現金引き出しを可能にするATM感染マルウェアが見つかる

ATMにこのマルウェアを感染させると、不正に現金を引き出すことが可能になるという。

[鈴木聖子，ITmedia]

　銀行のATMに感染して攻撃者による現金の引き出しを可能にしてしまうマルウェアが見つかったとして、ロシアのセキュリティ企業Kaspersky Labが10月7日のブログで報告した。

　それによると、Kasperskyは金融機関からの要請を受けてATMに対するサイバー攻撃について調べる過程で、東欧の金融機関が運営する50台以上のATMがマルウェアに感染しているのを発見した。

　このマルウェアは「Backdoor.MSIL.Tyupkin」と呼ばれ、Microsoftの32ビット版Windowsを搭載した大手ATMメーカー製のATMに感染する。VirusTotalの情報から判断すると、東欧以外にも米国、インド、中国など複数の国で出回っている様子だという。

　Tyupkinは検出を免れるため、夜間の特定時間にのみ動作する。攻撃者がATMに物理的にアクセスし、攻撃者のみが知るアルゴリズムを使ってその都度生成されるセッションキーを入力すると、引き出し可能な残高などが画面に表示され、紙幣40枚を引き出すことが可能になる。

　感染したATMの防犯カメラを調べたところ、攻撃者はブータブルCDを使ってマルウェアをインストールし、CDからATMをリブートさせてシステムを制御していたことが分かったという。

マルウェアの動作を再現したデモ（kasperskyより）

　Kasperskyが分析したサンプルの大半は2014年3月ごろにコンパイルされたものだったが、最新の亜種にはデバッグ対抗機能やエミュレーション対抗機能、McAfeeのセキュリティソフトを無効にする機能なども実装されていた。

　「ATMの多くは既知のセキュリティ問題があるOSを搭載し、セキュリティ対策が欠如している」とKasperskyは指摘し、金融機関は早急に対策を講じる必要があると呼び掛けている。