昨年、盗難犯人は侵害されたATMから2000万ドル以上を盗難しました。使用された技術はマルウェアを支援するもので、FBI によれば米国全体で増加しています。
彼らはATMジャックポッティングを通じてこれを行っています。これはサイバー物理攻撃で、犯罪者がATMの物理的およびソフトウェアの脆弱性を悪用し、銀行の承認なしにオンデマンドで現金を払い出すようマシンに指示するマルウェアを展開するものです。2020年以来報告された1900件のような事件のうち、700件以上が2025年だけで発生したと、木曜日のセキュリティアラート[PDF]に記載されています。
犯罪者は通常、ATMの前面を開けるジェネリックキーを通じて初期アクセスを獲得し、その後マシンにマルウェアを感染させます。ATMのハードドライブを取り外し、マルウェアをコピーしてマシンに戻すか、あるいはATMジャックポッティングコードが事前にロードされたハードドライブで単にハードドライブを交換するかのどちらかです。
これらの攻撃で一般的に使用されるPloutusマルウェアは、Finance向けの拡張機能(XFS)を悪用します。これはATM、POS端末、および銀行アプリケーションを実行する同様のデバイスが使用するオープンスタンダードAPIです。これにより、銀行ソフトウェアは異なるベンダーのハードウェア間で動作し、ATMに何をするかを指示することができます。例えば、このトランザクションを銀行に承認のために送信し、次に顧客に現金を払い出すなどです。
しかし、マルウェアは攻撃者がXFSに独自のコマンドを発行し、銀行の承認をバイパスし、ATMにオンデマンドで現金を払い出すよう指示することを可能にします。
これらの攻撃は銀行顧客に害をもたらしません。カード詐欺(人々のカードデータとPINを盗む)とは異なり、ATMジャックポッティングは金融機関に数千万ドルの損失をもたらします。さらに、これらの事件は現金が引き出された後まで検出することが困難です。
木曜日のアラートでは、FBIはWindows OSを実行するATM上の複数のデジタル侵害指標をリストアップしています。これらを読んでください。これらには複数の実行可能ファイルと関連ファイルおよびスクリプトが含まれています。また、侵害されたATMにUSBストレージデバイスが挿入されたときに表示される可能性があるイベントIDや、現金なしインジケータ、ATMに接続されていない装置、または削除されたハードドライブなど、いくつかの物理指標もあります。
いつものように、疑わしい活動またはATMジャックポッティングの兆候が見られた場合、www.fbi.gov/contact-us/field-officesのローカルFBIフィールドオフィスまたはFBIインターネット犯罪苦情センター(www.ic3.gov)に報告してください。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/19/crims_atm_jackpotting/
