FBIが「ATMのジャックポット攻撃が増加している」と警告、被害額は2025年だけで30億円超

アメリカ連邦捜査局(FBI)が、アメリカ全土でマルウェアを利用してATMから現金を不正に放出させる「ジャックポット攻撃」が急増しているとして、詳細な技術情報や侵害指標(IOC)を含む警告声明を発表しました。2020年以降に報告された累計1900件のジャックポット事件のうち、2025年だけで700件以上が発生しており、その被害額は2000万ドル(約31億円)を超えているとのことです。

Increase in Malware Enabled ATM Jackpotting Incidents
Across United States
(PDFファイル)https://www.ic3.gov/CSA/2026/260219.pdf

FBI says ATM 'jackpotting' attacks are on the rise, and netting hackers millions in stolen cash | TechCrunch
https://techcrunch.com/2026/02/19/fbi-says-atm-jackpotting-attacks-are-on-the-rise-and-netting-hackers-millions-in-stolen-cash/

攻撃の核心となるのはPloutusファミリーなどのマルウェアで、ATMのハードウェア制御を司るXFS(Extensions for Financial Services)と呼ばれるソフトウェア層を標的にします。

通常、ATMは銀行の承認を得てから現金を放出しますが、マルウェアがXFSに直接指令を送ることで銀行の承認プロセスを完全にバイパスし、攻撃者の要求に応じて即座に現金を放出させることが可能になります。多くのATMで共通して採用されているWindowsオペレーティングシステムの脆弱(ぜいじゃくい)性を突くため、メーカーを問わず幅広い機種が被害に遭っており、顧客の口座情報やカードを使用せずにわずか数分で多額の現金が盗み出されるのが特徴です。

感染経路については、攻撃者が市販されている汎用的な鍵を用いてATMの前面パネルを開け、内部のHDDに物理的に接触する手法が最も多く確認されているとのこと。攻撃者はHDDを一度取り外して外部のコンピューターでマルウェアを書き込むか、あるいはあらかじめマルウェアを仕込んだ別のドライブや外部デバイスに交換してシステムを再起動させることで、不正なプログラムを実行させます。そのため、攻撃は保守スケジュール外のドア開放アラート、予期しない現金残高の急減、ATMの突然の稼働停止、内部への未承認デバイスの接続などで発覚することが多いそうです。

FBIによると、WindowsベースのATMシステム内からはNewage.exe、Color.exe、Levantaito.exe、NCRApp.exe、sdelete.exe、Promo.exe、WinMonitor.exe、Anydesk1.exeといった予期しない実行ファイルが見つかっているとのこと。また、TeamViewerやAnyDeskといったリモート接続ツールの無断インストールや、不審なIPアドレスからのアクセスログも重要な手がかりとなります。システム監視においては、USBデバイスの挿入を検知するイベントID 6416や、ファイル操作を記録するイベントID 4663などのイベントログを詳細に分析することで、攻撃の初期段階を特定できる可能性があります。

FBIは物理およびデジタルの両面から対策を講じることを推奨しています。たとえば物理面では、標準的な鍵を独自のものへ変更し、振動や温度変化を検知するセンサー、保守ハッチ開放時に作動するアラーム、現金ボックスへの追加の障壁を設置することが有効です。

そしてデジタル面では、HDDの暗号化やTPMを利用したブート時の整合性チェック、デバイスのホワイトリスト化に加え、検証済みのシステム状態である「ゴールドイメージ」と現行のハッシュ値を定期的に比較・検証することが、ネットワーク監視をすり抜けるマルウェアを防ぐための最も強力な手段だとFBIは主張しました。

FBIは不審な活動を察知した際は、速やかに各地のFBIフィールドオフィスやインターネット犯罪苦情センター(IC3)へ報告するよう呼びかけています。