世界をリードする南米のATMハッキング術

March 23, 2018 08:00
by 『Security Affairs』

南米といえば汚職スキャンダルで知られているが、それは「ATMマルウェアの開発」を代表する地域でもある。世界中に広がりつつあるATMマルウェアを先導しているのはブラジル、コロンビア、そしてメキシコだ。

ATMを攻撃するため犯罪者が力をあわせる

カスペルスキーの研究により、「金融機関に対する攻撃」に一つの結集が起きていることが明らかになった。ATMを標的として攻撃を行うため、従来どおりの犯罪者たちとサイバー犯罪者たちが力を合わせている。

世界中を見渡しても、ラテンアメリカほど犯罪者たちが専門的な知識を積み、高度なプロフェッショナルとなった地域はない。ATMから直接的に現金を奪う犯罪者らが結束を固めた結果、ラテンアメリカの犯罪者たちとサイバー犯罪者たちは、まったく新しいゼロデイの技術とツールを開発してきた。これらは世界中のどこを探しても、他ではみられないものだ。

これらの開発されたツールや技術は、東ヨーロッパに輸入されてカスタマイズされ、さらに他の犯罪者たちへと道を開き、そして世界規模のマルウェアネットワークを構築している。

カスペルスキーの研究は、ATMマルウェア開発の背後にある要因の組み合わせについて指摘している。それは古いOSと、開発プラットフォーム（.NET Frameworkのような）で悪性コードを作成する有用性のようなものだ。

この報告書は、犯罪者にとってモチベーションが重要だと指摘している。しかし我々（筆者）は、ラテンアメリカの社会全体のあらゆるレベルで広がっている「腐敗」も重要な要素だと考えることができる。ラテンアメリカ諸国のいたるところで、著作権侵害のデータや企業データが販売されていれば、犯罪者にモチベーションをもたらす原動力は腐敗の蔓延だと考えられる。また「組織の内部情報提供者たちの」役割について注目することも重要だ。従業員たちは自分の組織の正確な詳細情報を、犯罪者たちに提供している。さらに彼らがセキュリティを回避できるよう、企業のセキュリティ対策の情報も流している。

ATMを爆破

銀行から金を奪うためのテクニックは無数に存在しているが、いまだに犯罪者たちによる「爆発物の利用」は定期的に発生している。それは費用対効果に優れているからだ。監視カメラのようなセキュリティは、わずか数分の犯行の前には無力だ。爆発物の利用によって引き起こされる二次被害はATMだけでなく、近くの広場やショッピングモール、建物にも広がる。

ATMへの攻撃を阻止しようと試みたブラジルの銀行は、ATMが爆破されたときにインクカートリッジを利用して紙幣に色をつけ、その紙幣を利用できないようにする措置をとった。 しかし組織的な犯罪者たちは、そのインクを除去する特別な溶剤を開発した。ラテンアメリカの犯罪者が利用している別の攻撃ベクトルは「パッチを当てていないWindows XPやWindows 2000などの古いソフトウェア」だ。また、ケーブルやネットワークデバイスに物理的なセキュリティ対策を適切に実装していないATMも見つかっている。

ATMを使った情報詐取

ブラジルの犯罪者たちは、これらのようなアプローチのみに留まることなく、銀行のセキュリティ対策を危殆化するために他の方法も開発している。ATMのマシンの前面を覆う形で設置し、カードデータと暗証番号を盗む「本物に似せたレプリカのカバー」も利用されている（訳者補足「ATM本体の前面が偽物のカバーで覆われていること」に気づかないまま、ユーザーがATMを利用することによりカードデータが盗まれる）。多くの場合、これらの偽物は昼間のうちに小売店やスーパーマーケット設置されたATMに取り付けられる。このようなスキミング機器を組み立てるための材料は、闇市場やオンラインストアで簡単に買うことができる

他にも、ブラジルの一般的なATM詐欺として挙げられるタイプに「Chupa Cabra（チュパカブラ）」がある。これはクレジットカードがATMに挿入されると、そのカードから犯罪者がすべてのデータを詐取できるスキマーデバイスをATMに設置する、という手法だ。

バンキングマルウェアの誕生

しかしこれらの詐欺の手法が暴かれ、そして防犯カメラやCCTVデバイスなどで犯罪者が認識されるようになると、彼らは「バンキングシステムを攻撃するマルウェア」も利用するようになった。

