主なポイント

✓ FBIは、ATMジャックポット事件が2020年以降に1900件発生し、2025年には2000万ドル以上の損失があったと報告しています。
✓ 攻撃者は、ATMの脆弱性を利用してマルウェアをインストールし、現金を不正に引き出す手法を用いています。

社会的影響

! ATMジャックポット攻撃は、金融機関や顧客に対する信頼を損なう可能性があります。
! このような犯罪が増加することで、ATMの利用者が不安を感じることが懸念されます。

編集長の意見

ATMジャックポット攻撃は、近年急増しているサイバー犯罪の一形態であり、特に金融機関にとって深刻な脅威となっています。FBIの報告によれば、攻撃者はATMの物理的およびソフトウェアの脆弱性を巧妙に利用し、マルウェアを用いて現金を不正に引き出しています。Ploutusマルウェアは、ATMのハードウェアと直接やり取りすることで、セキュリティ制御を回避する能力を持っています。このような攻撃は、ATMの製造元や金融機関にとって大きな課題であり、迅速な対策が求められます。今後、ATMのセキュリティを強化するためには、物理的なセキュリティ対策の強化や、マルウェアの検出能力を向上させるための技術的な対策が必要です。また、金融機関は、ATMの監視体制を強化し、異常な動作を早期に検知するためのシステムを導入することが重要です。さらに、顧客に対してもATMの利用時の注意喚起を行い、セキュリティ意識を高めることが求められます。これらの対策を講じることで、ATMジャックポット攻撃のリスクを低減し、金融機関と顧客の信頼を回復することができるでしょう。

解説

FBIが警鐘—2020年以降1,900件のATMジャックポット、2025年の被害は2,000万ドル超。物理×マルウェアの複合脅威に金融機関はどう立ち向かうか

今日の深掘りポイント

ATMジャックポットは「物理侵入」と「マルウェア運用」が一体化した犯行様式。現場運用とサイバー対策の両輪が問われるフェーズに入っています。
2025年に米国内で報告700件、被害2,000万ドル超。事案密度の上昇は「犯行の習熟」と「対策の遅延」の両方を示唆します。
攻撃者はディスペンサー制御経路（XFSコマンド等）と現金在庫の運用ギャップを突きます。ソフト更新、セーフティタイマー、在庫最適化、遠隔監視の同時強化が肝です。
SOC可視化の肝は「取引と払出の乖離」「時間外の筐体イベント」「USB/サービス登録の異常」。EDR単体では捕捉しきれないため、ATM特有のテレメトリ統合が必須です。
越境型の組織犯罪がテンプレ化した手口を持ち込み、地域横断で同時多発化しやすい局面。サプライヤ・CIT・法執行との即応連携が実効性を左右します。

はじめに

FBIが2020年以降の米国内ATMジャックポット事案が1,900件に達し、2025年単年の被害額は2,000万ドル超、2021年以降の総損失は4,073万ドルに及ぶと警告しています。昨年（2025年）は700件が報告され、物理的・ソフトウェア上の脆弱性を突いたマルウェア主導の不正払出が中心とのことです。FBIは具体的対策も提示しており、短期のオペレーション改善と中期の設計是正を同時に進める好機でもあります。

本件は、金銭被害だけでなくブランド毀損を伴う領域です。とくにATMは生活インフラであるがゆえ、可用性を落とさずに堅牢化する設計・運用の妙が問われます。現場の運用データをSOCの可観測性に統合し、犯行の「兆し」を前倒しで拾いに行く姿勢が鍵になります。

参考: FBI警告を報じる記事（The Hacker News, 2026-02-20）に基づいています。

深掘り詳細

いま起きている事実

事案・被害規模
- 2020年以降のATMジャックポット報告は1,900件。
- 2025年は700件・被害2,000万ドル超。2021年以降の累計損失は4,073万ドル。
犯行の型
- ATM筐体への物理アクセスを足掛かりに、OSやATMミドルウェアの制御面にマルウェア／外付け機器（いわゆるブラックボックス）を介入させ、正当取引なしでディスペンサーを駆動。
- 典型は、HDD交換・USB経由の起動、サービス登録、XFSコマンドの不正実行、アンチマルウェア無効化、保守モード悪用など。
当局推奨の対策の方向性
- 物理的強化（アクセス制御、封印、監視カメラ・センサー連携）、ソフト更新・署名検証、異常検知の強化などが挙げられています。

