ランサムウェア「Mamba」、サンフランシスコ市営鉄道を乗り放題に

11月末、サンフランシスコの市営鉄道が無料で乗り放題になった日がありました。ランサムウェア「Mamba」の仕業です。こうした攻撃から自分や組織を守るにはどうしたらよいのでしょうか。

muni-ransomware-featured

11月26日と27日、サンフランシスコ市営鉄道(Muni)に乗ろうとした人々は驚きました。乗車料金を払う必要がなかったのです(英語記事)。両日とも、無料で乗ることができました。誰でも。社会主義者の夢がついに実現されたのでしょうか?まさか。Muniはランサムウェアの攻撃を受け、乗車券を販売できなくなってしまったのです。

一部の報道機関は、すでに数日前から問題の兆候が現れていたと主張しています(英語記事)。感謝祭の直前から、駅の券売機や運行状況のディスプレイに「You Hacked」(お前はハッキングされた)というメッセージが表示され始めたとのこと。例によって、ランサムウェアは、文法的な間違いだらけの文章とともに名乗りを上げました。どうやらこのMambaというランサムウェアはHDDCryptorの変種であり、サンフランシスコ市交通局(SFMTA)にある2,000台以上のコンピューターを攻撃し、動作不能にしたとみられています。

Mamba(またはHDDCryptor。この記事では、どちらも同じ1つのものとして話を進めます)はランサムウェアの一種で、ハードディスク全体を暗号化すると同時に、マスターブートレコード(MBR)を変更してOSをロードできないようにし、代わりに犯人側のメッセージを表示します。

Mambaの作者は、このトロイの木馬の一部にオープンソースのツールを使うことで、極めて強力なアルゴリズムを作り上げました。そのため、Mambaに暗号化されたファイルを、身代金を支払わずに取り返す方法はわかっていません

Mambaを利用する犯罪者はSFMTAに対し、「cryptom27@yandex.com」に連絡するよう要求しました。『San Francisco Examiner』紙の記者がこのメールアドレスに連絡すると、「Andy Saolis」と名乗る犯人たちと接触することができました(英語記事)。Saolisによると、Muniに対する攻撃は意図的に狙ったわけではなく、システムが感染したのは、単に管理者権限を持つ誰かが、感染したTorrentファイルをダウンロードしたためです。

また、Saolisが同紙に語ったところによると、コンピューターの運用再開と引き換えに、SFMTAに対して100ビットコイン(約73,000ドル)を要求しました。しかし、SFMTAは身代金を支払わずに問題に対処できたと見え、日曜日の午後遅く、券売機は復活しました。

Kaspersky Labのアンチマルウェアリサーチャーは、この攻撃を仕掛けたサイバー犯罪組織を追跡し続けています。Mambaは、企業や組織への攻撃に使用されることが多いようです。Muniに対する攻撃はMambaにとって初めての勝利ではありません。実のところ、100ビットコインという金額は、こういった犯罪者の基準からするとかなり少額です。普通はもっと大金を要求してくるものです。

さて、Mambaは実に厄介な脅威のようです。この脅威から自分自身と組織を守るにはどうすればよいでしょう?

1. SFMTAが比較的短期間でMuniを再開できたのは、バックアップがあったからです。特筆すべきは、これらのバックアップがネットワーク共有に保存されていなかったこと。ネットワーク共有に保存されていたら、バックアップもろとも暗号化されていたことでしょう。

ここでの教訓は、SFMTAのように、データを定期的にバックアップすることです。バックアップは、自分のコンピューターやネットワークに接続されたデバイスではなく、クラウドまたは外付けハードディスクに保存しましょう。

2. そもそも、Mambaなどのランサムウェアに感染しないようにしましょう。そのためには、優れたセキュリティ製品を使うことをお勧めします。なお、カスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows対応プログラム)は、Mamba(およびHDDCryptorなど、これに類似するもの)を検知名「HEUR:Trojan.Win32.Generic」として検知し、暗号化をブロックします。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?