ATMに入っている現金を丸ごと引き出すマルウェア「Tyupkin」

ウイルス対策ソフトのカスペルスキーの調査機関であるGlobal Research and Analysis Team(GReAT)が、金融機関からの要請を受けてサイバー犯罪の調査を実施したところ、ATMに手動操作を加えることで紙幣カセットの中身を丸ごと引き出すことが可能な、「Tyupkin」と呼ばれるマルウェアが発見されました。

Tyupkin: Manipulating ATM Machines with Malware - Securelist
https://securelist.com/blog/research/66988/tyupkin-manipulating-atm-machines-with-malware/

Tyupkinが実際にATMから現金を引き出しているデモンストレーションは以下のムービーで見ることができます。

Infected ATMs give away millions of dollars without credit cards - YouTube


まずはATMの数字入力ボタンの「エンター」を押します。

すると隠されていたマルウェアによって仕込まれていた操作画面がATMのディスプレイに表示されました。

緑色で表示されている紙幣カセットには「現金がある」ことを意味しており、赤色で表示されているカセットは使われていないということ。カセットごとの残高も表示されています。

「CODE：34239332」と表示されているのが現金をはき出させるためのパスワード。

これを数字入力ボタンで打ち込んでいきます。

成功したようです。

さらに「2、0、0、4、4、2、9」と数字を打ち込みました。

エンターを押します。

さらに現金を引き出したいカセットの番号を選んで、エンターを押します。

「どっちにしようか？1つ目にする？」

「カセット1」を選択してエンターを押すと……

なんと、取り出し口からゴッソリと40枚の札束が出てきました。一度に取り出せる紙幣は40枚が限度とのことですが、繰り返せば紙幣カセットが空になるまで現金を引き出せてしまうというわけです。

このマルウェアは東ヨーロッパの50以上の金融機関で感染が確認されたほか、アメリカ・インド・中国へと感染が拡大しています。感染したATMの監視カメラを分析したところ、マルウェアのインストールにはブータブルCDが使われていました。発覚を回避するために、深夜の特定の時間だけアクティブになるほか、全てのセッションは疑似乱数に基づいたキーを打ち込まなくては実行できないようになっています。

32ビット版WindowsベースのATMに影響があると見られ、「Version.D」と呼ばれる最新バージョンでは、デバッグおよびエミュレーション技術対策機能が実装されており、McAfeeを利用不能にする機能も搭載されているとのこと。日本での感染は確認されていませんが、カスペルスキーは確認希望者に対して、連絡窓口として「[email protected]」を設けています。