- About Trend Micro
- プレスリリース
- 海外で被害が急増するATMマルウェアの動向を分析したレポートを公開
海外で被害が急増するATMマルウェアの動向を分析したレポートを公開
~金融機関の業務ネットワークを経由してATMに侵入する攻撃手法を解説~
2017年11月6日
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、欧州刑事警察機構(以下、ユーロポール)と共同で、金融機関のATM(automatic teller machine:現金自動預け払い機)を狙ったマルウェアの動向を分析したレポート「最新脅威解説『ATMマルウェア』」を本日公開したことをお知らせします※1。
※1 以降の金額は、2017年10月20日時点での換算レート(1米ドル=112円、1ユーロ=133円、1台湾元=3.7円)で計算しています。
「最新脅威解説『ATMマルウェア』」ダウンロードページはこちら
金銭奪取やカード情報収集を目的にATMを狙う「ATMマルウェア」は、2009年に世界で初めて確認されて以来、拡散・巧妙化を続けています。欧州の金融取引のセキュリティ動向を調査する機関「EAST(European Association for Secure Transactions)」の報告によれば※2、欧州におけるATMマルウェアの攻撃による被害額は、2017年1月~6月で151万ユーロ(約2億円)に上っています。トレンドマイクロとユーロポールは、今後も被害拡大が予想されるATMマルウェアの対策について金融業界の対策向上に寄与するため、分析レポートを共同で執筆・公開しました。
※2 参考URLはこちら
「最新脅威解説『ATMマルウェア』」サマリ
1.金融機関の業務ネットワークを経由してATMに侵入する攻撃手法を確認
ATMマルウェアは2009年にその存在が確認された不正プログラムです。ATMマルウェアを使用した攻撃では、感染させるためにUSBデバイス/CD-ROMをATMに接続するなど、物理的なアクセスを伴うものがほとんどでした。しかし最近では、2015年2月に報告されたサイバー攻撃「Carbanak(カーバナク)」や2016年9月に報告された台湾の大手銀行の被害事例など、金融機関の業務ネットワークに侵入した後、ネットワーク経由でATMマルウェアを感染させるサイバー攻撃を多く確認しています。
台湾の被害事例では、銀行の海外支店のイントラネットからATMネットワークに侵入され、最終的に約8,000万台湾元(約2億9,000万円)が奪取されるなど、多額の被害が報告されています※3。今後、国内の金融機関向けにも同様のサイバー攻撃が行われる可能性もあり、注意が必要です。
※3 参考URLはこちら
●表:ATMを狙ったサイバー攻撃事例※4
| 報告時期 |
概要 |
ATMへの感染経路 | 主な標的地域 |
|---|---|---|---|
2009年3月 |
世界初のATMマルウェア「Skimer(スキマー)」が報告される。その後の調査で2007年には既に存在していたことが判明しており、現在でも攻撃に利用されている。 | 物理的アクセス | ロシア ウクライナ |
| 2013年9月 | ATMマルウェア「Ploutus(プルータス)」が報告される。初期はNCR社製ATMのみを標的としていたが、後に製造元に関係なくATM全般※5を標的とする亜種が登場。 | 物理的アクセス | メキシコ |
| 2014年4月 | ATMマルウェア「NeoPocket(ネオポケット)」が報告される。ATM上での取引情報と入力情報の窃取のみを行う。 | 物理的アクセス | 南米 |
| 2014年5月 | ATMマルウェア「Padpin(パッドピン)」が報告される。合わせて数百万米ドルが盗まれる被害も確認された。 | 物理的アクセス | 欧州 東南アジア |
2015年2月 |
複数の銀行に対する大規模な標的型サイバー攻撃「Carbanak(カーバナク)」が報告される。標的型メール経由で社内ネットワークに侵入し、様々な方法で金銭を窃取。この攻撃の中では、2014年4月頃、既にネットワーク経由のATMマルウェア攻撃が行われていた可能性がある。 | 業務ネットワーク経由 | ロシア |
| 2015年9月 | ATMマルウェア「GreenDispenser(グリーンディスペンサー)」が報告される。製造元に関係なくATM全般※5を標的とする。 | 物理的アクセス | メキシコ |
| 2016年8月 | ATMマルウェア「Ripper(リッパー)」により、タイの大手銀行で約1,300万米ドル(約14億7,000万円)の被害が発生した事例が報告される。ネットワーク経由でのATMへの感染が断定された。 | 業務ネットワーク経由 | タイ |
| 2016年9月 | 台湾の大手銀行で約8,000万台湾元(約2億9,000万円)が奪取された事例が報告される。海外支店のイントラネットへの侵入からATMネットワークに侵入された。 | 業務ネットワーク経由 | 台湾 |
| 2016年11月 | ATMマルウェア「Alice(アリス)」が報告される。ATMからの不正引き出しのための最小限の機能のみを持つ。製造元に関係なくATM全般※5を標的とする。 | 物理的アクセス | - |
| 2017年4月 | ATMマルウェア「ATMitch(エーティーミッチ)」を利用した攻撃事例が報告される。ロシアやカザフスタンでは合わせて80万米ドル(約9,000万円)の被害を確認。 | 業務ネットワーク経由 | ロシア カザフスタン |
| 2017年8月 | 銀行に対する標的型サイバー攻撃「Cobalt Strike(コバルトストライク)」が報告される。標的型メールで銀行の業務ネットワークに侵入し、最終的にRDPなどを用い、ATMを遠隔制御する。 | 業務ネットワーク経由 | ロシア |
※4 トレンドマイクロによる調査および公開情報を独自に整理。
※5 Windowsをベースとして設計されたATMを指します。
2. Dark Web上で10米ドルで売買されるATMマルウェア
今回のレポート公開に当たり、当社ではATMマルウェアによる被害拡大の背景を探るため、アンダーグラウンドサイトの調査を行いました。その結果、匿名化ネットワーク内のアンダーグラウンドサイトであるDark Webでは、実際の攻撃に用いられたものと同じATMマルウェアが販売されていることを確認しました。具体的には、「Ploutus(プルータス)」というATMマルウェアが10米ドル(約1,100円)で販売されていたほか、「Padpin(パッドピン)」のマルウェア自体に加えて、ATMに感染させる方法についても販売されていることを確認しました。
現在、ATMマルウェアの被害は東欧や東アジアが中心です。しかし、アンダーグラウンドサイト上ではATMマルウェアそのものや攻撃方法に関する情報が容易に入手できるため、他の地域でもATMを狙うサイバー攻撃が行われる可能性があります。
●図:アンダーグラウンドサイト上で販売されるATMマルウェア「Ploutus」
ATMマルウェアへの対策は、ATM内での不審なプログラムの実行を阻止するロックダウン型のセキュリティ製品※6の導入のほか、ネットワーク経由での感染に備えて業務ネットワークを監視し、不審な通信があれば検知する体制も有効です。また、侵入のきっかけとなる標的型メールに備えて、どういった手口が存在するのか、従業員の教育を徹底することも重要です。
※6 システムの特定用途化(ロックダウン)により、不正プログラムの侵入・実行を防止するセキュリティ製品です。
※本リリースに記載された内容は2017年11月6日現在の情報をもとに作成されたものです。今後、内容の全部もしくは一部に変更が生じる可能性があります。
※TREND MICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。