ATMから無制限にお金を引き出す恐るべき強盗マルウェアが出現
By Ludovic Bertron
セキュリティ関連ソフトウェアの開発・販売を行うカスペルスキーが、2015年は銀行から直接お金を盗み出すサーバー犯罪者が増加したことを明らかにしました。カスペルスキーによれば、APTツールや関連技術を駆使したサイバー犯罪者により、少なくともロシアの大手銀行のうち29行が被害にあっているそうです。
How three criminal groups — Metel, GCMAN and Carbanak 2.0 — stole millions dollars from dozens of banks |
https://blog.kaspersky.com/metel-gcman-carbanak/11236/
カスペルスキーはサイバー犯罪者のターゲットになった銀行からの調査要請から、銀行口座を狙ったサイバー犯罪が増加していることを把握。その後の調査からは、3つの別々のハッカーグループからの攻撃により、何百万件もの金銭上の損失を銀行が被っているということが明らかになっています。この一件については、2016年2月7日から11日までの期間開催されているKaspersky Security Analyst Summit(SAS)の中でカスペルスキーから調査報告が行われています。なお、被害者側の安全を優先するため、被害にあった銀行名はふせられています。
SAS 2016の会場の様子
It begins #TheSAS2016 pic.twitter.com/T8ez0m3tEW
— Katie Moussouris (@k8em0) 2016, 2月 8
被害を巻き起こしている「Metel」と呼ばれるマルウェアが最初に発見されたのは2011年で、当初はオンラインバンキングシステムを使用するユーザーをターゲットにしたマルウェアでした。しかし2015年になり、サイバー犯罪者はMetelを使い、ATMをターゲットとした犯罪行為を行うようになります。その内容は、通常のクレジットカードの引き出し限度額を無制限に変更し、ATMから多額の資金を引き出すというものでした。
その手口は、電子メールを使ったフィッシングやブラウザの脆弱性などを駆使して銀行員の使用するコンピューターをマルウェアに感染させる、というもの。一度銀行ネットワーク内にあるコンピューターが感染してしまえば、あとはそこから他の端末などをハッキングして 銀行内の取引データにアクセスし、内容を書き換えることで無制限に金銭を引き出せるようになってしまう、というわけです。
例えば、ある銀行のコールセンターのオペレーターが使用しているPCをマルウェアに感染させれば、その銀行のATMで行われた金銭取引に関する情報を自動で取り消して、取引そのものを「行われていない取引」として元に戻すことができる模様。そのため、口座の残高は変わらないのに、サイバー犯罪者はATMから無制限に現金を引き出し可能になっていました。(実際にはATM内にあるだけ全て)
What is phishing and why should you care? Find out https://t.co/eNlAvarhAy #iteducation #itsec pic.twitter.com/EJc6vW8YUX
— Kaspersky Lab (@kaspersky) 2015, 12月 11
なお、カスペルスキーによればMetelを使用してATMから現金を盗み出しているサイバー犯罪者のグループは比較的小規模で、1グループ辺り10人ほどの規模と推測されています。そして、これらの犯罪行為は現時点ではロシア国外では確認されていないとのこと。しかし、ロシアでは依然として同様の手口による犯罪行為が行われている模様です。
また、GCCコンパイラベースのマルウェア「GCMAN」を使用する犯罪者グループも登場しています。このグループはATMから直接現金を引き出すのではなく、電子通貨サービスに送金して金銭取引処理を無効化するという手口をとるそうです。さらに、ジョブを自動実行するためのスクリプトである「cron」を使用し、1分ごとに少額ずつ電子通貨サービスに送金させる、という手段がとられていた模様。
ロシアのある銀行は、1分間に200ドル(約2万3000円)ずつ盗み出されていた模様。
This is how a victim can lose $200 per minute #bankingAPT #TheSAS2016 pic.twitter.com/jEYjuqeh7U
— Eugene Kaspersky (@e_kaspersky) 2016, 2月 8
他にも、Carbanakと呼ばれるサイバー犯罪者のグループが存在します。2013年頃から活動を始めたCarbanakは、姿をくらましたかと思うと、しばらくしてから新しいハッキング手法を携えて再び現れるという厄介なグループだそうです。そんなCarbanakは、銀行や特定の企業の財務部をターゲットにして犯罪行為をはたらいています。なお、Carbanakは世界中の企業から大金を盗み出しており、その被害はロシア国内にとどまらないというのが他のグループとの差異です。
Carbanakも使用するのはAPTツールで、フィッシングで企業ネットワーク内にあるコンピューターをマルウェアに感染させ、そこからCarbanakが開発した独自のマルウェアをインストールします。一度コンピューターが感染してしまえば、Carbanakはシステム管理者権限でネットワークにアクセス可能となり、銀行口座から金銭を盗み出したり、会社のオーナー情報を変更したり、信任状を盗み出してドメインコントローラーをハッキングしたりが可能になります。
なお、Carbanakは国際的な犯罪グループであり、ロシア・中国・ウクライナおよびその他ヨーロッパ諸国で被害が発生していると見られます。
Full report on the #Carbanak APT is now live http://t.co/KRmjD1GhyL via @Securelist pic.twitter.com/5OMzJE0DgS
— Kaspersky Lab (@kaspersky) 2015, 2月 16
カスペルスキーは銀行などの金融機関で働く人に向け、被害にあわない注意点として「フィッシングに気をつけること」「ソフトウェアのアップデートを怠らないこと」「マルウェア攻撃対象にならないこと」を挙げています。
・関連記事
Apple PayやAndroid Payでお金が下ろせるATMが登場する見込み - GIGAZINE
たった7分でATMの中身を根こそぎ盗み去る仰天の手口とは? - GIGAZINE
ATMに入っている現金を丸ごと引き出すマルウェア「Tyupkin」 - GIGAZINE
iPhoneを使って他人のATMやクレジットカードの暗証番号を簡単に盗む方法 - GIGAZINE
ギリシャ人が戦闘機でトルコのATMに駆けつける前に知っておくべきこと - GIGAZINE
・関連コンテンツ