同マルウェアは、現時点で中南米/欧州/アジアの ATM で見つかっているという。Kaspersky はマルウェアのコード名を「Tyupkin」と名付け、同社の製品での検知名を「Backdoor.MSIL.Tyupkin」とした。
VirusTotal による Tyupkin の国別感染数 |
攻撃の仕組みは、まず何らかの方法で ATM にブータブル CD を挿入して Tyupkin をインストールした後、ATM を再起動する。これにより、ATM をコントロールできるようになる。さらに、犯罪組織以外の人物が偶然現金を手にすることを防ぐため、実際に現金を引き出すには特殊に生成したパスワードを ATM のテンキーから入力する。
Tyupkin に感染した ATM の不正引き出し画面 |
同社はリスクを軽減するための対策として、警報器など ATM の物理的なセキュリティの見直しや高性能なセキュリティソリューションへの投資、アンチウイルス製品の最新状態の維持などを提案している。
なお、ATM システムの完全スキャンとバックドアの削除には、無料の Kaspersky Virus Removal Tool が利用できるという。