WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
ATMが存在する限り、ハッカーはそこから現金を搾り取ろうとするだろう。ATMを標的とした「ジャックポット」マルウェア(機械から現金を吐き出させるもの)はここ数年増加傾向にあるが、最近の亜種はまさにそのコンセプトを文字通りに解釈し、機械のインターフェースをスロットマシンのように変化させている。つまり、毎回現金が払い出されるのだ。
Kaspersky Lab が詳細に説明したように、いわゆる WinPot マルウェアは、セキュリティ研究者が「人気」としか表現していない ATM ブランドを攻撃します。WinPot をインストールするには、ハッカーは ATM への物理的アクセスまたはネットワークアクセスが必要です。適切な場所に穴を開ければ、シリアルポートに差し込むのは簡単です。起動すると、このマルウェアは ATM の標準ディスプレイを「SPIN」と書かれた 4 つのボタンに置き換えます。これは、ATM 内の現金引き出し容器であるカセットごとに 1 つずつです。各ボタンの下には、各カセット内の紙幣の枚数と合計金額が表示されます。「SPIN」をタップすると、現金が出てきます。「STOP」をタップすると、まあ、お分かりでしょう。(しかし、この時点で、ATM サイバー泥棒はなぜそんなことをするのでしょうか?)
カスペルスキーは昨年3月からWinPotマルウェアファミリーの追跡を開始し、その間にこのテーマを題材としたいくつかの技術的バージョンを確認してきました。実際、WinPotは2016年に登場した人気ATMマルウェア「Cutlet Maker」に触発された、ある種の亜種であるようです。Cutlet Makerも標的のATMの中身に関する詳細情報を表示していましたが、スロットマシンをモチーフにしたものではなく、典型的なシェフがウィンクして「OK」のジェスチャーをしている画像を使用していました。
カスペルスキー研究所
類似点はバグではなく、機能です。「最新版の『キャッシュアウト』ATMソフトウェアは、以前の世代と比べてわずかな改良点しかありません」と、カスペルスキー研究所のシニアセキュリティ研究者コンスタンチン・ジコフ氏は述べています。「これらの改良により、犯罪者はジャックポット獲得プロセスを自動化できます。なぜなら、彼らにとって時間は極めて重要だからです。」
これは、ATMハッカーが最近好んで採用している不条理主義的な傾向をある程度説明するものでもある。これは、秘密主義と犯罪に特化している分野では異例な特徴だ。ATMマルウェアは基本的に単純で、実績があるため、ハッカーには独創的なセンスを加える余地がある。WinPotとCutlet Makerの奇抜な特徴は「他の種類のマルウェアにはあまり見られない」とZykov氏は付け加える。「これらのハッカーにはユーモアのセンスと、ある程度の余暇があるのだ」
結局のところ、ATMは本質的にコンピューターです。それだけでなく、多くの場合、古い、あるいはサポートされていないバージョンのWindowsが稼働しています。こうした攻撃の最大の障壁は、ほとんどの場合、機器への物理的なアクセスが必要となることです。これが、法執行機関の存在が比較的強い米国でATMマルウェアがそれほど蔓延していない理由の一つです。多くのATMハッカーは、いわゆる「マネーミュール」と呼ばれる、ATMから実際に現金を引き出すリスクを全て引き受ける代わりに、利益を得る人物を投入しています。
しかし、WinPotとCutlet Makerには、単なる冗談以上の重要な共通点があります。どちらもダークウェブで販売されているのです。Kasperskyの調査によると、WinPotの最新バージョンはわずか500ドルで購入できることがわかりました。これは、これまで自分の成果を厳重に秘匿してきたATMハッカーにとって異例のことです。
「最近では、Cutlet MakerやWinPotといったマルウェアが登場し、この攻撃ツールが比較的少額で市販されるようになりました」と、トレンドマイクロリサーチのシニア脅威研究者、ヌマーン・ハック氏は述べています。同社は2016年にユーロポールと共同でATMハッキングの現状に関する包括的な調査を行いました。「その結果、ATMを標的とするグループが増加すると予想されます。」
WinPotとCutlet Makerは、ATMマルウェア市場のほんの一部に過ぎません。Ploutusとその亜種は2013年からATMを悩ませており、わずか数分でATMから数千ドルを吐き出させることが可能です。場合によっては、ハッカーが侵入したデバイスにテキストメッセージを送信するだけで不正な引き出しを実行できることもあります。ロシアで蔓延しているTypukinウイルスは、発見される可能性を最小限に抑えるため、日曜日と月曜日の夜の特定の時間帯にのみコマンドに応答します。Prilexはブラジルで発生したとみられ、猛威を振るっています。こうしたマルウェアは枚挙にいとまがありません。
この種のマルウェアを阻止するのは比較的簡単です。メーカーはATMで実行できる承認済みソフトウェアのホワイトリストを作成し、それ以外のソフトウェアをブロックすることができます。デバイス制御ソフトウェアは、マルウェアを含んだUSBスティックなどの未知のデバイスが接続されるのを最初から防ぐこともできます。ところで、あなたが最後に利用したボデガのATMを思い出してみてください。そのATMがアップデートされてからどれくらい経っているでしょうか。
ATMハッキングは今後ますます増加し、そしてより茶番劇的な展開を見せるでしょう。現時点では、文字通り遊びの域を出ません。「犯罪者はただ楽しんでいるだけです」とジコフ氏は言います。「マルウェア自体はそれほど複雑ではないので、こうした『楽しい』機能に時間を費やしているのだろうと推測するしかありません。」
WIREDのその他の素晴らしい記事
- ハッカー用語集: クレデンシャル スタッフィングとは何ですか?
- 私のオンライン生活—あらゆる指標なし
- ブドウが電子レンジで火の玉になる理由
- ナスカーを動かすツールやトリックをすべて見てみよう
- r/FatPussy(および他のサブ)を取り戻したRedditユーザー
- 👀 最新のガジェットをお探しですか?最新の購入ガイドと年間を通してのお買い得情報をチェックしましょう
- 📩 もっと知りたいですか?毎日のニュースレターに登録して、最新の素晴らしいストーリーを見逃さないでください
