匿名ユーザーがWebサイト経由で報告、ウイルスの詳細解析で判明

セキュリティ企業の英ソフォスは2009年3月17日、ATM（現金自動預け払い機）を狙ったと思われるウイルス（悪質なプログラム）を確認したことを明らかにした。ATMで動作し、キャッシュカード情報や暗証番号を盗むようにプログラムされているという。ウイルスが確認されただけで、感染被害などは報告されていない。

　同社のある研究者は、友人から「ATMにウイルスが感染し、カード情報を盗まれる事件がロシアで起きた」といううわさを聞いたのをきっかけに、そのようなウイルスが実在するかどうかを同社のデータベースで調査した。

　具体的には、ATMの大手メーカーである米ディーボルドの機器（OSはWindows）で使われるプログラム（DLL）を呼び出すような命令を含むウイルスがあるかどうかを調べた。その結果、該当するウイルスが3件見つかったという。

　これらのウイルスは、ウイルスを報告できるWebサイトを経由して、ここ1週間のうちに同社に送られたもの。匿名で報告されたので、作成者などは一切不明。悪用されているかどうかも分からない。

　ウイルスのプログラムを詳細に解析すると、いずれも、ATMで処理されるカード情報や暗証番号を盗むために作成されたことが判明した。ATMの OS上で実行されたウイルスは、別のウイルスを生成。このウイルスは、ATMに挿入されたカード情報や、キー入力された暗証番号などを記録する。

　このATMに、ある細工を施したカードを挿入すると、ウイルスはそれまでに記録したカード情報などを暗号化した上で、そのカードに書き込むという。この情報を悪用すれば、攻撃者はカードを偽造できる。

　ただし実際には、今回のウイルスを悪用することは難しいだろうという。ウイルスを感染させるには、ATMに物理的にアクセスする必要があるからだ。可能性があるとしたら、ATM機器の製造工程での感染ぐらいだろうと、同社の上級技術コンサルタントであるグラハム・クルーリー氏はコメントしている。