Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

ATM から大金を盗み出す犯罪者

Created: 15 Oct 2013 04:02:57 GMT • Updated: 07 Nov 2013 03:14:21 GMT • Translations available: English, Español
Daniel Regalado's picture
0 0 Votes
Login to vote

寄稿: Val S

Mexican ATMs 1.jpg

メキシコの犯罪組織は、金銭を盗み出す新しい手口を次々と生み出すことで悪名を馳せています。現金自動預け払い機(ATM)も頻繁に狙われていますが、犯罪者にとって問題になるのは ATM から実際に現金を取り出す方法です。以下の 3 つの方法がよく使われています。

  1. 誘拐: 一般市民を誘拐して、口座が空になるまで預金をすべて引き出させます。所要時間は口座から引き出せる金額によって異なります。1 日当たりの払い戻し金額には上限が設けられているのが普通だからです。
  2. 物理的な ATM の強奪: ATM を別の場所に持ち去り、そこでゆっくり中の現金を取り出します。この場合、問題になるのは金銭的な損失だけにとどまりません。犯罪者は、ATM 上で実行されているソフトウェアにもアクセスできるので、それをリバースエンジニアリングできれば同じソフトウェアが実行されているすべての ATM に対する攻撃が可能になるためです。
  3. ATM スキミング: キャッシュカード読み取り部分に装置を取り付け、暗証番号などの個人識別情報(PII)を盗み出そうとします。押されたボタンを記録するために、偽のテンキーをかぶせる場合もあります。

以上の手口はいずれも、成否が完全に外的な要因に左右されますが、犯罪者にとって最も望ましいのは、ボタンをいくつか押すだけで ATM から現金を吐き出させる(2010 年の BlackHat カンファレンスで故バーナビー・ジャック(Barnaby Jack)氏が実演したように)ことです。金融機関にとっては悪夢ですが、犯罪者の夢が実現してしまったかもしれません。他のウイルス対策企業との合同調査で、シマンテックは 2013 年 8 月 31 日にそのサンプルを特定し、2013 年 9 月 4 日にその検出定義を追加しました。このサンプルは Backdoor.Ploutus として検出されます。

感染の手法

シマンテック外部からの情報によると、このマルウェアは CD-ROM ドライブに新しいブートディスクを物理的に挿入することで ATM に転送され、ブートディスクからマルウェアがコピーされます。

影響

今回の犯罪者が作成したインターフェースは、侵入した ATM 上の ATM ソフトウェアと対話するため、現金を格納しているコンテナ(カセットとも呼ばれます)から、利用可能な現金をすべて引き出すことができます。

注意しなければならないのは、カードの所有者が ATM のテンキーで入力した情報をすべて読み取る機能も備えているため、犯罪者は外部デバイスをいっさい使わずに重要な情報を盗み出せるという点です。

このマルウェアの影響を受けている他の国や地域から確定的な情報はまだ届いていませんが、同じ ATM ソフトウェアを使っている他の国や地域の金融機関も狙われる恐れがあります。

Backdoor.Ploutus の技術的な特徴

  1. NCRDRVPS という名前の Windows サービスとして実行される。
  2. 犯罪者は、侵入した ATM 上の ATM ソフトウェアと対話するインターフェースを作成するために、NCR.APTRA.AXFS クラスを使っている。
  3. バイナリ名は PloutusService.exe である。
  4. 開発には .NET 技術が使われており、Confuser 1.9 というソフトウェアで不明瞭化されている。
  5. 隠しウィンドウが作成され、犯罪者はこれを利用して ATM を操作できる。
  6. Backdoor.Ploutus は犯罪者が入力する特定のキーの組み合わせをコマンドとして解釈する。コマンドは、外付けキーボード(ATM に接続する必要がある)からでも、テンキーから直接でも受け付けられる。

Backdoor.Ploutus によって実行される処理

  1. ATM ID の生成: 乱数を生成し、侵入した時点の月日に基づいて侵入先の ATM に割り当てられます。
  2. ATM ID のアクティブ化: 現金を引き出すためのタイマーを設定します。マルウェアは、アクティブ化されてから 24 時間以内に限って現金を引き出します。
  3. キャッシュの引き出し: 犯罪者が要求した金額に基づいて現金が引き出されます。
  4. 再起動(サービス): 引き出し期間をリセットします。