報告書によれば、犯罪者がATMから現金を盗む際には4つのステージがある。それらは「マシンへのローカルアクセス、あるいはリモートアクセス」、「悪性コードのATMシステムへのインストール」「標的のデバイスのリブート」そして「現金の引き出し」だ。ATMのセキュリティを巧みにかわすために、ラテンアメリカの犯罪者たちは、金銭を盗むためのさまざまなマルウェアを開発している。それらには、Windowsを利用するキーパッドからデータを盗むタイプ（Chupa Cabraマルウェア）と、リモートアクセスで盗むタイプの両方がある。マルウェアを利用する犯罪者たちは、「特定的なPINパッドのキーの組み合わせ」をプログラムするか、「特別なカード」を挿入するか、あるいは「銀行のネットワーク上の感染したマシン」にリモートコマンドを送るという方法で、金を引き出すことができる。

その報告書は、東欧と中南米の犯罪者たちによる連携を明らかにしている。2017年には警察による協働の捜査作戦が実行され、キューバ、エクアドル、ベネズエラ、ルーマニア、ブルガリア、メキシコの計31人の犯罪者が、クレジットカードの複製で逮捕された。この大掛かりな捜査は、世界規模で連携して活動している犯罪者のネットワークを浮き彫りにするものだ。彼らの団結のはじまりは2008年、「ロシアとウクライナを狙って開発されたATMに感染する初めての悪意あるプログラム（Backdoor.Win32.Skimer）」に遡る。2014年には、複数の東欧の金融機関でATMマシンに影響を与えるマルウェア「Tyupkin」が発見された。

ZeuS、SpyEye、その他の「東欧で生まれたバンキングマルウェア」を開発する活動にはラテンアメリカの犯罪者たちが関与しており、犯罪者たちが協働していることについては充分な証拠が集められている。犯罪者たちの協働は、ラテンアメリカにおけるマルウェアのコーディングの質と洗練度を高め、さらにデプロイのためのインフラの共有を実現した。またラテンアメリカの犯罪者たちは、サンプルを探したり、新たなマルウェアを購入したり、さらにはATM/POSマルウェアに関するデータ交換を行ったりするような目的で、ロシアの地下フォーラムへ定常的にアクセスしていることも判明した。この犯罪者同士の交流は2008年に始まったと考えられている。

マルウェア「Ploutus」

ラテンアメリカのATMマルウェアの発展についてより深く知るため、メキシコ、コロンビア、ブラジルにおける「特定の例」に焦点を当てよう。メキシコでは2013年10月に、マルウェア「Ploutus」が発見された。ギリシャ神話の「Ploutus（プルートス）」は富と収穫の神だ。当初、そのマルウェアは識別することが難しく、シマンテックは「Backdoor.Ploutus」として検出し、またカスペルスキーは「Trojan-Banker」として検出していた。このマルウェアによる被害額は、メキシコだけで6400万ドルを超えており、それは7万3258台のATMを危殆化した。メキシコ全土におけるマルウェアを利用した窃盗の爆発的な増加に関していえば、2014年から2015年にかけて、メキシコの4大銀行の450台のATMを襲う犯罪のネットワークが発見された。

それらのマシンは、監視設備のない場所に設置されているか、あるいは物理的なセキュリティが充分ではなかった。利用されたマルウェアは、CD-ROMドライブとUSBポートのどちらを使ってもATMに感染さえることができる。この攻撃は、「ATMのマシン内に現金を満たしてから数時間後のうちに、あまりにも多くの金が引き出されている」という電話やアラートを輸送業者が受け取ったことにより、銀行のセキュリティ関係者の注意を引く結果となった。また別の攻撃は、「メキシコの顧客の需要を満たすために、ATMへ大量の現金が補填されるタイミング（ブラックフライデーやバレンタインデーど）」に合わせて行われた。このシナリオの場合、サイバー犯罪者たちは、任意の数のATMから現金を引き出せるライセンスを1日分だけ取得していた。報告によれば、1台のATMを完全に空っぽにするには2時間半から3時間かかる。それらのサイバー犯罪の強盗団は少なくとも3人で構成されているが、その活動には最大300人が関与した可能性もある。それぞれのグループは、選ばれたATMを危殆化した。データを取得し、さらにアクティベーションコードをリクエストし、そのATMサービスへのフルアクセスを得ていた。

研究者たちが解明したように、少なくとも4つの異なるバージョンのマルウェアが存在している。最新のもの（2017年）ではバグの修正とコードの改善が行われているが、そのマルウェアの最初のバージョンには、ATMに対する活動、およびC＆Cサーバーに関する報告はなかった。また、攻撃するマシンの一意的な識別子を取得するためのSMSモジュールも発見されている。それを利用する犯罪者は、離れた場所からマシンに悪性コードをアクティベートさせ、現金を吐き出させることができるようになった。それを行う手順は5段階になっている。物理的なアクセスでATMを侵害する。「Microsoft Windows Serviceとして」マルウェアをインストールする。ATMのIDを取得する。遠隔操作で、あるいは物理的にマルウェアをアクティベートし、そのマルウェアが活動している24時間以内に金を引き出す。

