米国ネブラスカ州で12月18日2件の起訴状が提出され、ベネズエラの犯罪組織Tren de Aragua(TdA)の構成員とされる54人が、ATMジャックポッティング攻撃に関連して告訴された。この組織は米国全土のATMにPloutusマルウェアの亜種を展開し、ハードドライブの交換や外付けUSBメモリを使用して現金を不正に引き出していたとされる。
Ploutusマルウェアは2013年にメキシコで最初に観測され、ATMの現金払い出しモジュールを標的とする。司法省のデータによると、2020年以降、ATMジャックポッティング攻撃により4000万ドル以上が盗まれている。TdAの首謀者とされるヘクトル・ラステンフォード・ゲレーロ・フローレスはニューヨークで告訴されたが逃亡中で、500万ドルの懸賞金がかけられている。
2月にパメラ・ボンディ司法長官がJoint Task Force Vulcanの権限を拡大し、TdA対策を強化した。
From: 
ATM jackpotting gang accused of unleashing Ploutus malware across US
【編集部解説】
今回のケースが示しているのは、物理的なアクセスとサイバー攻撃を組み合わせた、きわめて組織的な犯罪の実態です。ATMジャックポッティングという手法自体は2013年にメキシコで初めて確認されていますが、10年以上が経過した現在でも、金融機関にとって深刻な脅威であり続けています。
Ploutusマルウェアの技術的な特徴は、ATMの現金払い出しモジュールに直接指令を送ることができる点にあります。このマルウェアは.NETフレームワークで実装され、ATM業界標準のXFS(Extensions for Financial Services)というミドルウェアを介して動作します。特にPloutus-Dと呼ばれる亜種は、KAL社のKaligniteプラットフォームに対応しており、理論上は41社のATMベンダー、80カ国のマシンを標的にできる汎用性を持っています。
注目すべきは、この犯罪が高度な技術力と物理的な大胆さの両方を必要とする点です。犯罪者たちはATM技術者を装い、セキュリティカメラや警報システムの有無を確認した上で、ハードドライブの交換やUSBメモリを使ったマルウェアのインストールを行っていました。司法省の発表によれば、ATMジャックポッティング攻撃による被害総額は2020年以降で4000万ドル以上に達しており、2025年8月時点では約4073万ドルとなっています。ただし、このうちTren de Araguaによる被害額の具体的な内訳は公表されていません。
今回の起訴で特に重要なのは、サイバー犯罪とテロ資金供与の結びつきが明確に示された点です。Tren de Araguaは2025年2月20日に米国務省から外国テロ組織(FTO)に指定されており、ATMから盗んだ資金がテロ活動や人身売買、麻薬取引などの資金源になっていたとされています。このことは、金融犯罪が単なる経済的被害に留まらず、より広範な安全保障上の脅威となっていることを示しています。
技術的な防御策としては、ATMの物理的セキュリティの強化が最も重要です。具体的には、筐体の開閉検知センサー、監視カメラの設置、ホワイトリスト方式によるソフトウェア実行制御、USBポートや外部デバイスへのアクセス制限などが挙げられます。しかし、金融機関が独自に対策を講じるだけでは限界があり、業界全体での情報共有と、ベンダーによるセキュリティ設計の根本的な見直しが求められます。
長期的な視点で見れば、このような攻撃は現金を扱うインフラの脆弱性を浮き彫りにしています。キャッシュレス化の進展は、こうした物理的な攻撃のリスクを減らす一つの方向性ですが、同時にデジタル決済システム自体が新たなサイバー攻撃の標的となる可能性も孕んでいます。金融システムのセキュリティは、技術の進化とともに常に新しい課題に直面し続けるのです。
【用語解説】
ATMジャックポッティング(ATM Jackpotting)
ATMに物理的にアクセスしてマルウェアをインストールし、現金払い出しモジュールに不正な指令を送ることで、ATMから大量の現金を強制的に引き出す攻撃手法。銀行口座からの引き出し記録を残さずに現金を盗み出すことができる。スロットマシンのジャックポットのように現金が吐き出される様子から、この名称で呼ばれる。
Ploutusマルウェア
2013年にメキシコで初めて確認されたATM専用のマルウェアファミリー。ギリシャ神話の富の神プルートスにちなんで命名された。.NETフレームワークで実装され、ATMの現金払い出しモジュールを直接制御する機能を持つ。Ploutus-Dなどの亜種が存在し、進化を続けている。