失効していないアクティブな ATM ID を使って現金を引き出す必要があるため、上に挙げたコマンドのリストはこの順序で実行される必要があります。

ソースコードではスペイン語の関数名が使われ、英語の文法に間違いがあることから、このマルウェアはスペイン語圏の開発者によって作成されたものと考えられます。

テンキーによる Backdoor.Ploutus の操作

前述したように、このタイプの操作では別途キーボードを接続する必要はありません。

ATM のテンキーを使って入力されるコマンドコードとその目的は、以下のとおりです。

12340000: キーボードがコマンドを受け取っているかどうかをテストします。

12343570: ATM ID を生成します。ID は、config.ini ファイルの DATAA というエントリに保存されます。

12343571XXXXXXXX: これは 2 つの処理を実行します。

  1. エンコードされている ATM ID と現在の日付に基づいてアクティブ化コードを生成し、ATM ID をアクティブ化します。この値は、config.ini ファイルの DATAC というエントリに保存されます。読み込まれる最初の 8 バイトは、CrypTrack() という関数によって生成された、有効なエンコード済み ATM ID でなければなりません。ATM で現金を引き出すには、有効な ATM アクティブ化コードを取得する必要があります。

12343572XX: ATM に現金を引き出すよう命令します。伏せ字にしてある桁が、引き出す金額(100 ドル紙幣の枚数)を表します。

GUI による Backdoor.Ploutus の操作

この方法を使うには、外付けキーボードが必要です。

F8 = Backdoor.Ploutus のウィンドウが非表示の場合に、それを ATM のメイン画面に表示します。これにより、犯罪者がコマンドを送信できるようになります。

Backdoor.Ploutus のウィンドウが表示されたら、キーボードで対応するキーを押すと以下のキーコマンドが発行されます。

F1 = ATM ID の生成

F2 = ATM ID のアクティブ化

F3 = 引き出し

F4 = Backdoor.Ploutus ウィンドウの無効化

F5 = KeyControlUp(上に移動)

F6 = KeyControlDown(下に移動)

F7 = KeyControlNext(次に移動)

F8 = KeyControlBack(前に移動)

Mexican ATMs 2.png

図. Backdoor.Ploutus のキーコマンド

侵入後の引き出しプロセス

今回の犯罪者が ATM ソフトウェアをリバースエンジニアリングし、それと対話するインターフェースを作り上げたことは明らかです。私たちは ATM アーキテクトではありませんが、確認できたコードに基づいて、Backdoor.Ploutus には以下のような機能があると推測できます。

  1. ATM のディスペンサデバイスを識別します。
  2. ディスペンサ 1 台当たりのカセット数を取得し、ロードします。今回の場合、犯罪者は ATM モデルの設計がわかっているため、Backdoor.Ploutus はディスペンサ当たりのカセット数が最大 4 つであると想定します。
  3. 次に、所定の紙幣枚数に現金の単位値を掛けた値に基づいて引き出し金額を計算します。
  4. 現金引き出し処理が開始されます。いずれかのカセットで利用できる上限が 40 単位(紙幣)を下回る場合は、要求された金額を引き出すかわりに、そのカセットで利用できる全額が引き出されます。
  5. 最後に、ATM からすべての現金が引き出されるまで、残りのカセットについてもステップ 4 を繰り返します。

あなたの身近なところで ATM から現金が引き抜かれているかも...

今回の発見で改めて強調されたのは、従来の物理的な犯罪を企てる犯罪者とハッカーやサイバー犯罪者との間で協力関係が増してきていることです。セキュリティのあらゆる面で技術が進化しているため、従来型の犯罪者は、これまで必要とされなかったスキルがなければ盗みが成功しないことに気付きつつあります。今や、最新の銀行強盗団には、盗みを手助けする熟練した IT 専門家が不可欠になりました。これは映画の中だけの話ではありません。実際に、もしかしたら皆さんの身近な ATM で起きているかもしれない現実なのです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。