FBIは2026年2月19日、米国内におけるATMジャックポッティング攻撃の増加に関するセキュリティアラートを公開した。
ATMジャックポッティングとは、ATMの物理的およびソフトウェア上の脆弱性を悪用し、銀行の認証を経ずに現金を払い出させるマルウェアを展開するサイバーフィジカル攻撃である。2020年以降の報告件数は1,900件にのぼり、うち700件以上が2025年に集中、被害額は2,000万ドルを超えた。
犯罪者は汎用キーでATMの前面パネルを開け、ハードドライブを取り外してマルウェアをコピーするか、マルウェア搭載済みのドライブに交換する。攻撃にはPloutusマルウェアが多く使われ、ATMやPOS端末が利用するオープンスタンダードAPIであるeXtensions for Financial Services(XFS)を悪用し、ATMに直接現金払い出しを指示する。
この攻撃は顧客口座ではなくATM本体を標的とするため、現金引き出し後まで検知が困難である。FBIはWindows OS搭載ATMにおけるデジタルおよび物理的な侵害指標(IoC)を公開している。
From: 
Crims hit a $20M jackpot via malware-stuffed ATMs
【編集部解説】
ATMジャックポッティングは、決して新しい攻撃手法ではありません。その起源は2010年、セキュリティ研究者のバーナビー・ジャックがBlack Hatカンファレンスのステージ上でATMをハッキングし、紙幣を噴出させるデモンストレーションを行った場面にまで遡ります。あの衝撃的なデモから16年、かつて「理論上の脅威」とされていた手法は、組織犯罪の収益源へと変貌しています。
今回のFBIアラートで注目すべきは、この攻撃が個人の犯罪者による散発的な行為ではなく、大規模に組織化されている点です。米国司法省は2025年10月から2026年1月にかけて、ATMジャックポッティングに関連して合計87人を起訴しました。起訴された被告の多くは、ベネズエラの犯罪組織「Tren de Aragua(TdA)」のメンバーとされ、銀行詐欺、銀行侵入、コンピュータ詐欺、マネーロンダリング、さらにはテロ組織への物的支援供与という罪状が含まれています。単なるサイバー犯罪ではなく、国際的なテロ資金調達ネットワークの一端として機能していた可能性が指摘されているのです。
技術的な観点から補足すると、攻撃の中核にあるeXtensions for Financial Services(XFS)は、ATM業界で広く採用されているミドルウェア標準です。XFSはベンダーに依存しない抽象化レイヤーとして設計されており、異なるメーカーのATMでも統一的にハードウェアを制御できるという利点があります。しかし、この「相互運用性」こそが弱点にもなっています。Ploutusマルウェアは、XFSのこの仕組みを悪用することで、コードをほとんど変更せずに複数メーカーのATMに対応できるとFBIは指摘しています。
Ploutusマルウェア自体は2013年にメキシコで最初に検出されて以来、継続的に進化してきました。2013年の初期バージョンはCD-ROMドライブと外部キーボードを用いて操作する仕組みでしたが、2014年に検出された亜種(Ploutus.B)ではATMにUSB接続した携帯電話へSMSを送信するだけで現金を引き出せるよう進化しました。その後、現在ではWindowsのレジストリキーを改変して永続化し、ログを自動削除して痕跡を消す高度な機能を備えています。ニュージャージー州のサイバーセキュリティセンター(NJCCIC)の分析によれば、Ploutus-Dの亜種はわずかな改変で40以上のATMベンダー、80カ国のATMに対応可能とされています。
なぜ2025年に攻撃が急増したのか。その背景には構造的な問題があります。世界中のATMの多くが依然としてWindows 7やそれ以前のOSで稼働しており、セキュリティ更新が提供されていない状態にあると複数の専門家が指摘しています。さらに、ATMの前面パネルを開ける汎用キーがオンラインで容易に入手可能な状況も変わっていません。ATM Industry Association(ATMIA)によれば、2025年にはジャックポッティングがATM攻撃全体の74%を占めるに至り、従来型の物理的犯罪を上回る主要な脅威となりました。
この問題は米国だけにとどまりません。2016年には台湾の第一銀行でマルウェアを用いたATM41台のジャックポッティングにより200万ドル以上が窃取される事件が発生しています。欧州安全取引連合(EAST:European Association for Secure Transactions)も、論理攻撃やブラックボックス攻撃の増加を毎年報告しています。XFSベースのATMは日本を含むアジア各国にも広く展開されており、同一の構造的脆弱性を抱えている点は看過できません。
金融機関にとっての課題は、ATMが「誰かほかの担当領域」として扱われがちなことにもあります。実際のATMは独立系事業者やサードパーティ企業が運用・管理しているケースが多く、セキュリティ更新の責任所在が曖昧になりやすい構造を持っています。FBIが今回のアラートで推奨している対策は、ハードドライブ暗号化、デバイスホワイトリスト、ゴールドイメージによるファイルハッシュの整合性検証、物理的なタンパーセンサーの導入など多層的なものであり、サイバーとフィジカルの両面から防御を再構築する必要性を示しています。
