Garminがサービスダウンはランサムウェアによるものと認める(一部機能は未復旧)

スポーツとフィットネス分野の大手テクノロジー企業であるGarmin(ガーミン)は、5日間に渡ってサービスがダウンした原因はランサムウェア攻撃だったことを確認した。

同社は米国時間7月27日付の声明でマルウェアによってシステムの一部が暗号化されたことを認めた(Business Wire記事)。

Garminは「結果としてウェブサイト、カスタマーサポート、ユーザーアプリケーション、当社のコミュニケーションなどオンラインサービス多数が停止した。我々は直ちにこの攻撃の性質を調査し、対策を取り始めた。現在、多くのサービスが復旧している」と述べている。

同社によれば「一部の機能は修復中だが、ユーザーデータが失われたり盗まれたりした疑いはない」という。

この攻撃によりGarmin Connectなど(Wayback Machine記事)数百万単位のユーザーをもつオンラインサービスが大規模な混乱に見舞われた。Garmin Connectはユーザーの活動データをクラウドやのデバイスに同期するアプリだ。また航空機のナビゲーションと航空ルートの計画サービスであるflyGarminもダウン(Garminリリース)した。

Garminはトラブルを単に「事故」と発表していた。しかしTechCrunchの取材に対し、情報源は「サービスのデータを暗号化するマルウェア攻撃よるものだ」と明かした。

TechCrunchは事情を直接知る情報源を引用して「この攻撃はWastedLockerと呼ばれるランサムウェアによるものと報じた。WastedLockerは2019年に米財務省が制裁措置を適用したロシアのハッカーグループであるEvil Corp.が使っていることが知られている。

制裁措置により米国企業は対象グループとの取引を一切禁じられた。これによりファイルを取り戻すために身代金を支払うことも違法となっていた。

サービスの停止中、Garminの株価は102ドルから94ドルに急落した。7月27日の月曜日午後の取引で株価3%アップして100ドルまで戻している

Garminは今週29日に四半期決算を発表する予定だ。

関連記事:ランサムウェア攻撃によってGarminのサービスが世界的に停止

画像クレジット:Chris Ratcliffe/Bloomberg / Getty Images

【Japan編集部追記】ガーミンジャパンのサイトによれば「一部の機能がご利用いただけなくなっております」とのこと。

原文へ
(翻訳:滑川海彦@Facebook

米信用組合のCUNAがランサムウェア感染の疑いでシステムダウン

主要なロビイストであり、米国における信用組合のための組織であるクレジット・ユニオン全国協会(CUNA)は、今週初めに「サイバー攻撃」の後にシステムがダウンし、現在復帰を目指している。ワシントンDCに本社を置くCUNAは、全米の州および連邦公認の信用組合を代表し、ロビー活動、アドボカシー(政策提言)、その他の業界団体サービスを提供している。

しかし、報道機関との接触を禁じられていた事件に詳しい情報筋によると、2月3日のシステムダウンの原因はランサムウェアの影響だったという。使用されたランサムウェアの種類は現時点では不明だが、CUNAは主にMicrosoft(マイクロソフト)のソフトウェアを採用しており、これはランサムウェアの標的になることが多いと考えられている。同社のウェブサイトに掲載された報告では、システムダウンは「技術的な問題」とのみ説明されていた。

CUNAの広報担当者のVicky Christner(ヴィッキー・クリスナー)氏は、ランサムウェアがシステムダウンの原因であるとは認めず、「ビジネス停止の問題」について「サイバー事件への対応を進めている」とのみ説明した。

「CUNAは会員の社会保障番号やクレジットカード番号を保存していない」と、クリスナー氏は伝えている「これまでの調査によると、名前や会社の住所、メールアドレスなど、システム内のデータにアクセスされたことを示す証拠はない」。「我々の調査は現在も続いている」と同氏は伝えている。

今回の事件は、ランサムウェアからの防御を支援することを目的とした、模擬ランサムウェア攻撃をCUNAが実施した数か月後に発生した。CUNAへの攻撃は、ここ数カ月の間にランサムウェアの被害を受けた企業の中でも最新のケースだ。昨年はアルミニウムメーカーのAebi Schmidt、郵便・運送会社のPitney Bowes、飲料メーカーのArizona Beveragesがランサムウェアの被害を受け、それぞれ数日間システムがダウンした。

記事執筆時点では、CUNAのウェブサイトはシステムを「早急に」復帰にすると表明している。

[原文へ]

