連邦大陪審、ベネズエラのテロ組織に関連する大規模な4,070万ドルのATMジャックポッティング計画で54人を起訴

2025年12月19日 – これまでで最も重大な金融サイバー犯罪事件の一つとして、連邦検察は、外国テロ組織に指定されているTren de Aragua（TdA）に関与する54人を、2025年8月時点で4,073万ドル超を得た高度で全国規模のATMジャックポッティング作戦を組織したとして起訴した。

起訴内容：二正面の法的攻勢

ネブラスカ州地区の連邦検事局は、広範に及ぶ2件の起訴を発表した：

2025年12月9日の起訴：

• 被告22人を起訴
• 罪状には、テロリストへの物的支援提供の共謀、銀行詐欺、銀行侵入窃盗、詐欺、資金洗浄が含まれる
• TdAがジャックポッティングの収益をテロ活動の資金に充てたと主張

2025年10月21日の起訴：

• 被告32人を起訴
• 銀行詐欺、銀行侵入窃盗、コンピュータ損壊など計56件の罪状
• 法定最高刑は懲役20年から335年に及ぶ

著名な被告と国際的なつながり

起訴された人物の中には、ヒメナ・ロミナ・アラヤ・ナバロ（通称「ロシータ」）が含まれる。彼女はベネズエラのエンターテイナーで、TdAの指導者とされ、以前に米財務省外国資産管理局（OFAC）から制裁対象とされていた。財務省文書によれば、アラヤ・ナバロは、TdA指導者ヘクター・ルステンフォード・ゲレロ・フローレス（通称「ニーニョ・ゲレロ」）が2012年にベネズエラのトコロン刑務所から逃走するのを手助けした疑いがあり、彼と社交イベントで一緒に写った写真もあるという。

起訴状にはまた、作戦の背後にいるマルウェア技術者とみられるアニバル・アレクサンダー・カネロン・アギーレ（通称「プロメテウス」）の名も挙げられている。アギーレは現在、ベネズエラにいると評価されている。

技術的な作戦：Ploutusマルウェアの展開

この共謀は、発見されているATMマルウェア群の中でも最も高度なものの一つであるPloutusマルウェアの洗練された亜種に依拠していた。Ploutusは2013年にメキシコで初めて特定され、その後複数回の改良を経て、現在では80か国にわたる41社の異なるATMベンダーの機器で動作し得る。

攻撃手法

裁判資料によれば、この作戦は体系的な3段階のアプローチに従っていた：

第1段階：偵察

• 犯罪チームは複数の車両を用い、グループで移動した
• 標的とした銀行や信用組合を監視した
• 外部のセキュリティ機能を記録した
• ATMのフードを開け、法執行機関の反応を監視することで警報システムを試験した

第2段階：マルウェアのインストール 攻撃者は主に3つの方法でPloutusを展開した：

1. ハードドライブの交換 – 既存ドライブを取り外し、マルウェアを事前に搭載したドライブを取り付ける
2. 直接インストール – ハードドライブを取り外し、マルウェアを直接インストールして再装着する
3. 外部デバイスの投入 – USBドライブ等のデバイスを接続してマルウェアを展開する

第3段階：現金の引き出し

• PloutusマルウェアがATMの現金払出モジュールに対して不正なコマンドを発行した
• 保管されている通貨をすべて高速で引き出すよう強制した
• マルウェアは証拠を削除し、銀行職員を欺くための偽装を行った
• 収益は事前に定めた割合で共謀者間に分配された

技術的高度性

Ploutusマルウェアは、いくつかの高度な機能を示した：

• 検知回避機能：証拠を削除し、金融機関の職員を誤認させるよう設計
• XFSミドルウェアの標的化：Extensions for Financial Services（XFS）APIと直接通信
• 遠隔起動：SMSまたはキーボードコマンドでトリガー可能
• マルチベンダー互換：多様なATMハードウェアを攻撃可能
• 難読化：解析を妨げるため、.NET Reactorのような商用難読化ツールで保護

