海外における個人情報流出事件とその対応 第199回 ATMマルウェアで60万ドルの被害か (2)促されるATMシステムのアップデート | ScanNetSecurity
2024.04.29(月)

海外における個人情報流出事件とその対応 第199回 ATMマルウェアで60万ドルの被害か (2)促されるATMシステムのアップデート

●ATMを知り尽くした犯人

国際 海外情報
facebookLINE
●ATMを知り尽くした犯人

 Svajcerは金融機関で働く知人からロシアでATMがトロイの木馬に感染したという"噂"を聞いたそうだ。その信憑性について疑いながらも調べてみると、噂が真実だったことを確認した。

 3つのサンプルを調べたうえで、全てよく似ていることを確認している。VirusdTotalにあったサンプルは全て同一犯のものと考えていいようだ。しかし、自動的に"悪意あるプログラム"と分類するような明らかに不正な性質はなかったとしている。

 メインのトロイの木馬には、文書化されていないDiebold Agilis 91x 機能を用いて、磁気ストリップの付いたカードの読み取り機を扱い、コードをATMの処理に注入、トランザクションをウクライナ、ロシア、米国の通貨に解析、プリンタを使用するコードが含まれている。プリンタは盗んだデータの印刷に使うと考えられる。また、マルウェアにはキーボードで打ち込んだPIN番号を不正に獲得する機能もあった可能性が高いと予想している。

 さらに、盗んだデータを暗号化したり、ATMの印刷能力を用いて、捕らえたパスワードを回収するルーチンもついている。これにより実行犯が、ターゲットのマシンから情報を盗み出す。

 Svajcerは、犯行はDieboldのATMについて詳しい知識のあるプログラマーによるものだと予想している。マルウェアはATMの機械とコミュニケーションを行って、指示を送るためだ。ATMがどのように作動するかの知識がなければ、どの指示が送られるのか分からないという。ただし、サイバー犯罪については、大きなリスクを犯していることから、どちらかというと"初心者"だというのがArgastの考えだ。

 Dieboldでは1月に一度、ソフトウェアの問題について、警告を行っていたが、ソフォスのブログを受けて、再度、ロシアでマルウェアが重要情報を獲得しようとする事件があったこと、容疑者は逮捕されていて、Dieboldは捜査当局と協力していることを明らかにした。セキュリティ専門家の予測どおり、内部関係者の犯行であったかについてDieboldに問い合わせたが、今も捜査中ということで回答は得られなかった。

 Dieboldの事件でも、ATMの機械に物理的にアクセスが必要で、ネットワークレベルの漏えい事件ではないという。これは、SpiderLabsが報告した事件と同じだ。ただし、SpiderLabsの事件では、非常に高度なマルウェアと評価しているが、Dieboldのスポークスパーソンは、「マシンへの物理的攻撃は極めてローテクだが、マルウェアをインストールしたことで、攻撃者が高度な技術を持っていることを示している」と話していた。

●警告を行い、アップデートを発表したDiebold

 また、攻撃はロシアで多数のATMに対して行われた。Dieboldでは迅速に対応して顧客に警告を行うとともに、アップデート版を発表している。

 顧客あての手紙でDieboldの主席セキュリティ責任者で副社長のScott Angeloは、ソフトウェアのアップデートは用心のために行ったものだとした。このアップデートによりロシアでの攻撃が、将来、その他の地域に設置されたDieboldのATMで行われないようにするというものだ。

 また、Windowsの管理のためのパスワードが不正に奪われると、ATMへのリスクが"非常に高くなる"としている。そのため、Dieboldが提供する強化したバージョンのWindowsを用いるか、Diebold Agilis ソフトウェアのSygate/Symantec ファイアウォールを有効にする、あるいは適切にコンフィギュレーションするよう求めている。さらに、VindowsべースのATMでは、デフォルトになっているWindowsのパスワードを適切に設定する、定期的に管理用パスワードを変更するなどの基本的なセキュリティ措置も呼びかけた。

 『Information Security』誌ではソフォスの上級テクノロジーコンサルタント、Graham Cluleyに事件についてインタビューしている。そこで、Cluleyは、「犯人たちはATMに不正デバイスをつなごうとしたことは明らかだ」として、目撃者がいるのではないかと示唆している。

 このマルウェアもATMを使ったカードの情報とPIN番号をコピー。その後、実行犯が機械に特別に作成したカードを挿入、情報を印刷するというものだったようだ。印刷するのはレシートなので、目撃者がいたとしても怪しまれることはない。

 デバイスの設置にしても、情報を印刷して取り出すにしても、オープンなスペースに置かれたATMに、まさかマルウェアを…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  5. 編集長対談:世界で最も安全なバグバウンティ、クラウドソーシングでサイバー攻撃に競争原理を ~ Synack 三好 一久

    編集長対談:世界で最も安全なバグバウンティ、クラウドソーシングでサイバー攻撃に競争原理を ~ Synack 三好 一久PR

  6. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  7. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  8. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  9. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  10. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP