はじめに

キャッシュアウト攻撃の事件や亜種が増え、金融サービス業界やATMメーカーにとって厳しい1年でした。 ジャックポット攻撃(別名「ブラックボックス攻撃」)とは、カジノで大当たりを引いた後のスロットマシンのように、ATMを操作して現金をすべて払い出させる攻撃を指し、今年に入ってから増加していると言われています。 先週、法執行機関は「ATMキャッシュアウト」と呼ばれるATMへの協調的な論理攻撃の脅威について金融サービス機関に通達しました。 さらに、最近インドのCosmos銀行が受けた攻撃(北朝鮮のLazarusグループによるもの)は、典型的なジャックポット攻撃とは考えられていませんが、特定の金融サービス機関のATMインフラが、特に論理的攻撃に対して依然として脆弱であることを明らかにしています。 この情報ノートでは、ATMキャッシュアウト攻撃と、この攻撃によって金融サービス業界から明らかになるかもしれない弱点について検討します。

Contextual Information

ATM は犯罪者にとって有益なターゲットであり続け、彼らは違法収益を上げるためにさまざまな方法を使用します。 金属切断工具を使用して物理的に破壊する方法もあれば、マルウェアに感染して内部から現金自動預払機を操作する方法もあります。

犯罪者はさまざまなツールやテクニック (物理的、論理的、または複合的) を使用して ATM の「ブラックボックス」にアクセスし、すべてのセキュリティ管理を回避して、すべての現金を引き出すことを強制します。 一部の例外を除き、各ATMは、パーソナル・コンピュータ(PC)を使用したオペレーティング・システムによって制御される現金払出機構という同じ機能を備えているため、論理的な攻撃によるリスクにさらされています。 マルウェア攻撃は、こうした論理的な攻撃のサブカテゴリとして、サイバー犯罪者の間で人気が高まっています。

ジャックポット攻撃に使用されるツールの例

内視鏡 – 通常、人体の内部を見るために用いられる、端にカメラが付いた細いチューブ状の医療機器です。 5241>

Tyupkin malware – 攻撃者が直接操作することによってATMのキャッシュカセットを空にすることができるマルウェアの一部。 2013年にセキュリティ研究者によってBackdoor.MSIL.Tyupkinとして初めて確認され、Microsoft Windows 32bitを実行する大手メーカーのATMに影響を与えます。

Ploutus.D malware – 「AgilisConfigurationUtility.exe」のファイル名で特定される、最も進んだATMマルウェア群の1つで、2013年にメキシコで初めて発見されたものです。 このマルウェアは、USBポート経由でインストールされると、犯罪者が機械に取り付けられた外部キーボードまたはSMSメッセージのいずれかを使用してATMを空にすることができます。

Cutlet Maker、c0decalc、Stimulatorがマルウェアツールキットに – ATMベンダー固有のAPIの助けを借りて設計されたマルウェアキット、とニュースメディアは報じました。 このキットを使った攻撃を実行するには、犯罪者はATMの内部に直接アクセスし、マルウェアをアップロードするために使用するUSBポートの1つに到達する必要がある。 c0decalcは、マルウェア作者の著作権を保証するためのパスワードを生成します。 Stimulatorは、特定のベンダーのATMキャッシュカセットのステータス情報(通貨、価値、紙幣量など)を取得します。

Jackpotting攻撃で使用される手法の例:

ATM のハードドライブ操作です。

  • ATM技術者に扮した詐欺師や現場の「マネー・ミュール」を通じて、ATMハードディスクを新しいものに交換し(おそらくマルウェアの入ったUSBメモリを使用)、現金自動支払機への不正な払い出しコマンドを使用できるようにします。
  • オプションとして、ATM のハード ドライブを取り外し、マルウェアに感染させ、攻撃者が提供するハード ドライブと交換する代わりに、再度挿入することもできます。
  • さらに、認証システムを騙すために、内視鏡を使用してセンサーが操作されます。 このようにして、暗号化された通信プロトコルが攻撃によって回避されます。

Black Box Attack:

  • 技術者に扮した詐欺師が、ATM PC または「ブラックボックス」を切断し、論理的セキュリティ手段を無効化させるのです。
  • 内視鏡を使ってATMの内部を観察し、コードが取り付けられる現金自動預け払い機の内部を探し出し、犯人のノートパソコンとATMのコンピュータの間の同期を可能にするのである。
  • ATMは、すでにマルウェアがインストールされ、マシンのバックグラウンドで実行されている状態で、ATMキーボードから現金を払い出す指示を待って、スイッチをオンに戻します。

