FASTCash Linux マルウェア: ATM 詐欺の新たな展開

サイバーセキュリティの専門家は、Linux システムを標的とする FASTCash マルウェアの別の亜種を発見し、ATM ネットワークが高度な攻撃に対して脆弱であるという懸念を提起しました。ATM から現金を不正に引き出すことで知られる FASTCash マルウェアは、北朝鮮のサイバー犯罪グループと関連があるとされています。この発見により、これまで IBM AIX および Windows システムに影響を与えてきたこのマルウェアの範囲が広がりました。Linux が標的となった今、FASTCash マルウェアの影響を理解することはこれまで以上に重要です。

FASTCash Linux マルウェアとは何ですか?

FASTCash は、支払い処理システム、特に ATM 取引を処理するシステムをターゲットに設計された、高度に特殊化されたタイプのマルウェアです。その主な目的は、銀行ネットワーク内の「支払いスイッチ」インフラストラクチャに侵入し、ハッカーが本来は拒否されるべきカード取引を不正に承認できるようにすることです。これにより、ハッカーは金融システムのセキュリティ プロトコルを回避し、ATM から違法に現金を引き出すことができます。

このマルウェアは、拒否された取引メッセージを傍受することで、侵入されたネットワーク内で密かに動作します。その後、不正な引き出しを許可し、ATM を騙して適切な検証なしに現金を引き出します。以前のバージョンは IBM AIX および Windows システムを対象としていましたが、新たに発見された Linux バリアントは攻撃対象領域を拡大しています。特に、Ubuntu Linux 20.04 用にコンパイルされており、制御された仮想環境で開発されたものと思われます。

視野の拡大: AIX と Windows から Linux へ

Linux への移行は、FASTCash の機能の大きな進歩を示しています。以前のバージョンは、多くの大手金融機関で使用されている Unix に似たオペレーティング システムである IBM AIX システムを主にターゲットにしていました。その後、このマルウェアは Windows プラットフォームに感染するように進化し、その適応性をさらに示しました。現在、ターゲット リストに Linux が追加されたことから、FASTCash の背後にいる攻撃者が、銀行ネットワークで使用されている主要なオペレーティング システムをすべて侵害しようと決意していることは明らかです。

Linux 版が注目に値するのは、Windows 版に比べて機能が若干劣っていることです。こうした違いがあるにもかかわらず、トルコ リラなどの特定の通貨での不正取引を承認できる重要な機能は保持されています。これは、攻撃者が特定の地域や金融機関を標的にするなど、特定の目的に合わせてマルウェアをカスタマイズできる能力があることを示しています。

FASTCashマルウェアの目的

FASTCash マルウェアの最終的な目的は金銭の利益を得ることです。支払いスイッチを侵害することで、ハッカーは取引データを操作し、ATM から不正に引き出しを行うことができます。これらの不正な引き出しは、多くの場合、ATM から現金を物理的に引き出すために攻撃者が雇った「マネー ミュール」と呼ばれる個人によって実行されます。これにより、資金の追跡が困難になるだけでなく、操作が高速化され、大量の現金を迅速に吸い上げることができます。

しかし、このマルウェアのより広範な目的は、銀行インフラの弱点を悪用することにあるようです。攻撃者は決済スイッチを標的にすることで、ATM、POS端末、銀行をリンクするシステムの脆弱性を悪用しようとしています。決済スイッチはカード取引の重要な仲介者であり、ATM、銀行、VisaやMastercardなどのカードネットワーク間のメッセージのルーティングを担当しています。FASTCashがこのシステムに侵入すると、取引が承認されるか拒否されるかを決定するメカニズムそのものを制御できるようになります。

FASTCash Linux マルウェアの影響

Linux を標的とする FASTCash の発見は、多様なオペレーティング環境に対する脅威が増大していることを浮き彫りにしています。Linux サーバーは、安定性、拡張性、コスト効率に優れているため、金融機関で広く使用されています。しかし、これらの環境には、Windows ベースのシステムと同じレベルの高度なセキュリティ対策が欠けていることが多く、サイバー犯罪者にとって魅力的なターゲットとなっています。

FASTCash マルウェアの最も懸念される側面の 1 つは、検出を回避する能力です。Linux バリアントは、プロセス インジェクション技術を使用してトランザクション メッセージを傍受し、多くの場合、従来のセキュリティ メカニズムを回避します。異常なシステム コールをフラグ付けするように特別に構成されたエンドポイント検出および応答 (EDR) ソリューションなどの適切な検出ツールがなければ、これらの攻撃は長期間気付かれない可能性があります。

これにより、金融機関は重大なリスクにさらされます。攻撃が成功すれば、多額の金銭的損失が発生し、銀行の評判が損なわれる可能性があります。さらに、これらの攻撃は国際的であり、北朝鮮の国家支援を受けたグループによるものであることが多く、サイバー犯罪が違法行為の資金源として利用されるのではないかという懸念が生じています。

なぜ Linux なのか?

Linux システムを標的とするようになった理由はいくつか考えられます。まず、多くの銀行が Linux をバックエンド処理に使用しています。これは Linux の柔軟性とオープンソース性によるものです。これにより、特に適切なセキュリティ対策が講じられていない場合、サイバー犯罪者が Linux システムを悪用する機会が増えます。さらに、Linux サーバーは攻撃に対して脆弱ではないとみなされることがあり、管理者に誤ったセキュリティ意識を抱かせる可能性があります。

しかし、FASTCash のような脅威が進化するにつれ、この認識は急速に変化しています。Linux で高度なマルウェアが使用されていることは、サイバー攻撃を免れるオペレーティング システムがないことを示しています。これは、継続的な警戒、定期的なセキュリティ監査、および最新の検出機能の必要性をさらに強調しています。

結論: 決済システムの保護

FASTCash Linux マルウェアの出現は、金融機関に対するサイバー攻撃の新たな段階を示唆しています。Linux システムはこれまでより安全であると考えられてきましたが、このマルウェアの亜種は、攻撃者が攻撃範囲を広げ、ATM 取引を促進するあらゆるインフラストラクチャを標的にしていることを示しています。

FASTCash がもたらすリスクを軽減するために、金融機関は堅牢な監視および検出システムを導入する必要があります。異常なシステム動作を検出するように構成された高度な EDR ソリューションは、この種の攻撃を防ぐ上で不可欠です。情報を入手し、強力なセキュリティ対策を維持することで、組織は増大する FASTCash やその他の進化するサイバー脅威からネットワークをより適切に保護できます。