そのマルウェアの複数の最新バーション（研究者たちから「Backdoor.MSIL.Ploutus」「Trojan-Spy.Win32.Plotus」「EUR: Trojan.Win32.Generic」と名付けられたもの）には、感染したATMのフルリモート管理の機能と、診断ツールの機能がある。サイバー犯罪者たちは犯行の手段を変更している。また彼らはリスクを軽減するため、物理的なキーボードを利用するのではなく、現在では管理モジュール「TeamViewer Remote」の改造版とWi-Fiアクセスを利用している。

コロンビアにおけるATMを狙った犯罪

ラテンアメリカのATMマルウェアの分析を進めるにあたって、我々は「コロンビアにおける汚職（腐敗）」と「インサイダー（組織の内部者）による脅威」、および「正当なソフトウェア（銀行がATMの管理に利用している本物のソフトウェア）」に関する要素を認識していなければならない。報告によると、2014年10月にはコロンビアの様々な都市で14台のATMが盗難の被害に遭い、追跡できる取引が一つもないまま100万ペソの損失が生じた。ある銀行の従業員は、辞職の前に自身の特権的な情報を利用し、遠隔操作でATMにマルウェアをインストールした疑いで逮捕された。この容疑者は電子工学技師として、また警察の調査者として8年間コロンビアの警察で働いたことのある人物だった。その当時の彼は大規模な捜査を担当していた。

しかし彼は10月25日、コロンビアの銀行に対する数百万件の詐欺計画に携わったとして逮捕された。彼はコロンビア全土の1159台のATMへのリモートアクセス権、および改造バージョンの「まっとうな（銀行が利用している正規の）ソフトウェア」を所有しており、それらは犯罪組織に所属する他のメンバーたちが48時間以内に6つの異なる都市で詐欺を行うための道を作った。攻撃を開始する際、その元警察官は、メーカーや技術スタッフが配布しているATM管理ソフトの改造版を利用した。彼はそのソフトウェア（インストール後にXFS標準でやりとりし、命令をATMに送信する）にアクセスするために自身のクリアランスを利用した。この事例で標的となったATMマシンはDiebold社のものだった。その攻撃が行われた後には、Ploutusを含めたあらゆるATMマルウェアのインストールを許可するための特別なアクセスが与えられることになった。研究者たちが記したマルウェアの名前はTrojan.MSIL.AgentとBackdoor.MSIL.Ploutusだ。

ブラジルのオリジナルマルウェア「Prilex」

そして最後は汚職スキャンダルが全国的に広がっている国、つまりブラジルについて考える必要がある。ブラジルは「ATMを狙ったマルウェア」と「POSサービスを狙ったマルウェア」の両方を地元で構築し、普及させる国として知られている。研究者たちは2017年、ブラジルの犯罪者が一から開発した、他のマルウェアファミリーとの類似点がない「Prilex」という名の新しいマルウェアが拡散しているのを発見した。このブラジルのマルウェアが他と異なっているのは、ATMソケットとやり取りをする際にXFSライブラリを利用するのではなく、ベンダーの特定のライブラリを利用するという点だ。それは「犯罪者と情報を共有するインサイダー」による脅威なのではないかという疑いがある。なぜならサイバー犯罪者たちが、ネットワークのダイアグラムや、その銀行に利用されているATMの内部構造を深く理解しているからだ。また一人の銀行員の特定のユーザーアカウントが発見されたことにより、情報漏えいを目的とした標的型攻撃が行われたという疑いも持たれている。

このマルウェアは、研究者たちによって「Trojan.Win32.Prilex」と名付けられた。それが実行されると、特定のキーの組み合わせでアクティベートされる特別なウィンドウを利用し、金を吐き出させることができる。さらに、マルウェアに感染したATMでユーザーが利用するカードの磁気ストライプからデータを読み取り、それを収集するコンポーネントも含まれている。クレジットカード詐欺を減らすために、複数の対策が国際的な規模で行われた。しかし研究者たちは、ブラジルの犯罪者らが「カードのデータを盗み、チップとピンカードを複製する」という別の開発も行っていることを発見した。

研究者たちによって発見された、追加機能を備えた修正バージョンのマルウェアは、カードデータを収集するためにPOSターミナルを狙って感染するものだった。この新たな変種は、銀行に送信されたデータを第三者が取得できるようにするため、POSソフトウェアに変更を加えることができる。このPrilexを利用するグループは、さらにカードを複製する新しい手口と、セキュリティメカニズムを迂回する新しい手口も開発した。カードはEMVと呼ばれる規格に基づいて動作する。クレジットカードに搭載されているチップは、アプリケーションを実行できるマイクロコンピューターで、それはPOS端末に挿入されると4段階のシーケンスを開始する。

