SCAN DISPATCH :ATMに潜むトロイの木馬が発見される
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
国際
海外情報
──
イギリスとアメリカに本社を持つセキュリティ企業のSophos社がそのブログで、ATMを利用したユーザーのクレジットカード情報を盗むトロイの木馬Skimer-AがATMに潜んでいたのが、ロシアで発見されたと報告している。
SCAN DISPATCHでも繰り返しATMのセキュリティについて述べ、以前にもクレジットカード・スキマーと呼ばれるハードウェアとWebカムを使用して、ユーザーのカード番号やPINを盗む方法についても報告した。が、ATM専用のトロイの木馬プログラムが在野で発見されたのは今回が初めて。
トロイの木馬は3機のWindowsベースのDiebold社のマシンで見つかっており、Diebold社ではすでに全世界の顧客に通告を出し、安全を期してソフトウェアのアップデートを配布している。
このトロイの木馬は"ドロッパー"と呼ばれる種類の悪意のあるプログラムを使用している。そのドロップ・オブジェクトがPEリソースの一つにストアされており、コードは保護されたストレージサービスを停止し、これを改変し、ドロッパーのファイルであるlsass.exeをwindowsのフォルダからラウンチする。正規のlsass.exeはwindows/systemフォルダにあるが、正規でないsass.exeはATMが使用するプログラムを悪意のあるプログラムと置き換える。
トロイの木馬のエクスキュータブルには、磁気カードリーダーでデータを読み、ATMのプロセスにコードを注入し、ウクライナのフリヴニャ、ロシアのルーブル、そして米ドルで取引を行うと共に、盗んだ情報をプリントするためにプリンタを使うコードが存在している。これらのコードはDiebold Agilis91xという、社内秘密の機能を使っているらしい。また、ブログの筆者であるVanja Svajcer氏は「キーボードでPINをタイプする命令の一部はhooksに接続されていて、PINをキャプチャしてこれをログにすることは間違いない」と書いている。キャプチャされたデータを暗号化するコードと、もう一つのユーザーインターフェイスも見つかっており、「盗難されたデータは…
【執筆:米国 笠原利香】
【関連記事】
SCAN DISPATCH : ハッキングされるWindows XP Embedded搭載ATM
https://www.netsecurity.ne.jp/2_11493.html
【関連リンク】
Sophosのブログ
http://www.sophos.com/security/blog/2009/03/3577.html
dark reading
http://www.darkreading.com/insiderthreat/security/attacks/showArticle.jhtml;jsessionid=DTD1ELYTHUPLAQSNDLPSKHSCJUNN2JVN?articleID=215901034
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