(翻訳:塚本直樹 Twitter

今回のマルウェア攻撃の標的は半数以上が工業分野

今週の大規模マルウェア攻撃の標的 ―― および意図した効果 ―― を調査しているサイバーセキュリティ会社、Kaspersky Labsの最新レポートが、いくつか興味深い洞察を与えている。

当初Petyaという名前で知られる商用マルウェアの変種と考えられていたその攻撃は、大規模なランサムウェアスキームの一つとみられた。しかし事態が進むにつれ、攻撃は金目当てより破壊目的であることが明らかになってきた。身代金を支払っても影響を受けたシステムのロックを解除すの復号キーが手に入らなかったからだ。,

しかも、本稿執筆時点でこの攻撃が 生み出したのはわずか3.99 BTC(約1万ドル)にすぎない。一方、大規模なシステム麻痺によって主要空港、銀行、さらには チェルノブイリの放射能監視システムまでもが運用を停止した。一見ランサムウェアに見えるこの攻撃の影響を受けたシステムは、60%以上がウクライナに存在している。

Kaspersky Labsの報告によると、金融分野の被害が最も大きいものの、ほかの標的の50%以上が製造、石油、およびガスの分野に分類される。

「これはこのマルウェア作戦が経済的利益を目的としたランサムウェアではないという説を支持している」とKaspersky Labsがブログで分析している」。これはランサムウェアを装った「ワイパー」(データ破壊プログラム)と見られている。

Kasperskyはブログでこう説明している:

ExPetr(Petya)のような脅威は、重要なインフラストラクチャーや工業部門にとって著しく危険であり、攻撃の標的になったオートメーションや制御システムなどの技術プロセスが影響を受ける可能性がある。その種の攻撃は企業の生産や金融だけでなく人間の安全にも影響を与えかねない。

分析によると、多くの製造業がExPetr(Petya)マルウェアの攻撃を受けている。工場制御システムが影響を受けた事例もあるが、ほとんどのケースは企業のネットワークのみが被害を受けている。

このマルウェアをどう呼ぶかについては数多くの議論がなされているが、Kasperskyらは“ExPetr”と呼び、良く知られているランサムウェアのPetyaの変種であるPetrWrapと区別している。McAfeeの研究者らもマルウェアがPetyaに関係しているという説に懐疑的だ。「たしかにPetyaに似ているが、逸脱している部分もある」とMcAfeeのチーフサイエンティスト、Raj Samaniが今週TechCrunchに伝えた。

かつてPetyaと呼ばれたこのランサムウェアの分析に結論を出すにはまだ早いが、事態が複雑化していることは間違いない。

[原文へ]

(翻訳:Nob Takahashi / facebook

Petyaの蔓延を受け、下院議員がNSAに要請、「方法を知っているなら攻撃を阻止してほしい」

今日(米国時間6/28)、テッド・リュウ下院議員(カリフォルニア州選出/民主党)はNSAに対して、昨日から世界を襲っているランサムウェア(ランサムウェアを装った別物の可能性もある)の蔓延阻止を要請する書簡を送った。

リュウ氏は、EternalBlueという攻撃ツールをリークさせ有害ソフトの蔓延を助長した責任はNSAにあると主張している。先月、WannaCryというランサムウェアが同じくEternalBlueを用いて、脆弱性を保護するためにMicrosoftが発行したパッチMS17-010)を適用していないコンピューターに侵入した。

「複数の報告によると、2つの世界的ランサムウェア攻撃が発生したのは、NSAのハッキングツールがShadowBrokersという組織によって世間に公開されたためだ」とリュウ氏は書いている。

「私の何よりも緊急な要望は、もしNSAがこの世界的マルウェア攻撃の止め方、あるいは止めるのに役立つ情報を知っているなら、直ちに公開してほしいということだ。もしNSAがこの最新マルウェア攻撃のキルスイッチを持っているなら、今すぐ配備すべきだ」

リュウ氏は、NSAが自分たちのシステム内に発見した脆弱性についてもっと広くテクノロジー企業に伝えるよう要請した。EternalBlueに関して、NSAは何年も前からその存在を知っていたと言われている。NSAがほかにも重要なツールを隠し持っていること、新たなShadow Brokersのリークによって容易にそれが暴露されるあろうことは当然想像できる。

[これについて記事を書くつもりのジャーナリストは、マルウェアの蔓延はNSAが何年もの間放置してきた脆弱性によるものであることを忘れてはならない]

