SecurityInsight | セキュリティインサイト

トレンドマイクロ、海外で被害が急増するATMマルウェアの動向を分析したレポートを公開

トレンドマイクロは11月6日、欧州刑事警察機構と共同で、金融機関のATMを狙ったマルウェアの動向を分析したレポート「最新脅威解説『ATMマルウェア』」を公開した。

■「最新脅威解説『ATMマルウェア』」の概要

1.金融機関の業務ネットワークを経由してATMに侵入する攻撃手法を確認
ATMマルウェアは2009年にその存在が確認された。ATMマルウェアを使用した攻撃では、感染させるためにUSBデバイス/CD-ROMをATMに接続するなど、物理的なアクセスを伴うものがほとんどだった。しかし最近では、2015年2月に報告されたサイバー攻撃「Carbanak」や2016年9月に報告された台湾の大手銀行の被害事例など、金融機関の業務ネットワークに侵入した後、ネットワーク経由でATMマルウェアを感染させるサイバー攻撃を多く確認している。

台湾の被害事例では、銀行の海外支店のイントラネットからATMネットワークに侵入され、最終的に約8,000万台湾元(約2億9,000万円)が奪取されるなど、多額の被害が報告されている。今後、国内の金融機関向けにも同様のサイバー攻撃が行なわれる可能性もあり、注意が必要。

2.Dark Web上で10米ドルで売買されるATMマルウェア
今回のレポート公開に当たり、トレンドマイクロではATMマルウェアによる被害拡大の背景を探るため、アンダーグラウンドサイトの調査を行なった。その結果、匿名化ネットワーク内のアンダーグラウンドサイトであるDark Webでは、実際の攻撃に用いられたものと同じATMマルウェアが販売されていることを確認した。具体的には、「Ploutus」というATMマルウェアが10米ドル(約1,100円)で販売されていたほか、「Padpin」のマルウェア自体に加えて、ATMに感染させる方法についても販売されていることを確認した。

現在、ATMマルウェアの被害は東欧や東アジアが中心となっている。しかし、アンダーグラウンドサイト上ではATMマルウェアそのものや攻撃方法に関する情報が容易に入手できるため、他の地域でもATMを狙うサイバー攻撃が行なわれる可能性がある。

ATMマルウェアへの対策は、ATM内での不審なプログラムの実行を阻止するロックダウン型のセキュリティ製品の導入のほか、ネットワーク経由での感染に備えて業務ネットワークを監視し、不審な通信があれば検知する体制も有効。また、侵入のきっかけとなる標的型メールに備えて、どういった手口が存在するのか、従業員の教育を徹底することも重要となる。
 

関連リンク

プレスリリース