ATM「ジャックポット」-ATMに不正なソフトウェアやハードウェアをインストールし、要求に応じて大量の現金を吐き出させる巧妙な犯罪-は、ヨーロッパやアジアの銀行にとって長い脅威となってきましたが、これらの攻撃はどういうわけか米国のATMオペレータからは排除されていました。 しかし今週、米国シークレットサービスが、米国内の現金自動預け払い機を狙ったジャックポット攻撃が発見されたと、金融機関に静かに警告を発し始めたことで、状況は一変しました。

ジャックポット攻撃を行うには、窃盗団はまず、現金自動預け払い機に物理的にアクセスする必要があります。

2018年1月21日、KrebsOnSecurityは、「論理攻撃」とも呼ばれるジャックポッティング攻撃が米国のATM事業者を襲っているといううわさを耳にするようになりました。 私はすぐにATM大手のNCR社に連絡を取り、何か聞いていないか確認しました。 NCRは当時、未確認の報告を受けたが、まだ何も確かなものはないと言いました。

1月26日、NCRは、米国内のATMに対するジャックポット攻撃についてシークレットサービスおよび他のソースから報告を受けたと顧客に勧告を送りました。

現時点ではこれらは非NCR ATMに集中して見えるが、論理攻撃は業界全体の問題であるとNCR警告は読んでいる。 「これは、米国で初めて確認された論理的攻撃による損失の事例を表しています。 これは、これらの形態の攻撃からATMを保護し、あらゆる結果を軽減するために適切な措置をとるよう、行動を促すものとして扱われるべきです。」

NCRのメモは、米国のATMに対して使用されるジャックポッティングマルウェアの種類に言及していません。 しかし、この問題に近い関係者によると、シークレットサービスは、組織的な犯罪組織が、2013年に初めて発見されたジャックポッティングマルウェアの高度な株である「Ploutus.D」を使用して、米国内のスタンドアロンATMを攻撃していることを警告しているとのことです。

その情報源（記録で話す権限がないため匿名を希望）によると、シークレットサービスは、詐欺師がATMベンダーであるDiebold Nixdorfが製造したフロントローディングATMを攻撃するために、いわゆる「キャッシュアウト・クルー」を作動させているとの信頼できる情報を受け取っているとのことです。

情報筋によると、シークレットサービスは、泥棒が過去10日間にわたる一連の協調攻撃で、Ploutus.Dマルウェアを使用してOpteva 500および700シリーズのDielbold ATMを標的にしているようであり、さらなる攻撃が国中で計画されている証拠があるとして警告を発しています。

「標的となったスタンドアロンATMは、薬局、大型小売店、ドライブスルーATMなどに日常的に設置されています」と、複数の金融機関に送られ、KrebsOnSecurityが入手した秘密部局の警告を読み取ります。 「このような状況において、Dieboldは、金曜日に顧客に送信した、米国におけるジャックポット攻撃の可能性を警告する警告を共有しました。 Dieboldの警告は、これまでのところ、攻撃がフロントロードのOptevaキャッシュマシンを標的にしているように見えることを確認しています。

「昨年のメキシコでのように、攻撃モードには、セキュリティ機構とディスペンサーとの通信設定のための認証プロセスを克服する一連の異なる手順があります」とDieboldセキュリティ警告は述べています。 これらの攻撃を軽減するためのアドバイスを含む、ダイボルドの警告の全文は、こちら（PDF）でご覧いただけます。

シークレット サービスの警告では、攻撃者は通常、内視鏡（医師が人体の内部を見るために伝統的に医療で使用されている、細長く柔軟な器具）を使用して、現金自動預け払い機の内部を探し、そこにコードを取り付けて、自分のラップトップをATMのコンピュータと同期させることができるようにすると説明されています。 出典：gadgetsforgeeks.com.au

「これが完了すると、ATMは詐欺師によってコントロールされ、ATMは潜在顧客に対してサービス停止と表示されます」と、機密のシークレットサービスの警告が読み上げられます。

この時点で、マルウェアをインストールした詐欺師は、ATMを遠隔操作できる共謀者に連絡し、マシンに現金を払い出させます。

「以前の Ploutus.D 攻撃では、ATM は 23 秒ごとに 40 札の速度で連続して払い出されました」と警告は続きます。 一度、払い出しサイクルが始まると、それを止める唯一の方法は、キーパッドのキャンセルを押すことです。 そうしないと、警告によると、マシンは完全に現金で空になります。

セキュリティ企業FireEyeによるPloutus.Dの2017年の分析では、「ここ数年で見た最も高度なATMマルウェアファミリーの一つ」と呼ばれています。”

「2013年にメキシコで初めて発見されたPloutusは、犯罪者が機械に取り付けられた外部キーボードまたはSMSメッセージのいずれかを使用してATMを空にすることができ、これはこれまでにない手法でした」と、FireEyeのDaniel Regalado氏は記しています。

FireEyeによると、これまで見られたPloutus攻撃は、窃盗犯が何らかの方法でATMに物理的にアクセスする必要があり、ATMの鍵を開け、盗んだマスターキーを使い、あるいは機械の一部を取り外したり破壊したりする必要があります。 この用語は、ATMスキマーの設置や現金自動預け払い機の物理的な改ざんなど、リスクの高い仕事を割り当てられた犯罪組織内の低レベルのオペレーターを指します。

「そこから、攻撃者は機械に接続するための物理キーボードと、ATMからお金を払い出すために作戦担当のボスから提供されたアクティベーション・コードを取り付けることができます」と、彼は書いています。 “Ploutus “がATMに展開されると、犯罪者は数分で数千ドルを手に入れることが可能になるのです。 マネーミュールがカメラに映るリスクはありますが、作戦が実行されるスピードは、ミュールのリスクを最小限に抑えます」

実際、私の情報筋が共有したシークレットサービスのメモには、キャッシュアウト・クルー/マネーミュールは通常払い出された現金を取り、大きなバッグに入れることができると書かれています。 このような状況下で、「このような状況下で、このような状況下で、このような状況下で、このような状況下で、このような状況下で、このような状況下で、このような状況下で、このような状況を作り出すことができるのか？

FireEye は、調査した Ploutus.D のサンプルはすべて Diebold 社の ATM を標的としていますが、マルウェアのコードに小さな変更を加えると、80 か国の 40 の異なる ATM ベンダーに対して使用できるようになると警告しています。

シークレットサービスの警告では、Windows XP でまだ動作している ATM は特に脆弱であるとし、ATM オペレーターに対して、この特定のタイプの攻撃を無効にするために Windows 7 のバージョンにアップデートするように促しています。

Tags: atm jackpotting, atm logical attacks, Daniel Regalado, Diebold Nixdorf, Diebold Opteva, endoscope, FireEye, NCR Corp, Ploutus.D, U.S. Secret Service, Windows 7, Windows XP

…