最初のステップは「initialization（初期化、初期設定）」と呼ばれているもので、このときPOS端末はカードの所有者名、有効期限、インストールされたアプリケーションなどの基本的な情報を受け取る。2番目のステップは、端末が暗号アルゴリズムを使用し、そのカードが本物かどうかをチェックする「データ認証」だ。3番目のステップは、「カード所有者照会」と呼ばれるもので、それは利用者がカードの正当な所有者であることを証明するためにPINコードの入力を求める。そして4番目のステップとして取引が発生する。研究者たちが指摘しているように、これらの中で義務づけられているのは「最初のステップ」と「4番目のステップ」だけだ。そのためブラジルの犯罪者たちは、認証と照会のステップを容易に回避することができる。

取引に必要なステップの数と複雑さは、「そのカード上で使うことができるアプリケーション」によって異なる。それはPOSターミナルが最初のハンドシェイクのとき、カードに尋ねるものだ。研究者たちが認識しているように、犯罪者たちはカード上で実行するための、2つの機能を持ったJavaアプリケーションを作り出した。最初のひとつはPOSターミナルに「データ認証を行う必要はない」と伝えることで、暗号による認証を回避する。2番目の機能は、入力されたPINがカードに搭載されているアプリケーションのデータと違いがないかどうか照会するEMV規格に関するものだ。このサイバー犯罪者たちのアプリケーションは、どのようなPINが入力されても、それを正しいものとして受け付けることができる。たとえそれがランダムな数字でも「有効な入力」となる。

銀行の損失と顧客の損失

研究者は、Prilexが動作する複合なインフラを明らかにした。そこではJavaアプレットの他にも「Daphne」と呼ばれるクライアントアプリケーションが用いられており、それはスマートカードに関する情報、およびカード番号やその他のデータを含むデータベースを書き込む際に用いられている。このアプリケーションDaphneは、カードで引き出せる金額をチェックし、またクレジットカードとデビットカードの両方を複製するために使われる。サイバー犯罪者たちは、このアプリケーションを「カード複製のためのパッケージ」としてブラジル国内の他の犯罪者に販売している。

その報告書は「勧告」の中で、2つのシナリオをリスト化している。ひとつは銀行の損失、もうひとつは顧客の損失だ。攻撃者たちはユーザー認証のメカニズムか、ATMのセキュリティを避けなければならない。犯罪者たちは物理的な攻撃から「より長い間、犯行に気づかれないまま活動できるロジカルな攻撃」へと手法を変化させつつある。メーカーとベンダーはセキュリティ対策を改善し、またロジカルな攻撃への対処を改善させられるよう、アンチマルウェアの企業と協働するべきだ、と研究者たちは提案している。さらに彼らは、新たに開発されるマルウェアファミリーの情報をさらに収集できるよう、脅威インテリジェンスを利用することも提唱している。

カードのクローニング問題への取り組みとしては、疑わしい活動が認められたときに、カードの取引履歴と銀行との通信を常に検証するよう、その研究者たちは推奨している。ともあれ、ユーザーはカードのデータが暴かれることを防ぐために、またインターネットでの支払いとカードを切り離すために、AndroidPayかApplepayのみを利用して支払うことを、研究者たちは勧めている。そして最後に、「カード取引の上限額を高くしないこと」がユーザーに推奨されている。
　
参考URL
https://securelist.com/atm-malware-from-latin-america-to-the-world/83836/
https://securelist.com/the-chupa-cabra-malware-attacks-on-payment-devices-27/32248/
https://krebsonsecurity.com/2013/12/the-biggest-skimmers-of-all-fake-atms/
https://www.association-secure-transactions.eu/atm-explosive-attacks-surge-in-europe/
http://cyberparse.co.uk/2018/02/14/bingo-amigo-jackpotting-atm-malware-from-latin-america-to-the-world/
https://www.exploitthis.com/2018/02/14/bingo-amigo-jackpotting-atm-malware-from-latin-america-to-the-world/
https://www.kaspersky.com/blog/chip-n-pin-cloning/21502/
http://www.cs.ru.nl/~erikpoll/papers/EMVtechreport.pdf
　
筆者について
Luis Nakamoto はコンピューターサイエンスの暗号学の学生で、倫理的ハッキング、フォレンジック、リバースエンジニアリングに関する新しい技術の研究者として、Comissão
Especial de Direito Digital e Compliance (OAB/SP) やCCBS (Consciência
Cibernética Brasil) などのグループに参加し、情報セキュリティに没頭している
　
翻訳：編集部
原文：The South America connection and the leadership on ATM Malware development
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。