「攻撃者はHDDを一度取り外して外部のコンピューターでマルウェアを書き込むか、あるいはあらかじめマルウェアを仕込んだ別のドライブや外部デバイスに交換してシステムを再起動させることで、不正なプログラムを実行させます。そのため、攻撃は保守スケジュール外のドア開放アラート、予期しない現金残高の急減、ATMの突然の稼働停止、内部への未承認デバイスの接続などで発覚することが多いそうです。

FBIによると、WindowsベースのATMシステム内からはNewage.exe、Color.exe、Levantaito.exe、NCRApp.exe、sdelete.exe、Promo.exe、WinMonitor.exe、Anydesk1.exeといった予期しない実行ファイルが見つかっているとのこと。また、TeamViewerやAnyDeskといったリモート接続ツールの無断インストールや、不審なIPアドレスからのアクセスログも重要な手がかりとなります。」
https://www.ic3.gov/CSA/2026/260219.pdf