ATM ジャックポッティング
ATM ジャックポッティング とは何ですか?
ATM ジャックポッティングATM の出金装置に現金をすべて吐き出させる攻撃で、上部筐体への物理アクセスや銀行ネットワークの侵害を通じて実施されます。
ATM ジャックポッティングは、故人となった Barnaby Jack が 2010 年の Black Hat で公開実演したもので、彼は Tranax と Triton のマシンに現金を吐き出させ、その実演に「Jackpotting」という名前を与えました。現代の攻撃は 2 つの系統に分かれます。
物理的ジャックポッティング
実行犯は ATM の上部筐体を(多くの場合、盗んだ鍵や汎用鍵で)開け、稼働中の PC からディスペンサーを切り離し、攻撃者のデバイス — ノート PC、Raspberry Pi、あるいはケーブルに届かせるための医療用内視鏡 — を接続します。その後、Ploutus.D、Cutlet Maker(ダークウェブ上で約 5,000 ドルの犯罪サービス(CaaS)として販売)、WinPot などのマルウェアが、XFS(eXtensions for Financial Services)ミドルウェアを介してディスペンサーと通信し、出金コマンドを発行して数分ですべてのカセットを空にします。米国で確認された最初のジャックポッティングの波は 2018 年 1 月に発生しました(シークレットサービス/Diebold Nixdorf による警告)。
ネットワーク経由のキャッシュアウト
flowchart TD A[銀行職員へのスピアフィッシング] --> B[銀行ネットワークへの侵入拠点確保] B --> C[決済スイッチサーバーへ到達<br/>AIX/Windows] C --> D[スイッチプロセスに<br/>Trojan.FastCash を注入] D --> E[ミュールが海外の ATM で<br/>カードを挿入] E --> F[出金要求が<br/>侵害されたスイッチに到達] F --> G[マルウェアが<br/>ISO 8583 承認電文を偽造] G --> H[ATM が現金を払い出す;<br/>実際の口座残高は変わらず]
FASTCash は、北朝鮮に関連する Lazarus/APT38(Hidden Cobra / BeagleBoyz) グループが運用するもので、銀行の決済スイッチアプリケーションサーバーを侵害し、ISO 8583 の承認電文を偽造することで、ミュールのカードが口座残高では賄えない現金を引き出せるようにします。CISA/FBI/財務省は 2018 年 10 月にこれを詳述しました。2017 年のある単一のインシデントでは、30 か国を超える国々の ATM から同時に 現金が引き出され、2018 年のインシデントは 23 か国に及び、被害総額は数千万ドルに達したと推定されています。
防御策
上部筐体への物理センサーとより堅牢な錠。BIOS パスワードとフルディスク暗号化。ATM の OS 上でのアプリケーションアローリスト。署名され認証されたディスペンサーファームウェアと、PC とディスペンサー間の XFS 3.0 以降のエンドツーエンド暗号化。そして ATM とスイッチ間のリンクにおけるセグメンテーション、MFA、メッセージ認証(MAC)。
● 例
- 01
ミュールが Cutlet Maker MaaS キットを使い 2017-2018 年に東欧の ATM を空にする。
- 02
Lazarus の FASTCash が承認電文を送信し ATM から 1 億ドル以上を引き出す。
● よくある質問
ATM ジャックポッティング とは何ですか?
ATM の出金装置に現金をすべて吐き出させる攻撃で、上部筐体への物理アクセスや銀行ネットワークの侵害を通じて実施されます。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
ATM ジャックポッティング とはどういう意味ですか?
ATM の出金装置に現金をすべて吐き出させる攻撃で、上部筐体への物理アクセスや銀行ネットワークの侵害を通じて実施されます。
ATM ジャックポッティング からどのように防御しますか?
ATM ジャックポッティング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ATM ジャックポッティング の別名は何ですか?
一般的な別名: Jackpotting, キャッシュアウト攻撃。