海外における個人情報流出事件とその対応 第199回 ATMマルウェアで60万ドルの被害か (2)促されるATMシステムのアップデート
●ATMを知り尽くした犯人
国際
海外情報
Svajcerは金融機関で働く知人からロシアでATMがトロイの木馬に感染したという"噂"を聞いたそうだ。その信憑性について疑いながらも調べてみると、噂が真実だったことを確認した。
3つのサンプルを調べたうえで、全てよく似ていることを確認している。VirusdTotalにあったサンプルは全て同一犯のものと考えていいようだ。しかし、自動的に"悪意あるプログラム"と分類するような明らかに不正な性質はなかったとしている。
メインのトロイの木馬には、文書化されていないDiebold Agilis 91x 機能を用いて、磁気ストリップの付いたカードの読み取り機を扱い、コードをATMの処理に注入、トランザクションをウクライナ、ロシア、米国の通貨に解析、プリンタを使用するコードが含まれている。プリンタは盗んだデータの印刷に使うと考えられる。また、マルウェアにはキーボードで打ち込んだPIN番号を不正に獲得する機能もあった可能性が高いと予想している。
さらに、盗んだデータを暗号化したり、ATMの印刷能力を用いて、捕らえたパスワードを回収するルーチンもついている。これにより実行犯が、ターゲットのマシンから情報を盗み出す。
Svajcerは、犯行はDieboldのATMについて詳しい知識のあるプログラマーによるものだと予想している。マルウェアはATMの機械とコミュニケーションを行って、指示を送るためだ。ATMがどのように作動するかの知識がなければ、どの指示が送られるのか分からないという。ただし、サイバー犯罪については、大きなリスクを犯していることから、どちらかというと"初心者"だというのがArgastの考えだ。
Dieboldでは1月に一度、ソフトウェアの問題について、警告を行っていたが、ソフォスのブログを受けて、再度、ロシアでマルウェアが重要情報を獲得しようとする事件があったこと、容疑者は逮捕されていて、Dieboldは捜査当局と協力していることを明らかにした。セキュリティ専門家の予測どおり、内部関係者の犯行であったかについてDieboldに問い合わせたが、今も捜査中ということで回答は得られなかった。
Dieboldの事件でも、ATMの機械に物理的にアクセスが必要で、ネットワークレベルの漏えい事件ではないという。これは、SpiderLabsが報告した事件と同じだ。ただし、SpiderLabsの事件では、非常に高度なマルウェアと評価しているが、Dieboldのスポークスパーソンは、「マシンへの物理的攻撃は極めてローテクだが、マルウェアをインストールしたことで、攻撃者が高度な技術を持っていることを示している」と話していた。
●警告を行い、アップデートを発表したDiebold
また、攻撃はロシアで多数のATMに対して行われた。Dieboldでは迅速に対応して顧客に警告を行うとともに、アップデート版を発表している。
顧客あての手紙でDieboldの主席セキュリティ責任者で副社長のScott Angeloは、ソフトウェアのアップデートは用心のために行ったものだとした。このアップデートによりロシアでの攻撃が、将来、その他の地域に設置されたDieboldのATMで行われないようにするというものだ。
また、Windowsの管理のためのパスワードが不正に奪われると、ATMへのリスクが"非常に高くなる"としている。そのため、Dieboldが提供する強化したバージョンのWindowsを用いるか、Diebold Agilis ソフトウェアのSygate/Symantec ファイアウォールを有効にする、あるいは適切にコンフィギュレーションするよう求めている。さらに、VindowsべースのATMでは、デフォルトになっているWindowsのパスワードを適切に設定する、定期的に管理用パスワードを変更するなどの基本的なセキュリティ措置も呼びかけた。
『Information Security』誌ではソフォスの上級テクノロジーコンサルタント、Graham Cluleyに事件についてインタビューしている。そこで、Cluleyは、「犯人たちはATMに不正デバイスをつなごうとしたことは明らかだ」として、目撃者がいるのではないかと示唆している。
このマルウェアもATMを使ったカードの情報とPIN番号をコピー。その後、実行犯が機械に特別に作成したカードを挿入、情報を印刷するというものだったようだ。印刷するのはレシートなので、目撃者がいたとしても怪しまれることはない。
デバイスの設置にしても、情報を印刷して取り出すにしても、オープンなスペースに置かれたATMに、まさかマルウェアを…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》