Man-in-the-Middle:

  • 不正者は、ATM PCまたは「ブラックボックス」とディスペンサーユニット間の通信ラインを改竄するデバイスをインストールします。 ほとんどの場合、シリアルRS232またはUSB接続です。
  • マルウェアは、詐欺師の口座から引き落とすことなく、お金を引き出すためにホストの反応を偽ります。

これらの攻撃が特定の犯罪者にとって興味深いのは、実行に必要な技術知識が低いということです。 ダークウェブには、チュートリアルやステップバイステップのガイドがたくさんあり、それらを利用することで、より簡単に行うことができます。 それでも、これらの攻撃をやり遂げるには、ATMへの一定レベルの物理的アクセスや犯罪者のIDの露出が必要です。 犯罪者は、ジャックポットよりも複雑でない方法を用いてATMからお金を盗むことができます。 ATM内部への物理的なアクセスに依存しないリモート攻撃もあり、最近のコスモス銀行の事件はその良い例です。

ATMネットワークに注入されたマルウェア

攻撃者は、金融機関のネットワークを通じてATMにマルウェアを感染させることも行っています。 攻撃者が銀行のネットワークにアクセスすると、遠隔地からマルウェアをインストールし、ATM をスレーブ マシンに変えてしまうことができます。

Cosmos Bank ATM Heist

今月初め、北朝鮮に関連する Lazarus Group の攻撃により、インドの Cosmos Bank から 1,350 万ドルが盗まれましたが、この攻撃は、標的型サイバー脅威に対する銀行の防御策に限界があることを露呈するものでした。 この攻撃は、標的型サイバー脅威に対する銀行の防御策の限界を露呈するものでした。脅威の主体がどのようにして最初に銀行のネットワークに侵入できたかは、まだ明らかになっていません。 セキュリティ調査によると、この脅威の主体が通常どのように活動するかに基づいて、攻撃者はスピアフィッシングメールを介して侵入し、銀行のネットワーク内で横方向に移動して、銀行のATMインフラを侵害したとのことです

これは、典型的な基本的なカード非通知(CNP)や大当たり攻撃ではありませんでした。 この攻撃は、銀行のインフラに焦点を当てた、より高度で計画的、かつ高度に連携した操作であり、欧州警察機構のATM攻撃緩和ガイダンスに基づく4つの主要な防御層を効果的に迂回するものでした。 最初の侵害の後、攻撃者は、ベンダーのATMテストソフトウェアを利用するか、現在配備されているATM決済スイッチソフトウェアに変更を加え、悪意のあるプロキシスイッチ(MPS)を作成した可能性が高いと思われます。 その結果、決済スイッチから送信された取引承認のための詳細はコアバンキングソリューション(CBS)に転送されず、カード番号、カードステータス(Cold、Warm、Hot)、PINなどのチェックが実行されませんでした。

FBI、世界的なATMキャッシュアウト計画について金融機関に警告

ニュースメディアによると、連邦捜査局(FBI)は、サイバー犯罪者が「ATMキャッシュアウト」と呼ばれる高度な振り付けの世界的詐欺計画を実行する準備をしていると、金融機関に警告しているとのことです。 FBIは、銀行や決済カードプロセッサーをハッキングし、世界中の現金自動預け払い機でクローンカードを使用することをこの計画に関連付けました。 この手法により、わずか数時間で数百万ドルを不正に引き出すことが可能になります。 この警告は、コスモス銀行強盗事件の数日前に出されましたが、複製に対する懸念はまだ顕在化しています。

