窃盗犯がATMに入れてある現金をすべて盗み出そうとするなら、以前はATMそのものを破壊するしかなかった。しかしいまや、慎重な強盗なら正面パネルに3インチほどの大きさの穴をドリルで開けるだけで、ATMの中身をすべて持ち去ってしまうという。

ロシアのセキュリティー対策企業、カスペルスキーの研究グループは2017年4月3日、ATMの中身を空にする新たな犯罪の手口を公開した。その犯行はデジタル関連の知識と非常に正確に穴を開ける技術を組み合わせたものだ。

カスペルスキーの研究グループの分析によれば、犯行に使われたのはポータブル電動ドリルと、ATMを誤作動させる15ドルの自家製装置だけ。同研究グループはこの犯行を模倣し、実証してみせさえした。

研究グループは被害を受けたATMメーカーや銀行の名前を公表していないが、窃盗犯たちはすでにロシアやヨーロッパ中でドリルを使った犯行に及んでいるという。この手法を使えば、わずか数分で世界中のATMから内部の金庫を取り出せるような状態だ、と同グループは警告している。

「ドリルで開けたひとつの穴と、そこから繋いだケーブルでATMをどの程度までコントロールできるのか。実際に分析した結果、やりたい放題になることが分かりました」と、カスペルスキーの研究者のイゴール・スメンコフは述べている。同氏は自社のアナリスト年次サミットで、この研究成果を発表した。「ATMは電気的な指令に従ってお金を“支払う”ようにできています。この指令は非常に単純なマイクロコンピューターによるものです」

小さな穴から大金を吸い出す方法

カスペルスキーは、ドリル穴が残されたATM犯罪の解明に、昨年の秋から取り組み始めた。その際、顧客である銀行から空っぽのATMを見せられた。唯一残されていた不正加工の証拠は、暗証番号を入力する端末の隣に開けられたゴルフボール大の穴だけだった。“手術痕”を隠すために、窃盗団はドリルの穴をステッカーで覆い隠してさえいた。

最終的に研究グループは、十数件近くの類似したATM犯罪が発生していることを知った。そして警察がこうした事件の容疑者のうちのひとりを逮捕したが、容疑者が持っていたのは入力端末にこっそり差し込んだと思われるケーブルと、ノートPCだけだった。

カスペルスキーの研究グループは、被害にあったATMと同じ機種を自社研究所に所有している。それは1990年代に幅広く使用されていたものだ。同グループはそのフロントパネルを取り外し、窃盗団が開けた穴から侵入できる位置にシリアルポートを見つけた。シリアルポートにつながっているケーブルは、画面の表示と操作に使うコンピューターからATMの内部機構まで、あらゆる電気信号をつかさどっていた。

そこで同グループはオシロスコープとアナライザーを使って5週間かけて、電気信号からATMの内部を操作する仕組みを解読した。ATMに設定された暗号は容易に解読できる単純な信号にすぎず、内部の装置には認証システムすら存在していないことがわかった。結果としてATMは偽の信号を容易に受け入れてしまい、現金が支払われてしまうのである。

この原理を究明した研究グループは、現金を引き出す指示を送れるオリジナルの装置まで開発した。そのコンパクトな装置は、逮捕された容疑者のノートPCの半分よりもはるかに小さく、15ドルもかけずにつくれるものだ。

ハッカーにとってATMはいい「カモ」

カスペルスキーはこの手法による犯行を受けやすいATMメーカーに注意を呼びかけたが、問題を解決する特効薬はないと述べている。つまり、ATM内のソフトウェアは遠隔更新することができないのだ。解決策は内部のハードウェアを交換し、より多くの認証手段を付け加えることしかない。それが難しいなら、ロック機構や監視カメラのような物理的なセキュリティー手段を強化するしかないという。『WIRED』US版はATMの業界団体にコメントを求めたが、回答は得られなかった。

ATMはしばしばハッカーの標的となっている。最近、タイや台湾からロシアにまでに及んだ犯行は、ATMに現金を吐き出させるために使われたマルウェアが、銀行自身のネットワークにも悪影響を与えるというものだ。カスペルスキーの研究グループは研究発表に際し、自分たちが発見した新型のATMマルウェアも公開していた。これはロシアとカザフスタンの銀行に、痕跡を残さない「ファイルレス感染」を通じて仕込まれていた、と同グループは述べている。

カスペルスキーの研究グループは、このドリルによるATMへの不正アクセスが、より簡単で気付かれにくいと指摘している。銀行のネットワークに侵入するのは非常に高度な技術が必要であり、ATMのパネルを開いてマルウェアを埋め込んだりツールを直接繋いだりすれば、防犯警報を鳴らしてしまう。ATMの正面にドリルでぽっかり穴をあけるだけなら、警報が鳴る事態も避けられる。

カスペルスキーが指摘している「安全ではない機器へのアクセス」は、その中核への不正アクセスにもつながる。そして真夜中に暗い通りで無防備なまま現金を貯め込んでいるコンピューターのためにも、デジタルなセキュリティーについてもう少し真剣に考えることは、決して無駄にならないのだ。