「現在も脅威が進行中であることを踏まえ、NSAはMicrosoftを始めとする各企業と積極的に協力し、同局が認識しているソフトウェア脆弱性について知らせるよう要請する。さらには、NSAが作ったマルウェアによる将来の攻撃を防ぐために、各企業に知っている情報を公開すべきだ」とリュウ氏は言った。

昨日のランサムウェア攻撃には、前回のWannaCry以上に厄介な問題がある。IEEEのシニアメンバーでアルスター大学のサイバーセキュリティ教授のKevin Curranは次のようにTechCrunchに説明した:「WannaCryとの重要な違いの一つは、Petyaがディスク上のファイルをいくつか暗号化するのではなく、ディスク全体をロックして一切プログラムを実行できなくすることだ。ファイルシステムのマスターテーブルを暗号化することによって、オペレーティングシステムがファイルをアクセスできなくしている」。

もう一つの大きな違いは、WannaCryにはキルスイッチがあったことだ。偶然の産物ではあるが

「PetyaはWannaCryと同じ恐ろしい複製能力を持っており、内部ネットワークを通じて直ちに広がってほかのマシンに感染する」とCurranは言った。「感染したコンピュータ上のパスワードも解読し、それを使って感染を広げているらしい。今回キルスイッチはなさそうだ」。

本誌はNSAに連絡を取り、現在のランサムウェアの蔓延を止めることができるのか、今後の責任はNSAにあるのかを質問している。

リュウ議員の書簡全文を以下に埋め込んだ。

( function() {
var func = function() {
var iframe_form = document.getElementById(‘wpcom-iframe-form-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’);
var iframe = document.getElementById(‘wpcom-iframe-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’);
if ( iframe_form && iframe ) {
iframe_form.submit();
iframe.onload = function() {
iframe.contentWindow.postMessage( {
‘msg_type’: ‘poll_size’,
‘frame_id’: ‘wpcom-iframe-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’
}, window.location.protocol + ‘//wpcomwidgets.com’ );
}
}

// Autosize iframe
var funcSizeResponse = function( e ) {
var origin = document.createElement( ‘a’ );
origin.href = e.origin;

// Verify message origin
if ( ‘wpcomwidgets.com’ !== origin.host )
return;

// Verify message is in a format we expect
if ( ‘object’ !== typeof e.data || undefined === e.data.msg_type )
return;

switch ( e.data.msg_type ) {
case ‘poll_size:response’:
var iframe = document.getElementById( e.data._request.frame_id );

if ( iframe && ” === iframe.width )
iframe.width = ‘100%’;
if ( iframe && ” === iframe.height )
iframe.height = parseInt( e.data.height );

return;
default:
return;
}
}

if ( ‘function’ === typeof window.addEventListener ) {
window.addEventListener( ‘message’, funcSizeResponse, false );
} else if ( ‘function’ === typeof window.attachEvent ) {
window.attachEvent( ‘onmessage’, funcSizeResponse );
}
}
if (document.readyState === ‘complete’) { func.apply(); /* compat for infinite scroll */ }
else if ( document.addEventListener ) { document.addEventListener( ‘DOMContentLoaded’, func, false ); }
else if ( document.attachEvent ) { document.attachEvent( ‘onreadystatechange’, func ); }
} )();

[原文へ]

(翻訳:Nob Takahashi / facebook

Petyaはデータ破壊が目的――ランサムウェアではないと専門家が指摘

世界で猛威をふるったマルウェア、Petyaを「ランサムウェア」に分類するの間違っていたかもしれないと専門家が指摘している。Petyaのコードそのものおよび感染が拡大した経緯などの分析によると、Petyaの目的は利益を得ることではなかった可能性があるという。実際にはウクライナのコンピューター・ネットワークをターゲットにしたサイバー攻撃の一種だったらしい。

ランサムウェアは「被害者が身代金を払えばデータを回復できる」という仕組みで成り立つ。もし攻撃者が金を受け取ったのにデータを返さなければ、その情報はたちまち広まり、誰も金を払わなくなる。攻撃側としてこれでは利益を得られない。

ではそもそも「データを回復することが不可能」な攻撃だったらそれをランサムウェアと言えるだろうか?