作戦の全国的規模

この計画は米国全土の金融機関に影響を与え、以下の地域で発生が確認されている：

• ネブラスカ州（複数地点）
• テキサス州
• 太平洋岸北西部の各州
• 南東部地域
• そのほか全米の複数州

連邦検事局が公開した視覚資料は、攻撃の地理的広がりと関連損失を示しており、この犯罪事業が真に全国規模であったことを裏付けている。

テロとの関係：Tren de Aragua

本件は、サイバー犯罪とテロ資金供与が交差する重大な事例である。Tren de Araguaは2000年代半ばにベネズエラのトコロン刑務所で刑務所ギャングとして発祥したが、その後、西半球全域に拠点を持つ国境を越えた犯罪組織へと進化した。

TdAの犯罪ポートフォリオ

同組織は以下に関与している：

• 麻薬取引
• 銃器取引
• 商業的性的人身取引
• 誘拐および恐喝
• 殺人および暴力的暴行
• 米国の機関を標的とする金融犯罪
• 資金洗浄（マネーロンダリング）

正式なテロ組織指定

2025年2月20日、米国務省はTren de Araguaを外国テロ組織（FTO）および特別指定国際テロリスト（SDGT）に正式指定した。この指定により：

• 米国の管轄下にあるすべての財産および財産上の利益が凍結される
• 米国人が同組織と取引することが禁止される
• 法執行機関の連携強化が可能となる
• 物的支援に対して重大な法的帰結が伴う

2025年1月20日以降、司法省はTdAメンバー260人超を連邦レベルで起訴している。2025年だけでも、ネブラスカ州地区は、テロへの物的支援から未成年者の性的人身取引に至るまでの犯罪で、TdAのメンバーおよび指導者67人を起訴した。

法執行機関の対応

刑事局のマシュー・R・ガレオッティ代理次官補は次のように述べた。「これらの被告は、体系的な監視と侵入窃盗の手口を用いてATM機にマルウェアをインストールし、その後、機器から金を盗み洗浄した。その一部は、テロ資金供与およびTDAの広範な犯罪活動の資金に充てられた。」

連邦検事レスリー・ウッズは捜査の協働性を強調した。「ネブラスカの法執行機関の捜査官と警察官からなる、たゆまぬ献身のチームが結束し、この巨大な国際犯罪ネットワークを特定し、この壊滅的な金融犯罪の資金の流れを追って、ベネズエラにあるそのテロ的な根源へとたどり着いた。」

前例のない省庁間連携

捜査には、連邦・州・地方の機関からなる異例の連合が参加した：

連邦機関：

• FBIオマハ支局および全米の複数支局
• 国土安全保障捜査局（HSI）
• 米国シークレットサービス
• 米国保安官局（U.S. Marshals Service）
• 税関・国境警備局
• 移民・関税執行局
• 複数の連邦検事局

州・地方の協力機関：15州以上にわたる50超の警察署および保安官事務所が捜査に参加し、前例のない法執行協力を示した。

国土安全保障タスクフォースの取り組み

本作戦は、大統領令14159「侵入から米国民を守る」の下で設立された国土安全保障タスクフォース（HSTF）の一環である。HSTFは、政府一体のパートナーシップとして、以下の排除に専念している：

• 犯罪カルテル
• 外国ギャング
• 国境を越える犯罪組織
• 人身密輸および人身取引ネットワーク

同タスクフォースは子どもに関わる犯罪を特に重視し、利用可能なあらゆる手段を用いて、暴力的な犯罪外国人を起訴し、米国から排除する。

統合タスクフォース・ヴァルカン

統合タスクフォース・ヴァルカンは、当初2019年にMS-13の根絶を目的として創設されたが、Tren de Araguaを標的とするよう拡大した。同タスクフォースは以下で構成される：

• 全米の複数の連邦検事局
• 司法省 国家安全保障局
• 司法省 刑事局
• FBI、DEA、HSI、ATF、USMS、および連邦刑務所局
• 司法省 国際局（Office of International Affairs）を通じた国際連携

金融機関への示唆

本件は、ATMセキュリティにおけるいくつかの重大な脆弱性を浮き彫りにしている：

物理セキュリティの欠落

• 小売店舗に設置された独立型ATMはリスクが高い
• 物理的アクセス制御は依然として第一の防御線である
• 改ざん検知システムは継続的な監視が必要
• 定期的な物理点検が不可欠

