McAfee Avert Labs Blog
ATM Malware Makes Withdrawals in Russia」より
June 10,2009 Posted by Francois Paget

 怪しいWebサイトにアクセスしたり,出所不明のメールに添付されていたファイルを開いたりすると,マルウエアがパソコンに入り込み,ユーザーはパスワード不正取得やバックドア設置といった被害に遭う。こうした事例は珍しくないが,銀行のATM(現金自動預け払い機)に直接マルウエアが仕掛けられることはまれだ。トロイの木馬などをATMに入れるには,物理的にATMの機器にアクセスする必要がある。盗んだデータを収集したりマルウエアを削除したりするには,さらにもう一度もしくは何度もアクセスしなければならない。つまりAMT用マルウエアによる攻撃は,銀行関係者の深い「関与」が不可欠だと言える。

 ATMを狙ったこの種の攻撃は,1年以上前にロシアで初めて起きた。米ディーボルドがWindowsベースの同社製ATM「Opteva」用にセキュリティ修正パッチをリリースしたことで,2009年1月に表面化した。同社はその際,数人の容疑者が逮捕されたとしていた。ところが犯行グループは,崩壊せずに生き残ったらしい。我々は2009年5月,東欧にあるATMで新たな怪しいファイルが見つかったという話を聞いた。セキュリティ企業の米トラストウェーブが発行した調査報告書(PDF形式)によると,問題のファイルは改良されており,今までになかった窃盗機能を持っていたという。英メディアのレジスターは6月3日,この事件を記事で取り上げて注意を呼びかけた。

 新たに見つかったファイルはトロイの木馬であり,起動するとATMで処理される取引データを盗聴してログ・ファイルに記録する。犯人は特殊なクレジットカードを使って感染済みATMを制御し,さまざまな管理機能を操作する。例えばATMの画面とボタンを使って,各種データ(取引やカード,暗証番号に関する情報)の表示,集めたデータの印刷,マルウエア用ファイルの削除,内部にある現金全額の強制払い戻し,ATMの再起動が行える。残念ながら,このようなマルウエアを実際の環境でテストすることはできない(筆者の近くに余っているATMがないからだ)。しかし,事例をよく調べることは意味がある。この攻撃を受けたのは,以前の攻撃と同じく「Diebold Agilis 91x」というソフトウエアを搭載したぜい弱なATMだった。犯人がこのATMの登録情報を調べると,バージョンと各種データを表示できる。

 攻撃対象となる通貨は米国のドル(USD),ロシアのルーブル(RUR),ウクライナのグリブナ(UAH)である。

 さらに犯人はパスワード保護ルーチンをすり抜け,ATMの払い戻し機能も操作する。

 同様の攻撃が東欧以外で起きているかどうかは分からない。ただし,金融機関は管理下にあるATMが改ざんされていないことを確認しよう。予防的な対応が大切だ。

 米マカフィーのウイルス対策ソフト「VirusScan」は,このマルウエアのうち既知のバージョンを「PWS-BoldDie」として検出する。また,同マルウエアの未分類バージョンは「Generic Backdoor!bw」と総称している。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「ATM Malware Makes Withdrawals in Russia」でお読みいただけます。