日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページ詐欺師がATMを「ジャックポット」する独自のDieboldソフトウェアを入手
ダン・グッディン - 2020年7月20日午後9時40分(協定世界時)
昨年、ATMの販売とサービスで33億ドルを稼いだディーボルド・ニクスドルフ社は、店舗や銀行、その他の顧客に対し、ハードウェアベースの新たな形態の「ジャックポット」(窃盗犯がATMを素早く空にするために使用する攻撃の業界用語)について警告している。
新しいバリエーションでは、同社独自のソフトウェア スタックの一部を実行するデバイスが使用されます。 次に、攻撃者はデバイスを ATM 内部に接続し、コマンドを発行します。 攻撃が成功すると現金が大量に流出する可能性があり、23 秒ごとに 40 枚もの紙幣が払い出される場合もあります。 デバイスは、ATM シャーシのロックを解除するキーにアクセスするか、穴を開けるか物理的なロックを破壊して機械の内部にアクセスすることによって取り付けられます。
以前のジャックポット攻撃では、業界でブラック ボックスとして知られる接続されたデバイスが、通常、ATM オペレーティング システムに含まれるプログラミング インターフェイスを呼び出してコマンドを流し込み、最終的に現金を払い出すハードウェア コンポーネントに到達しました。 最近では、ディーボルド・ニクスドルフ氏は、同社独自のソフトウェアの一部を組み込んだブラックボックス攻撃が相次いでいるのを観察した。
「成功した攻撃の一部は、攻撃の実行方法に新たに適応された手口を示しています」とディーボルト・ニクスドルフ氏は、先週発行され、同社の代表者がアルスに提供したアクティブなセキュリティ警告の中で警告した。 「詐欺師はまだ外部デバイスに接続していますが、調査の現段階では、このデバイスには攻撃された ATM のソフトウェア スタックの一部も含まれているようです。」
この勧告には別の場所で次のように書かれています。
一般に、ジャックポットとは、ATM から不正に現金を引き出すことを目的とした攻撃のカテゴリーを指します。 ジャックポットのブラック ボックス版では、端末からお金を引き出すために ATM のソフトウェア スタックを利用しません。 代わりに、詐欺師は自分のデバイスである「ブラック ボックス」をディスペンサーに接続し、現金処理デバイスへの通信を直接ターゲットにします。
最近の事件では、攻撃者は屋外システムに焦点を当てており、頭部コンパートメントに物理的にアクセスするために筋膜の一部を破壊しています。 次に、CMD-V4 ディスペンサーと特殊電子機器間の USB ケーブル、または特殊電子機器と ATM PC 間のケーブルが抜かれました。 このケーブルは、不正な供給コマンドを送信するために攻撃者のブラック ボックスに接続されます。
いくつかのインシデントは、ブラック ボックスに攻撃された ATM のソフトウェア スタックの個々の部分が含まれていることを示しています。 これらの部品が詐欺師によってどのように入手されたのかについては調査が進行中です。 可能性としては、暗号化されていないハードディスクに対するオフライン攻撃が考えられます。
同社の ProCash ライン端末、特に ProCash 2050xs USB モデルを標的とした攻撃が増えています。 勧告では、進行中の攻撃は「特定の欧州諸国」で発生していると述べた。
ATMセキュリティの専門家であるブルーノ・オリベイラ氏は、以前の形態のブラックボックス攻撃について聞いたことがあると述べた。 接続されたデバイスは、XFS や CFS などの OS 拡張機能に含まれる API を操作し、金融機関が運用するリモート サーバーと通信します。 ATMの内部PCを模倣したブラックボックスは、ラップトップか、かなり簡単に構築できるRaspberryやArduinoハードウェアのいずれかになるとオリベイラ氏は述べた。 ブラック ボックスは、ディーボルド ニクスドルフ氏がここで説明する 4 つのジャックポット手法のうちの 1 つです。
場合によっては、接続されたデバイスが現金自動支払機に直接接続され、現金を吐き出すコマンドを発行します。 もう 1 つの形式のブラックボックス攻撃は、ネットワーク ケーブルに接続し、ATM とセッションを処理するトランザクション センターの間でカード所有者情報が中継される際に記録します。 その後、接続されたデバイスが許可された最大引き出し金額を変更するか、ホスト システムになりすまして、ATM が多額のお金を払い出せるようにします。
上にリンクされたジャックポッティングのパンフレットでは、他の 2 種類の攻撃について説明しています。 1 つ目は、正規のハード ドライブを攻撃者が作成したハード ドライブと交換します。 もう 1 つは、銀行員に対するフィッシング攻撃を使用します。 攻撃者が金融機関のネットワーク内にアクセスできるようになると、ATM をマルウェアに感染させるコマンドを発行し、そのマルウェアを感染させてマシンを駆除します。