技術的脆弱性

• WindowsベースのATM OSは攻撃面を生む
• XFSミドルウェアは高度なマルウェアに悪用され得る
• アンチウイルスはATM環境向けに特別な設定が必要
• ハードドライブのセキュリティとアクセス制御が重要

推奨される対策

金融機関は以下を実装すべきである：

1. 物理セキュリティの強化
   • 改ざん痕跡が分かる封印とロック
   • AIによる異常検知を備えた監視カメラ
   • 改ざんの兆候を確認する定期的な物理点検
   • アクセス制御を強化した安全な筐体
2. 技術的防御
   • 不正なコード実行を防ぐアプリケーション・ホワイトリスティング
   • 不正なUSBデバイスを遮断するデバイス制御ポリシー
   • ネットワークのセグメンテーションと監視
   • 定期的なセキュリティパッチ適用と更新
   • セキュアブート手順を備えた暗号化ハードドライブ
3. 運用上の統制
   • ATMネットワークの24時間365日監視
   • 迅速なインシデント対応手順
   • 物理セキュリティの兆候に関する職員教育
   • 法執行機関との連携
4. 検知能力
   • 異常な現金払出パターンを特定する行動分析
   • マルウェア指標のログ分析
   • ATMソフトウェアの定期的な整合性チェック
   • C2（コマンド&コントロール）通信のネットワークトラフィック分析

より広範なテロ資金供与の脅威

本件は憂慮すべき傾向を例示している。すなわち、高度なサイバー作戦がテロ活動の資金源となっているということだ。収益源としてATMジャックポッティングが用いられていることは、次を示している：

• 技術的高度性：外国テロ組織が高度なサイバー能力を開発または獲得している
• 金銭的動機：従来の資金源が金融犯罪によって補完されている
• 国境を越える到達範囲：複数国にまたがり、協調して実行される
• 資金洗浄の統合：盗取資金が複雑なネットワークを通じて体系的に洗浄される

現状と継続中の捜査

被告らは、法定最高刑が懲役20年から335年に及ぶ罪に問われている。しかし、あらゆる刑事事件と同様、被告は合理的疑いを超えて有罪が証明されるまで無罪と推定される。

捜査は継続中であり、法執行当局者は、これはTdAの犯罪事業の一部にすぎないと示唆している。米国務省は、TdA指導者ヘクター・ルステンフォード・ゲレロ・フローレスの逮捕および有罪判決につながる情報に対し、最大500万ドルの報奨金を提示している。

結論

このATMジャックポッティング共謀における54人の起訴は、サイバー犯罪とテロ資金供与の双方との闘いにおける重要な勝利を意味する。しかし同時に、金融機関が直面する脅威環境が進化していることを突きつける厳しい警鐘でもある。

ガレオッティ代理次官補が述べたとおり、「刑事局は、テロリストへの物的支援という邪悪な目的を含め、我々の金融システムの安全を侵害する盗賊ネットワークを容認しない。」

金融機関にとって本件は、物理的脅威とサイバー脅威の双方に対処する多層防御（ディフェンス・イン・デプス）戦略の重要性を改めて示している。組織犯罪、テロ、そして高度なサイバー能力の収束は、より高い警戒と能動的なセキュリティ対策を要求する。

セキュリティ専門家向けの要点

1. 物理セキュリティは依然として基本 – 高度なサイバー作戦であってもATMへの物理的アクセスを必要とする
2. マルウェア検知はATM特化が必要 – 汎用アンチウイルスでは特殊なATMマルウェアを防げない可能性がある
3. 監視が不可欠 – 異常な現金払出パターンは侵害の兆候となり得る
4. 省庁間連携は機能する – 本件は協調した法執行の力を示している
5. テロ資金供与は進化する – 組織は収益源を多様化し、金融サイバー犯罪を取り込んでいる

追加リソース

司法省の完全なプレスリリースおよび視覚資料については、次を参照： https://www.justice.gov/usao-ne/pr/tren-de-aragua-members-and-leaders-indicted-multi-million-dollar-atm-jackpotting-scheme

本分析は、公に入手可能な裁判資料および司法省のプレスリリースに基づく。起訴状に記載された罪状は申し立てであり、すべての被告は、法廷で有罪が証明されるまで、また証明されない限り無罪と推定される。