ここから本文です

ATM乗っ取る新型マルウェア? 「Skimer」米中仏UAEなどで発見

ZUU online 5月24日(火)10時10分配信

ロシアのコンピューター・セキュリティー会社、カスペルスキーが、「Skimer」と呼ばれるスキミング(カード情報を不正に読み取る技術)・マルウェアの進化版の流出に警鐘を鳴らしている。

現在までにロシア、フランス、米国、中国、アラブ首長国連邦など10カ国のATMから検出された新型マルウェアは、単にカード情報を読み取るだけではなく、ATM自体を乗っ取って巨大なスキミング・デバイスとして利用することが可能になっている。ATMに植え付け後、数カ月間はスキミングを行いながら通常の機械として作動させ、大量に読み取った情報から大型犯罪を働く意図だ。

また2009年に発見された初期型とは異なり銀行のネットワークや専用のカードを通して直接ATMシステムに侵入するため、表面上は不審な点が一切見当たらないという。つまりATMが感染しているかどうかは、実際に被害が起こるのを待つか、セキュリティーソフトで検出されるまで知る術がないということだ。

■長期の仕込み期間で捜査網をくぐりぬける頭脳派組織

進化しているのはマルウェアだけではなく、犯罪組織側の頭脳にも数段磨きがかかっている。

従来のSkimerは常に起動している状態で発見されていたが、今回カスペルスキーがATMから検出した新型は起動モードがオフになっていた。これは単純にATMから直接現金を引き出した場合すぐに犯罪が発覚するため、長期間システムに侵入させたマルウェアを眠らせておき、機が熟した時を見計らって起動させるーーという、より綿密な計画性を表している。

犯罪組織は特定の情報を磁器ストライプに読み込んだ専用カードを利用して、感染させたATMを覚醒。現金の引き出しからマルウェアの更新まで21種類のコマンドを自由自在に実行できる。

またマルウェアが冬眠中に収集した大量のカード情報を専用カードにファイル形式などで転送するか、ATMの領収書にプリントアウトして持ち去るという。その後これらのデータから偽造カードを作成するが、感染していないATMのみが現金の引き出しに利用される。

被害が明るみにでる頃には実際のスキミングが行われてから相当の時間が経過してるうえに、現金が引き出されたATMからは何のマルウェアも検出されないため、当然ながら犯行の特定は難航する。

こうして時間をかけて仕込まれたSkimerを利用すればATMの現金を根こそぎ引き出すことは勿論、感染したATMを完全に支配下に置き、犯罪の発覚を遅らせることで効率化が図れるというわけだ。

カスペルスキーはATMを設置している金融機関に定期的なセキュリティーチェックを実施するよう呼び掛けているが、今度のSkimerは相当手ごわそうだ。日本では今のところ感染ATMによる被害などは報告されていないが、油断大敵といったところだろう。(ZUU online 編集部)

最終更新:5月24日(火)10時10分

ZUU online