出典: The Hacker News

編集部のインサイト

700件/年という密度は「作業手順が標準化され、犯行一件あたりの実行コストが下がっている」サインです。道具立て（マルウェア、外付け制御機）のコモディティ化と「現場の型（開錠、配線、再起動、払出）」の熟練が並走しているはずです。
ATMは可用性・安全性・現金ハンドリングという異なるKPIを同時達成するがゆえ、パッチ適用やポート閉塞が遅れやすい構造的欠点を抱えます。犯行はこの「保守の惰性」と「現金在庫の習慣性」を突きます。
攻撃者は必ずしも高難度のゼロデイを要しません。小さな設定の綻び（デフォルトサービス、署名不検証、保守モードの過権限、USBブート許容）と、時間外・人通りの少ない設置環境が犯行の成功確率を押し上げます。
現場で効く検知メトリクスは、サイバー寄りのログだけではありません。「払出コマンドの頻度と正当取引の比率」「時間外の筐体イベント（DoorOpen、PresenterJam、CassetteRemove）」「USB挿抜・新規サービス作成」「保守メニューの起動・ログイン失敗」「突然の現金在庫減衰カーブの変化」など、運用・ハード寄りのテレメトリをSOCに流し、相関検知することが実効的です。
指標から読み取れるのは、緊急性・現実性が高く、対策の即応性も比較的高い局面ということです。すなわち、今期のCAPEXを大幅に動かさずとも、現金在庫運用・タイマー設定・ポート封止・署名検証の徹底など、OPEX寄りの改善で有意差を出せます。逆に「設計の負債」を次期更改まで温存すると、犯行のテンプレ化速度に追い抜かれます。

脅威シナリオと影響

以下はMITRE ATT&CKのテクニックに沿った仮説シナリオです。個別事案と完全一致を前提とするものではありませんが、検知・統制設計の出発点として有効です。

シナリオA（現地ブラックボックス型）
- 概要（仮説）: 犯行グループが筐体の上部空間にアクセスし、ディスペンサーとPCの間に外付けデバイスを介在。XFS/ベンダ独自コマンドを直打ちして払出。
- 代表TTP
  - Initial Access: Hardware Additions（T1200）
  - Defense Evasion: Impair Defenses（T1562）
  - Execution: Native API（T1106）/ Command and Scripting Interpreter（T1059）
  - Impact: 取引外の現金払出（ATT&CKのImpactに完全一致はないが、業務プロセスの逸脱として扱う）
- 影響: 単台あたりの即時被害が大きく、監視カメラ死角・時間外に集中。痕跡は物理側に偏在。
シナリオB（USB/HDD交換＋常駐マルウェア型）
- 概要（仮説）: ドライブ交換やUSBブートでATM OSにマルウェアを常駐させ、保守モードやサービスとして起動。XFS経由でディスペンサーを制御。
- 代表TTP
  - Initial Access: Valid Accounts（T1078, 保守認証の悪用）/ Physical Access派生
  - Persistence: Boot or Logon Autostart Execution（T1547）
  - Privilege Escalation: Exploitation for Privilege Escalation（T1068）
  - Defense Evasion: Modify Registry（T1112）, Impair Defenses（T1562）
  - Command and Control/Execution: Ingress Tool Transfer（T1105）, Native API（T1106）
- 影響: 再起動後も存続し、複数回の払出に利用される。正常取引ログとの紐づけが薄く、SOCでの相関が難しい。
シナリオC（遠隔配布・同時多発型）
- 概要（仮説）: リモート管理経路やサプライヤの配布チャネルを侵害し、複数ATMにマルウェアを一斉展開。合図に合わせて現地受け子が回収。
- 代表TTP
  - Initial Access: Phishing（T1566）, Exploit Public-Facing Application（T1190）, Supply Chain Compromise（T1195）
  - Lateral Movement: Remote Services（T1021）
  - Persistence: Scheduled Task/Job（T1053）
  - Defense Evasion: Signed Binary Proxy Execution（T1218）
- 影響: 金融機関単位での広域被害。BPF（Branch/ATM）全体で同時対応を迫られ、可用性とインシデント対応の両立が難しくなる。

組織への波及影響（共通）

金銭被害＋機会損失（稼働停止）
ブランド毀損（利用者不安、プレス対応コスト）
サプライヤ管理の再設計（SLA/SLI見直し、署名検証・SBOM・更新チェーンの監査）
法執行連携・証拠保全手順の再訓練