もちろん答えはノーだ。では身代金を得るのが目的でないとしたらPetyaの目的は何だったのか? Petyaが最初に確認されたのがウクライナのネットワーク上だったことを考えると、ウクライナのコンピューター・ネットワークに打撃を与えることが目的だったとしてもおかしくない。

Petyaに関するデータが明らかになるにつれてセキュリティー専門家の間でもこの考え方を取るものが出てきた。ComaeのMatt Suiche他のアナリストはPetyaのコードを昨年の同種の攻撃のコードと比較している。 2017年のPetyaはマスター・ブート情報を上書きして破壊し、ユーザー情報が回復不能となるるよう改造されているという。攻撃者のメール・アドレスも実際は無効にされており、身代金を振り込むこと自体不可能だった。

Brian Krebsのブログによれば、バークレーのInternational Computer Science InstituteのNicholas WeaverはPetyaは「意図的にデータ破壊を目的とした攻撃であり、ランサムウェアに偽装した何らかのテストだろう」と考えている。WiredはキエフのInformation Security Systems Partnersを引用して「このマルウェアはウクライナのネットワークに数ヶ月前から存在していたが、感染したコンピューターのデータが破壊されてしまうため同定が困難だった」としている。

マルウェアの拡散過程を正確に予測するのは不可能に近い(もちろんサーバーのファームウェアに焼きこむような場合は別だが)。そのためドイツが攻撃のターゲットの場合にフランスでマルウェアを拡散しても効率的ではない。逆にターゲット地域で拡散をスタートさせるのは効果的だ。しかも有名になったランサムウェア、WannaCryに表面的に似せて煙幕を張ったのであればきわめて巧妙だ。

もちろん部分的な情報しか利用できないため、こうした分析はすべて暫定的なもので、断定は困難だ。しかし「WannaCryタイプのランサムウェアで世界的に利得を得ようとした」というこれまでの報道は不正確かもしれない。

画像: Bryce Durbin

[原文へ]

(翻訳:滑川海彦@Facebook Google+

全世界的なランサム・ウェアの攻撃を偶然の発見で停止できたようだ

昨日(米国時間5/12)からの全世界的なランサム・ウェアの犯行は、いくつかの理由でおそろしいが、でもMalwareTechのセキュリティ研究者による素早い行動が、その拡散を少なくとも一時的に抑止したようだ。研究者自身はそのとき、それを知らなかった。

その詳しい話はここにあるが、要点はこうだ: すでにご存知かもしれないが、そのランサム・ウェアは、先月Shadow BrokersがNSAの記録から見つけたエクスプロイトを利用して拡散した。それは遠くまで迅速に拡散する能力を持ち、そのマルウェアもまさにそのように拡散した。しかしそのために、それを封じ込めて研究しようとするITの人びとの関心を招いた。

これに対する安全対策として、このウィルスのペイロード(payload, 動作コード)には、作者だけが知っているあるドメインが未登録かどうかを調べるコードが含まれていた。それはつまり、一部のネットワーク環境では、相手が悪質なコードを研究しているVMだったりすると、あるドメインに接続を試みるような外行きデータをすべて捕捉し、自分が勝手に選んだトラフィックを返したりするからだ〔一見、未登録でなくなる〕。

そのランサム・ウェアは、そんな環境で自分を起動したくないから、ある種の(適当な)未登録のドメインをpingする。たとえば、afn38sj729.comとか。そしてそれが、DNSエラー以外の何かを返したなら、そのトラフィックは操作されている可能性が高い。ランサム・ウェアは停止し、それ以上の分析をやめる。

ランサム・ウェアが未登録のドメインを呼び出していることを見つけたその研究者は、直ちにそれを登録してトラフィックをモニタできるようにした(そうやって上図のようなマップを作れた)。それにより拡散先を追跡できる、と思ったが、実はドメインを登録したことによって〔DNSエラーが返らなくなり〕攻撃そのものを殺してしまった。そのドメインをpingすると、既登録という結果が返ってくるので、ランサム・ウェアは自分を決して起動しない! 研究者はランサム・ウェアの生命維持装置を外してしまったのだが、自分ではそのことに気づかなかった。あとでそれと類似の動作をテスト中に、そのことが分かった。

偶然とはいえ、未登録ドメインを登録したことは、研究者の正しい行為だった。とにかくそれは結果的にサーバーをコントロールするコマンドであり、あるいはキルスイッチ(kill switch, 緊急停止スイッチ)だった。結果そのものには、異論がない。残念なのは、すでに被害に遭った人を救えないことだ。今後の展開は防げるけど。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ランサム・ウェアWannaCryはまだ急速に拡大中、でも今では‘キルスイッチ’対策が有効だ

世界中に広まったランサム・ウェアWannaCryはまだ勢いが衰えていないが、サイバーセキュリティのプロフェッショナルたちによる素早いアクションが、その被害の一部を食い止めている。