XFS(Extensions for Financial Services)
ATM業界で標準的に使用されるミドルウェアの仕様。Windows OSとATMの各種ハードウェア(現金払い出し装置、カードリーダー、PINパッドなど)を接続するためのAPIセットを提供する。Ploutusマルウェアは、このXFSを悪用してATMを制御する。
Tren de Aragua(TdA)
ベネズエラのトコロン刑務所で2000年代初頭に結成された犯罪組織。当初は刑務所内のギャングだったが、現在は南北アメリカ大陸全域で活動する国際的な犯罪ネットワークに成長した。2025年2月20日に米国務省により外国テロ組織(FTO)および特別指定国際テロリスト(SDGT)に指定された。
RICO違反(Racketeer Influenced and Corrupt Organizations Act)
米国の組織犯罪対策法。組織的犯罪活動に対する厳格な罰則を定めており、犯罪組織のリーダーや構成員を起訴する際に頻繁に適用される。有罪判決を受けた場合、最長20年の懲役刑や資産没収などの厳しい処罰が科される。
Joint Task Force Vulcan
2019年に創設された米国の省庁間タスクフォース。当初はMS-13ギャングの撲滅を目的としていたが、2025年2月にパメラ・ボンディ司法長官によって権限が拡大され、Tren de Araguaの対策も担当するようになった。
【参考リンク】
米国司法省 ネブラスカ地区連邦検事局(外部)
今回の起訴状を発表した連邦検察庁。プレスリリースや起訴状の詳細、視覚資料などを公開している。
FireEye(現Mandiant)(外部)
2017年にPloutus-Dマルウェアの技術分析レポートを発表したサイバーセキュリティ企業。現在はGoogleの傘下。
KAL(Kalignite Platform)(外部)
ATMソフトウェアプラットフォームを提供する企業。Kaligniteは41社のATMベンダー、80カ国で使用されている。
米国国土安全保障省 捜査局(HSI)(外部)
国境を越えた犯罪組織の捜査を担当する連邦捜査機関。今回の摘発作戦において中心的な役割を果たした。
米国財務省 外国資産管理局(OFAC)(外部)
テロ組織や犯罪組織に対する経済制裁を実施する機関。Tren de Araguaの関係者を制裁対象に指定している。
【参考記事】
Federal Grand Jury Indicts 54 in Massive $40.7M ATM Jackpotting Scheme Linked to Venezuelan Terror Group(外部)
2025年8月時点で約4073万ドルの被害総額に達したATMジャックポッティング事案の詳細を包括的に解説。
US Charges 54 in Massive ATM Jackpotting Conspiracy – Infosecurity Magazine(外部)
Ploutusマルウェアの技術的特徴とマルウェアのインストール手法、起訴内容の詳細を報じている。
DOJ charges gang for ATM hacks using Ploutus malware | The Record(外部)
2024年2月から2025年12月にかけて63件のATMジャックポッティングが実行された詳細を報告。
54 Charged in Nationwide ATM Jackpotting Scheme Linked to Venezuelan Terror Group(外部)
12月9日と10月21日に提出された2件の起訴状の詳細。マルウェア開発者Prometheusの存在を報告。
Ploutus ATM malware is back — and badder than ever | ATM Marketplace(外部)
Ploutus-Dの技術的進化を解説。最小限のコード変更で他社製ATMにも適用可能な汎用性を指摘。
【編集部後記】
今回の事案は、サイバー犯罪が単なる技術的な問題ではなく、組織犯罪やテロ資金供与といった現実世界の脅威と深く結びついていることを示しています。私たちが日常的に利用するATMも、実は高度な攻撃の標的となり得るのです。
金融インフラのセキュリティについて、皆さんはどのようにお考えでしょうか。キャッシュレス化が進む一方で、現金を扱うシステムの安全性をどう担保すべきか、また新たなデジタル決済の脆弱性にどう備えるべきか。ぜひご意見をお聞かせください。