セキュリティ担当者のアクション

即効性のある運用改善と、中期の設計是正を並走させます。下記は優先度順の実務ガイドです。

0〜7日（緊急措置）
- セーフティタイマー・時間帯制御を全ATMで点検・是正（時間外の保守・払出無効、開扉後の一定時間は払出ロック）。
- ATMの現金在庫ポリシーを再設定（閑散時間帯・週末・祝日の在庫下限を引き下げ、同時多発時の損失上限を抑制）。
- 監視強化：筐体イベント（DoorOpen/Close、CassetteRemove、PresenterJam、Supervisor Mode起動）、USB挿抜、新規サービス作成、再起動イベントをSIEMに集約し相関ルールを即時配備。
- 物理アクセスの抑止：保守鍵・金庫鍵の配布棚卸と二人承認、サービスパネルの封印（タンパーエビデンス）、USB/シリアルポートの物理ブロッカー装着。
- フィールド対応：リスクの高いロケーション（屋外・人通り少・夜間無人）を優先して巡回し、カメラ死角・照度・周辺滞留を是正。
2〜4週間（短期の構成是正）
- ソフト更新の是正：OS・ATMアプリ・XFS/デバイスドライバのパッチをベンダ承認済みLTSに統一。アップデートは署名検証を必須化し、オフライン媒体経由の更新を禁止。
- 実行制御：WDAC/AppLocker等で許可リスト運用へ移行、XFSコマンドの実行主体（プロセス署名・パス）を厳格に制限。
- 権限最小化：ローカル管理者の撤廃、保守アカウントのワンタイム化、RMM/遠隔保守は端末証明書＋条件付きアクセスで限定。
- セグメンテーション：ATM管理ネットワークをゼロトラスト前提で分離。支店LAN・本部LANと論理的に独立させ、East/WestのL7可視化を確保。
- 異常検知ルールの精緻化：取引ログとXFSログの乖離（WFSExecute: DISPENSEと正当取引の不一致）や、DoorOpen直後の払出試行を高優先度アラート化。
1〜3ヶ月（中期の設計見直し）
- ハード刷新計画：旧OS（延長サポート外）と旧ディスペンサ制御基板の更改計画をロードマップ化。筐体のタンパースイッチを「Fail-Secure」（検知で払出不可）へ。
- 起動整合性：Secure Boot/Measured Boot（TPM）でブートチェーン改竄を検知し、逸脱時は保守モード以外を拒否。ドライブ暗号化でHDD差替え耐性を強化。
- 監査と演習：CIT・保守ベンダ同席のジャックポット対応テーブルトップ演習を四半期開催。証拠保全（映像・ログ・物理封印）と法執行連絡のSOPを更新。
- サプライヤ管理：更新チェーン監査（署名鍵管理、SBOM、配布サーバのゼロトラスト化）、脆弱性通報SLAとエスカレーション経路の明文化。
継続KPI（モニタリングの物差し）
- Dispense-to-Transaction Ratio（払出コマンド/正当取引数）の平常値と逸脱幅
- 時間外の筐体イベント発生率（週次トレンド）
- 新規サービス作成・ドライバ更新の承認率とブロック率
- 現金在庫の時間帯別プロファイル変動（異常下振れの早期検知）

最後に一言。ジャックポットは「技術の穴」だけでなく「運用の習慣」を食い物にします。だからこそ、現場の手触りとSOCの視座をつなげることで、被害の裾野を狭められます。今日できる小さな是正が、明日の「一斉多発」を未然に止める最短路です。

参考情報

FBIの警告を報じる記事（The Hacker News）: https://thehackernews.com/2026/02/fbi-reports-1900-atm-jackpotting.html

背景情報

i ATMジャックポット攻撃は、攻撃者がATMの物理的なアクセスを得て、マルウェアをインストールすることで現金を引き出す手法です。特にPloutusというマルウェアが広く使用されており、ATMのハードウェアと直接やり取りすることで、セキュリティ制御を回避します。
i この攻撃手法は、ATMのハードドライブを取り外してマルウェアをインストールするか、既存のハードドライブを置き換えることで実行されます。これにより、攻撃者はATMを完全に制御し、正当な取引なしに現金を引き出すことが可能になります。

メトリクス