ランサムウェア「Mamba」、サンフランシスコ市営鉄道を乗り放題に

2016年12月9日

11月26日と27日、サンフランシスコ市営鉄道(Muni)に乗ろうとした人々は驚きました。乗車料金を払う必要がなかったのです(英語記事)。両日とも、無料で乗ることができました。誰でも。社会主義者の夢がついに実現されたのでしょうか?まさか。Muniはランサムウェアの攻撃を受け、乗車券を販売できなくなってしまったのです。

muni-ransomware-featured

一部の報道機関は、すでに数日前から問題の兆候が現れていたと主張しています(英語記事)。感謝祭の直前から、駅の券売機や運行状況のディスプレイに「You Hacked」(お前はハッキングされた)というメッセージが表示され始めたとのこと。例によって、ランサムウェアは、文法的な間違いだらけの文章とともに名乗りを上げました。どうやらこのMambaというランサムウェアはHDDCryptorの変種であり、サンフランシスコ市交通局(SFMTA)にある2,000台以上のコンピューターを攻撃し、動作不能にしたとみられています。

Mamba(またはHDDCryptor。この記事では、どちらも同じ1つのものとして話を進めます)はランサムウェアの一種で、ハードディスク全体を暗号化すると同時に、マスターブートレコード(MBR)を変更してOSをロードできないようにし、代わりに犯人側のメッセージを表示します。

Mambaの作者は、このトロイの木馬の一部にオープンソースのツールを使うことで、極めて強力なアルゴリズムを作り上げました。そのため、Mambaに暗号化されたファイルを、身代金を支払わずに取り返す方法はわかっていません

Mambaを利用する犯罪者はSFMTAに対し、「cryptom27@yandex.com」に連絡するよう要求しました。『San Francisco Examiner』紙の記者がこのメールアドレスに連絡すると、「Andy Saolis」と名乗る犯人たちと接触することができました(英語記事)。Saolisによると、Muniに対する攻撃は意図的に狙ったわけではなく、システムが感染したのは、単に管理者権限を持つ誰かが、感染したTorrentファイルをダウンロードしたためです。

また、Saolisが同紙に語ったところによると、コンピューターの運用再開と引き換えに、SFMTAに対して100ビットコイン(約73,000ドル)を要求しました。しかし、SFMTAは身代金を支払わずに問題に対処できたと見え、日曜日の午後遅く、券売機は復活しました。

Kaspersky Labのアンチマルウェアリサーチャーは、この攻撃を仕掛けたサイバー犯罪組織を追跡し続けています。Mambaは、企業や組織への攻撃に使用されることが多いようです。Muniに対する攻撃はMambaにとって初めての勝利ではありません。実のところ、100ビットコインという金額は、こういった犯罪者の基準からするとかなり少額です。普通はもっと大金を要求してくるものです。

さて、Mambaは実に厄介な脅威のようです。この脅威から自分自身と組織を守るにはどうすればよいでしょう?

1. SFMTAが比較的短期間でMuniを再開できたのは、バックアップがあったからです。特筆すべきは、これらのバックアップがネットワーク共有に保存されていなかったこと。ネットワーク共有に保存されていたら、バックアップもろとも暗号化されていたことでしょう。

ここでの教訓は、SFMTAのように、データを定期的にバックアップすることです。バックアップは、自分のコンピューターやネットワークに接続されたデバイスではなく、クラウドまたは外付けハードディスクに保存しましょう。

2. そもそも、Mambaなどのランサムウェアに感染しないようにしましょう。そのためには、優れたセキュリティ製品を使うことをお勧めします。なお、カスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows対応プログラム)は、Mamba(およびHDDCryptorなど、これに類似するもの)を検知名「HEUR:Trojan.Win32.Generic」として検知し、暗号化をブロックします。