ベネズエラ発犯罪組織のメンバーら、全米各地のATMにマルウェア仕掛け不正に現金引き出した容疑で起訴される

佐々山 Tacos

2025.12.19

ベネズエラ発犯罪組織のメンバーら、全米のATMにマルウェア仕掛け不正に現金引き出した容疑で起訴される

U.S. Attorney’s Office – December 18, 2025

ネブラスカ地区連邦大陪審は、全米のATMにマルウェアを設置し、不正に現金を引き出す「ATMジャックポッティング」と呼ばれる大規模な悪事に関与したとして54人の個人の起訴を発表。これらの被告は、ベネズエラ発の犯罪組織「トレン・デ・アラグア（TdA）」のメンバーたちとされている。

このATMジャックポッティングで使用されたのは、「Ploutus」というマルウェアの亜種だとされている。マルウェア配備役としてリクルートされた者たちとTdAのメンバーらは複数の車を使ってグループで移動。ターゲットとなる銀行や信用組合へ到着すると、まずは周辺の偵察を行なってATMの外部セキュリティ機能を確認する。偵察が終わったらATMのフードまたはドアを開き、その状態で待機してアラームが鳴ったり警察が駆けつけてきたりしないかをチェックしたのちに、マルウェアのインストール工程を開始する。

マルウェアの配備方法は、ハードドライブを取り外して直接Ploutusをインストールするか、ハードドライブを外してあらかじめPloutusをロードしておいた別のハードドライブに取り替えるか、USBドライブなどの外部デバイスを接続してPloutusをデプロイするかのいずれかだという。

Ploutusマルウェアは、ATMの現金引き出し用モジュールに関連する不正なコマンドを発行し、強制的に現金を吐き出させることを第1の目的としている。加えて、マルウェアが存在した痕跡を削除する性能も有するとされる。

米司法省のプレスリリースに添付された画像によれば、当局に報告された被害件数は1,529件で、被害総額は4,073万ドルに上るとされる。Lesley Woods米連邦検事は、このATMジャックポッティングにより「全米各地のATMから数千万ドル規模の資金が引き出され、その資金はトレン・デ・アラグアの指導者らに渡り、彼らのテロ的な活動および目的遂行のための資金として使われたとされている」と述べた。

裁判資料によると、TdAは2000年代半ばにベネズエラ国内の刑務所内ギャングとして生まれ、その後国境を超えて活動するようになった暴力的な犯罪組織。西半球全体に犯罪ネットワークを拡大し、米国にも拠点を確立している。その活動には、麻薬取引、武器取引、商業的な性的人身売買、誘拐、強盗、窃盗、詐欺、恐喝など、さまざまな暴力犯罪および刑事犯罪が含まれ、組織の犯罪活動を強制・拡大するために、構成員が殺人や暴行などの暴力行為を行うこともあるとされる。米国はTdAを「外国テロ組織」に指定している。

有罪判決を受けた場合、被告らは20年から335年までの拘禁刑に処される可能性があるとのこと。

Amazon、求人に応募してきた北朝鮮の偽ワーカー1,800人をブロック

The Register – Thu 18 Dec 2025

Amazonの最高セキュリティ責任者（CSO）によれば、同社は2024年4月以降、同社のリモートIT職に応募してきた者の中から北朝鮮との関連が疑われる「偽求職者」を1,800人以上特定し、採用を阻止してきたという。

北朝鮮は米国やヨーロッパなどの国々の企業を狙い、身元を装った自国の工作員をこうした企業におけるIT系のリモート職種に就かせようとしてきた。「偽ITワーカースキーム」などと呼ばれるこの活動により、Fortune 500に掲載される多くの企業が標的になったとされており、被害総額は数百万ドル以上に上ると考えられている。米国政府は、偽ITワーカーが給与として受け取った金銭は、北朝鮮政権の兵器開発プログラムの資金源として使われるとの見解を示している。

AmazonのCSOを務めるSteve Schmidt氏が12月18日にLinkedInに投稿した内容によると、同社の求人に対する北朝鮮関連の応募の件数は前の四半期と比べて27%増加したという。同社ではAIによるスクリーニングと人手による確認作業を組み合わせて詐欺師であることが疑われる応募者を排除。具体的には、AIモデルにより約200の高リスク機関との関連性、応募情報全体に見られる不審な点、地理情報の不整合などを分析しているほか、身元確認については、バックグラウンドチェック、資格・経歴の検証、構造化された面接を通じて行っているという。

しかし北朝鮮側もAIを駆使したり、新たな身元詐称手法を取り入れたりなど戦術を変化させていることから、偽ITワーカーを特定する難しさはどんどん増しているとされる。加えて、米国内に「ラップトップファーマー」と呼ばれる協力者が存在することもネックの1つ。ラップトップファーマーは米国外に所在する偽ワーカーの代わりに業務用PCを受け取り、まるで当該ワーカーが米国内で作業を行っているように見せかける手伝いをしているという。

それでもSchmidt氏は、「米国の電話番号が『1』ではなく『+1』と書かれている」、「実際にはその専攻を提供していない学校の学位が履歴書に記載されている」などの細かな点をその他の兆候と組み合わせることで強力なヒントが得られる、と助言している。