勧告

ATMオペレータおよび金融機関への勧告

  • EMVセキュリティ標準を導入する。 EMVは、スマート決済カード(チップカードやICカードとも呼ばれる)と、それを受け入れることができる決済端末や現金自動預け払い機の技術標準に基づいた決済方法です。
  • ATMの物理的セキュリティを見直し、高品質で堅牢な物理セキュリティソリューションとATMセキュリティアラームへの投資を検討してください。 このエリアは、不正な開錠を防ぐために侵入者警報で保護するか、トップボックスへのアクセスロックを変更し、メーカーが提供するデフォルトのマスターキーが使用されないようにする必要があります
  • セルフサービス端末用に設計された特別なセキュリティソリューションを導入する。 スマートATMセキュリティ管理プログラムを通じて、ATMのソフトウェアを最新に保つソリューション。 ネットワーク機器やモデムなど、ATMに接続されている他の機器をセキュリティ管理プログラムに含めることを検討する。
  • 特定のユニットで異常な額の引き出しがあった場合、法執行機関に積極的に報告する。
  • リアルタイム不正検知システムまたは人工知能ソフトウェアを使用して、ATMの盗難、マネーロンダリング、その他の金融犯罪を発見する。
  • PCオペレーティングシステムのセキュリティポリシーを強化して、特権の乱用、デフォルトアカウント、悪質ソフトウェアのインストール、USBポート/CD/DVD/ハードディスクなどのリソースへの未許可アクセスなどを防止する。
  • ATMのハードディスクからのみ起動するようにBIOSを設定する。
  • ATMに関連するデバイスで、リムーバブルメディアからの起動をデフォルトで無効にする。
  • ATMに関連するデバイスで、不明なUSBデバイスの使用をデフォルトでブロックする。
  • ATMに関連するデバイスでAUTORUNが完全にかつ効果的に無効になっていることを確実に確認する。
  • ハードディスクの暗号化を導入し、ハードディスクの内容への無許可の変更を防ぐ。
  • ローカルATM管理者のために、可能な場合は物理的またはデジタルトークンを使用して、強いパスワード要件と二要素認証を実装する。 堅牢なパスワード管理ポリシーを検討してください。 ベストプラクティスは、これらのパスワードがBIOSがサポートできるのと同じくらい複雑であるべきであることを示しています。
  • マルウェアの実行をブロックするために、未承認アプリケーションの使用を制限する。
  • ATMに関連するデバイスにインストールされたすべてのソフトウェアのための安全かつ定期的なソフトウェア更新を確立するポリシーを定義する。
  • 非標準のポートを経由する暗号化されたトラフィックを監視する。
  • 金融機関からのアウトバウンド接続が通常発生しない地域へのネットワークトラフィックを監視する。
  • 金庫への物理アクセスなど、キャッシュディスペンサーで認証を必要とする最初の通信のみを受け入れるようシステムを構成する。
  • ファームウェアのロールバックやメッセージの再生など、通信保護の回避を抑制するルールを定義する。
  • ATMへのすべてのインバウンド通信を制限するファイアウォールを確立する。
  • すべてのATMネットワークトラフィックに通信認証と暗号化保護を適用する。 推奨は、TLS 1.2またはVPNを使用し、MACingを実装して機密メッセージの暗号認証を提供することです。

Recommendations for on-premise ATM operators

  • ATMを、可視セキュリティカメラで監視されるオープンで明るい環境に置くようにすることです。
  • ATMは、犯罪者を抑止する投げ縄防止装置で床にしっかりと固定されている必要があります。
  • 定期的にATMをチェックして、第三者の装置(スキマー)が取り付けられた痕跡がないかを確認します。
  • ATM技術者を装う犯罪者によるソーシャルエンジニアリング攻撃に警戒してください。
  • 侵入者アラームを実装し、違反の可能性がある場合は法執行機関に通知して、それに従って行動します。

終わりに

最初に公に知られた ATM エクスプロイトは、2010 Black Hat Conference で世界中に発表されました。 それから数年後、ATMオペレータのEMV技術の採用の遅れ、緩い物理的セキュリティ、不十分な監視とメンテナンスに後押しされて、詐欺師とそのマネーミュールがジャックポット攻撃を活発に行うようになったと報告されています。 また、これらの犯罪に必要なツールやテクニックに関する情報も、ダークウェブで広く公開されるようになりました。 これらすべての要因が、この犯罪活動が盛んになるための理想的な環境を作り出しました。 それでも、攻撃を行うには物理的な存在が必要なため、詐欺師にとっては一定のリスクがあります。 ATMネットワークを利用した攻撃は、詐欺師がより安全かつ効率的にキャッシュアウトするための次善の手法です。 最近のCosmosの事件は、犯罪者が痕跡を残さずに、わずか数時間でATMから大量のお金を盗むことが可能であることを示しています。

犯罪者がATMネットワークベースの攻撃で用いるTTP(戦術/ツール、テクニック、手順)は、サイバー攻撃で他のタイプのターゲットに用いられるものと非常によく似ています。 さらに、一般的に企業ネットワークに適用されるサイバー脅威とセキュリティの推奨事項は、ATMにも有効です。

これらの最近のセキュリティ事件の領域では、金融サービス機関のセキュリティ管理者は、企業ネットワークのセキュリティ対策を優先的にATMネットワークに拡張し、これらの壊滅的なATMキャッシュアウト攻撃にさらされるリスクを軽減することを考慮する必要があります。

コメントを残す

メールアドレスが公開されることはありません。