その“キルスイッチ”(kill switch)は、先週末(米国時間-5/13)、偶然見つかった。それは、そのマルウェアの拡散を止めることはできないが、少なくともコードの起動を防ぐことはできるので、ファイルの暗号化や身代金の請求はなくなる。

Check Pointの研究者たちは、別のキルスイッチドメインを使っている新種のWannaCryを見つけた。pingをしてそれが登録されていないことが分かったら、ランサム・ウェアを起動する。詳しくは前の記事をご覧いただきたい。もちろん彼らはそれをただちに登録し、新しいミュータントのマルウェアが起動されることを防いだ。

これにより研究者たちは、そのランサム・ウェアが新たなコンピューターに感染するとつねにpingが来る、という便宜をもらったことになる。彼らのブログ記事には、新たな感染は1秒に1回起きている、と書かれている。

それらのコンピューターはデータを人質に取られないが、でも新しい変種はいくらでも簡単に作れる。それらは、まだ起動されてないキルスイッチを使って、前と同じ速さで感染していくだろう。キルスイッチをそもそも使っているならば。

唯一の本格的な解決方法は、その脆弱性のあるマシンにワクチンを接種することだ。Microsoftは、古くてもはやサポートしていないバージョンのWindowsのためにパッチを発行するという、まれな行動をとった。でもそんなマシン〔XP以前〕はまだ、世界中に大量に野放しになっている。Microsoftとしては当然、それをすべきだったのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

「ランサムウェア」とは? 世界70カ国以上で大規模なサイバー攻撃

イギリスやスペインなどで5月12日、病院や大手企業などを狙ったサイバー攻撃が、相次いで発生した。イギリスでは、公共医療を提供する国民保健サービス(NHS)の関連病院の情報システムがダウンし、一部の病院では医療サービスの提供が中断した。AP通信などが報じた。

ロシアのセキュリティーソフトウエア会社「カスペルスキー」によると、今回はアメリカ、トルコ、日本など、74カ国・4万5000件が攻撃を受けたという。BBCはその後、99カ国で感染が広がったと伝えた

スペインでは、エネルギー、運輸、通信、金融サービスなど100以上の企業が攻撃を受け、大手通信会社のテレフォニカ本社では、社員たちにパソコンの電源をすぐ消すよう指示したという。

アメリカでは運輸大手フェデックスが、自社のWindowsマシンの一部で感染していたとの声明を発表した

ランサムウェアとは?

BBCによると、攻撃は、「ランサムウェア」と呼ばれるソフトウエアによるものだという。

ランサムウェアは、コンピューターのファイルを暗号化・復号ロックし、解除するためには身代金(ランサム)を払うよう要求する。独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」では、第2位にランクインする。

今回の攻撃は、Microsoftの古いシステムの脆弱性をついており、300ドル(約3万4000円)のビットコインを要求するようなメッセージが、画面上に表示された。複数の言語で表示できるように作られていた

身代金の支払いはカウントダウン形式になっており、指定された時間をすぎると、ファイルが消える恐れもあるとカスペルスキーは指摘した

今回は何者の仕業によるものかは、分かっていない。FOXニュースによると、攻撃に使用されたソフトウエアには、アメリカ国家安全保障局(NSA)から流出したとみられるハッキングツールが含まれていた。マイクロソフトは3月に、この脆弱性を修正するリリースを出していたが、攻撃を受けた病院ではシステムを更新していなかったのではないかとみられる。

IPAはランサムウェアの感染経路について、メールに添付された不明なファイルを開いたり、ランサムウェアが仕込まれたウェブサイトを閲覧するなどして感染する例を挙げている

ランサムウェアに感染しないための対策として、IPAは、

  • OS およびソフトウエアを常に最新の状態に保つ
  • セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
  • メールやSNSの添付ファイルやリンク先URLに注意する

などを紹介。また、万一感染したとしても被害を最小限に留めるために、ファイルを定期的にバックアップしておくなどの対策を呼びかけている。

HuffPost Japanからの転載。

photo by
jason wilson

サンフランシスコ市営鉄道(MUNI)をランサムウェアで脅迫した犯人が逆ハックされる

2016-11-30-muni-mrfraley-flickr

「復讐は甘美だ」という言葉があるが、悪い奴が自業自得の目に合うのを見るのはもっと面白い。先週の土曜、サンフランシスコ市営鉄道(MUNI)をランサムウェアでハックした犯人は自分で掘ったサイバー落とし穴に転落したもようだ。

