脅威の研究

新たな ATM 詐欺により銀行強盗が容易に

Threat Intelligence Team, 2017年3月23日

革新的で悪名高い銀行詐欺グループが銀行にとっての新たなセキュリティ上の問題を作り出しました。

銀行に対する詐欺攻撃は頻繁に発生するようになっており、攻撃者は高度な手法を用いて多額のお金を盗みます。弊社は、過去数か月間にタイ、インド、南アメリカ、欧州全域、および世界中のその他の国々において ATM に対する複数の大規模な攻撃を目撃しました。これらの事件では、攻撃者は数百万ドルを盗むことに成功しました。


銀行に対する攻撃は 2 つの主な種類に分けられます。一般消費者をターゲットにする攻撃と、金融機関をターゲットにする攻撃です。

1 つ目の種類は古くからあるもので、主として銀行の顧客とオンライン バンキング ソフトウェアをターゲットにします。攻撃者が用いるテクニックには次のようなものがあります:

  • オンライン バンキングのログイン画面の乗っ取り
  • 仮想キーボードや 2 要素認証などのセキュリティ機能の回避または迂回
  • 感染したコンピュータへの、カスタマイズされたリモート アクセス ツール (RAT) スパイウェアのインストール(このモデルは南アメリカとアジアで現在でも頻繁に利用されています。)

しかし、このブログ記事では 2 つ目の種類の攻撃に焦点を当てます。この種類の攻撃では、銀行とその内部システム、すなわち行員のコンピュータと内部ネットワークを直接ターゲットにします。これにより、攻撃者は支払い端末 (POS)、ATM や国際送金、極めて重要なログなど、インフラストラクチャー全体の他の部分へのアクセス権限を得ることができます。

攻撃者は、内部システムへのアクセス権限を得るために、高度で持続的な脅威 (APT)、ソーシャル エンジニアリングや、銀行内外の従業員に対するスピアフィッシングをしばしば用います。いくつかのケースでは、攻撃者は ATM 内部ネットワークのみを攻撃することに成功し、最後には 1 台の ATM を物理的に攻撃して、同じネットワーク上の他のすべての機械に感染を拡大させました。

最近、発生したこの種類の攻撃の 1 つは、ロシアの銀行の内部ネットワークを経由した ATM の大規模な感染でした。ロシアの報道機関からの情報 (出典の言語はロシア語) によると、この攻撃ではファイルのないマルウェアが使用された点で、特に興味深いものでした。このマルウェアは機械のメモリ内で実行され、感染した ATM のオペレーティング システム (一般に Windows ベース) の再起動に耐えることができます。

この情報から、弊社はこのマルウェアがマシンのハードディスクのマスター ブート レコード (MBR) 内、ファームウェア (BIOS/UEFI) 内、または Windows レジストリに隠れることで知られているマルウェア、poweliks として保存できるものと推測しました。

特殊なコードを入力すると、感染した ATM は通常、最も高額の紙幣が入れられている第 1 ディスペンサーにあるお金をすべて払い出します。この手法は「ATM ジャックポット攻撃」とも呼ばれ、過去にすでに数回使用されています。

ATM の感染が起こる頻度はますます高まっており、攻撃者が個別の ATM に装置を配置する必要があるため発見されるリスクが高いスキミング手法 (出典の言語は英語) に徐々に取って代わっています。

ビジネスとしての銀行詐欺

最も悪名高い銀行詐欺グループは Metel、GCMAN、Carbanak、Buhtrp/Cobalt、および Lazarus です。これらのグループはすべて非常に熟練しており、バンキング技術、ハッキング、およびプログラミングに関する深い知識を持つ専門家によって構成されています。彼らは恐らく地下のマフィアやマネーロンダリング グループとつながりがあり、腐敗した銀行員やインサイダーと接触することができます。これらのグループはすべて多年にわたり FBI や欧州警察組織 (Europol) などの複数の法執行機関によって捜査対象リストに挙げられていますが、首謀者とメンバーは現在もインターネットと闇のネット (Dark Net) の無限の闇のどこかに隠れたままです。

彼らの仕事には非常に長い時間がかかり、「1 つの大きな強盗」を準備するには数か月にわたる監視、新しいシステム、サーバーやネットワークへの侵入、および内部システム、検証メカニズムとその他の規則や規制割当の研究が必要になることがあります。銀行詐欺グループが何らかの小さなミスを犯すと、それが彼らにとっては致命傷となり、彼らの不審な活動の発覚につながる恐れがあります。最終的な攻撃の最中に自分自身を守るために、彼らは細心の注意を払って違法行為の痕跡と記録をすべて的確に消し去ります。これは慎重に計画された作業を必要とする重要な手順です。

攻撃者は盗みが成功するたびに、自らのインフラストラクチャー全体の資金確保、マルウェアの開発、エクスプロイトの収集、およびマネー ミュール、マネーロンダリング業者、銀行内の腐敗したインサイダーへの支払いを行うために、入手したお金を費やします。

銀行のサイバーセキュリティ システム強化の必要性

通常の場合、ATM は物理的な攻撃に対して十分に保護されていますが、ほぼすべての ATM では Windows OS (CE/2000/XP/7) が使用されています。私たちは ATM のオペレーティング システムが定期的にアップデートされ、パッチが適用されているか否か把握していません。また、ATM は恐らく内部ネットワークにインストールされているセキュリティ ソフトウェアに依存しています。ネットワークの安全性は、その最も脆弱なリンクと同レベルであるため、内部ネットワークに侵入されると、ネットワーク内の ATM は格好のターゲットとなります。したがって、このような攻撃から ATM とシステムを保護するために、銀行は内部セキュリティ ポリシーとテクノロジーとともに、ATM のセキュリティを重視する必要があります。

時代は変わり、ATM からお金を盗むには、以前の手荒な方法を用いるよりも、電子的な手法を使った方が簡単になっているようです。これにより、身体的な安全性は高まるかもしれませんが、銀行が対処する必要がある新たな問題と課題が明らかになります。