、 金融機関からの大規模な金銭窃取の回避に貢献
Kaspersky Labのグローバル調査分析チームは、2016年にバングラデシュ中央銀行から8,100万ドルを窃取したとされるサイバー犯罪組織「Lazarus」を、1年以上に渡り調査した結果を発表しました。この分析結果から得られた知見は、Lazarusが別の金融機関を狙い、多額の金銭窃取を目的とした攻撃活動を中断させる手助けとなりました。詳しくはこちら >