ATMジャックポッティングは、デジタルとフィジカルの境界で起きるセキュリティの盲点を突く攻撃です。顧客口座を直接侵害しないため被害が表面化しにくい一方、金融インフラの信頼性そのものを揺るがす脅威でもあります。キャッシュレス化が進む時代にあっても、世界中で現金インフラは依然として社会の基盤であり続けています。この事案は、レガシーシステムの放置がいかに深刻なリスクを生むかを改めて突きつけるものといえるでしょう。
【用語解説】
Ploutusマルウェア
2013年にメキシコで初めて検出されたATM攻撃用マルウェアファミリーである。XFSを悪用してATMのキャッシュディスペンサーに直接コマンドを発行し、認証を迂回して現金を払い出す。痕跡を自動削除する機能も備える。複数の亜種が存在し、Ploutus-DはWindows 10/8/7/XP上で動作する。
eXtensions for Financial Services(XFS)
ATMやPOS端末のハードウェア(カードリーダー、キャッシュディスペンサー等)を制御するためのオープンスタンダードなミドルウェア仕様である。ベンダーに依存しない抽象化レイヤーとして機能し、異なるメーカーのATMで共通のソフトウェアが動作することを可能にする。
侵害指標(IoC:Indicators of Compromise)
システムがサイバー攻撃によって侵害された可能性を示す技術的な証拠の総称である。不審なファイルのハッシュ値、実行ファイル名、レジストリの変更、イベントログなどが含まれる。
ゴールドイメージ(Gold Image)
ベンダーや機関が承認した正規のソフトウェア構成を含む、暗号学的に検証されたATMのベースラインイメージである。このイメージとの差異を検出することで、マルウェアの混入を判別できる。
サイバーフィジカル攻撃
デジタル(サイバー)領域と物理領域の双方にまたがる攻撃手法の総称である。ATMジャックポッティングの場合、汎用キーによる物理的アクセスとマルウェアによるソフトウェア攻撃を組み合わせて実行される。
ブラックボックス攻撃
ATMのソフトウェアを迂回し、外部デバイスをATMのディスペンサーに直接接続して現金払い出しコマンドを送信する攻撃手法である。マルウェアベースの攻撃とは異なるアプローチだが、しばしば併用される。
Black Hat
世界最大級の情報セキュリティカンファレンスの一つである。2010年、セキュリティ研究者バーナビー・ジャックがステージ上でATMをハッキングし現金を噴出させたデモンストレーションが行われ、「ジャックポッティング」という用語が広く知られるきっかけとなった。
【参考リンク】
FBI Internet Crime Complaint Center(IC3)(外部)
FBIが運営するインターネット犯罪の通報・情報共有プラットフォーム。今回のFLASHアラートもここから公開された。
ATM Industry Association(ATMIA)(外部)
ATM業界の国際団体。セキュリティのベストプラクティス策定や脅威情報共有を行い、業界レポートを発行している。
Diebold Nixdorf(外部)
ATMやPOS端末などセルフサービス取引技術を提供する大手メーカー。Ploutusに関する複数のセキュリティアラートを発出。
NJCCIC – Ploutusマルウェア分析(外部)
ニュージャージー州サイバーセキュリティ機関によるPloutusの技術分析。各バージョンの動作や感染経路を詳述している。
米国司法省プレスリリース – ATMジャックポッティング起訴(外部)
Tren de Aragua関連のATMジャックポッティング事件で合計87人が起訴された経緯と罪状の公式発表。
【参考記事】
Tren de Aragua ATM Jackpotting: Ploutus Malware Exploits Kalignite Platform in $40M US Attack(外部)
Ploutusの技術分析レポート。2021年以降の被害総額4,073万ドル、1,500台超のATM攻撃を詳細に分析。
FBI says ATM ‘jackpotting’ attacks are on the rise, and netting hackers millions in stolen cash(外部)
2010年のバーナビー・ジャックのデモから現在までの経緯を概観し、FBIアラートの内容を解説している。
U.S. DOJ Charges 54 in ATM Jackpotting Scheme Using Ploutus Malware(外部)
2025年12月の54人起訴の詳報。Ploutusの2013年初検出から進化の経緯と1,529件の攻撃件数を掲載。
Mitigate ATM Jackpotting Risk With Layered Security(外部)
1日で10万7,000ドル被害の具体事例を紹介。多層防御とガバナンスの重要性を解説するコンサルティング分析。
Credit Union ATM Security: Prevent Jackpotting Attacks(外部)
ATMIAの統計を引用し、2025年にジャックポッティングがATM攻撃の74%を占めたと報告。信用組合向けの対策を解説。
【編集部後記】
ATMという身近なインフラが、汎用キー1本とUSBメモリで制御を奪われる。この事実に驚かれた方も多いのではないでしょうか。
サイバー攻撃というと画面の向こうの出来事に感じがちですが、今回の事案は物理世界との接点で起きています。普段利用しているATMや決済端末の「中身」に、ふと思いを巡らせてみるきっかけになれば幸いです。皆さんはこのニュースをどのように受け止められましたか。