サイバーセキュリティーに詳しい記者、Brian Krebsによれば、あるセキュリティー専門家がMUNIのハッカーを逆ハックした。

これには身代金を要求するハッカーが送信してきたメールを手がかりに、知られているかぎりもっとも古いハッキング技法を使っただけだったという。

ハイジャックしたサンフランシスコ市営鉄道のファイルを元に戻すために100ビットコインを要求すべく、問題のハッカーはMUNIの駅の券売機のディスプレイすべてにこういうメッセージを貼り出した。

Contact for key (cryptom27@yandex.com) 〔復号化キーについてcryptom27@yandex.comに連絡〕

Krebsが情報を得た匿名のセキュリティー専門家はこのアドレスのパスワードを素早く探り当てた。「セキュリティーのための質問」で保護されていたがこれも弱いものだったという。専門家はcryptom27@yandex.comのパスワードを再設定し、予備のアドレスcryptom2016@yandex.comの「安全のために質問」(同じものだった)も変更した。

匿名の専門家によれば、MUNIハッカーはビットコインのウォレットについては頻繁に変更するという賞賛すべき用心をしていたが、メールのセキュリティーには同様の注意を払っていなかった。ハッカーのウォレットを調査したところでは、このハッカーの脅迫行為はMUNIが最初ではなかった。ウォレットにはなんと14万ドルを超えるビットコインがあり、おそらくは過去3ヶ月の間に油断していた被害者から搾り取った金だろうという。予備的調査の情報ではこのアドレスの住所はイランであり、一部のメモはファルシ語〔ペルシア語ともいう〕に翻訳されていたという。

MUNIのハックはこの犯人の通常の行動ではなかったらしい。KrebsonSecurityによれば、アメリカにおけるランサムウェアのターゲットは製造業、建設業の会社で、過半数は脅されるままにサーバー1台につき1ビットコイン程度の身代金を支払っていたという。【引用略】

Krebsが書いているとおり、ランサムウェアによっていわれなくビットコインをむしり取られないために(またその他の事故に備えて)、企業は頻繁にサーバーのデータをバックアップしておくことが必須だ。またこのハッカーが自分で落ちたような穴に落ちないために「安全のための質問」に個人情報を入れないことも重要だ。母親の旧姓、卒業した高校の名前、最初の勤め先などは皆危険だ。完全にランダムな文字列ではないいしても事実とは違う答えを書く方がよい。「正直は最良の政策」ということわざはここでは通用しない。

画像: Michael Fraley/Flickr UNDER A CC BY 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+

サンフランシスコ市営鉄道(MUNI)がランサムウェアに襲われる―土曜以後料金徴収できず

2016-11-29-ransomware

この週末、サンフランシスコ市営鉄道の券売機にやってきた乗客は異常なメッセージに驚いた。ディスプレイには“You hacked.”〔お前はハックされた〕と表示されていた。

サンフランシスコ市の手軽な交通システムであるMUNIはどうやら無差別のランサムウェア攻撃にやられたらしい。

土曜日以降MUNIの乗客には無料パスが配布されている。問題が解決するまでMUNIは料金が徴収できない。攻撃者はMUNIのデータは暗号化されており、身代金をbitcoinで支払えと要求している。

この攻撃の首謀者とされる人物は当初「メディアの注目を集める意図はなかった」としてMUNIが身代金を払わない場合は譲歩する姿勢だったが、その後市の交通局を30GBの乗客情報をリークすると脅迫している。

「われわれのソフトウェアは完全に自動化されており、特定の相手を狙ったわけではない。SFMTAのネットワークは開けっ放しだったので2000台のサーバーとPCが感染した! われわれはSFMTAの責任者から連絡を待っている。しかし彼らは取引に応じないだろう。われわれはこのメールメールを明日には無効化する」と攻撃者はメールに書いたとVergeは報じている

MUNIの広報担当者は「われわれは現在問題を調査中だ。すでに発表した以上の情報を明かせる段階にない」とコメントした。

画像: Bryce Durbin

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Webサーバを攻撃するLinux上のランサムウェアが出没、身代金は1ビットコイン

encoder-1

新種のランサムウェアがLinuxマシンを攻撃している。とくに、サーバがサーブするWebページ関連のフォルダが被害者だ。そのLinux.Encoder.1と呼ばれるランサムウェアは、MySQL、Apache、およびhomeやrootのフォルダを暗号化する。そしてファイルを解読するために1bitcoinを要求する。

以下、Dr.Web Antivirusより:

管理者権限で侵入したこのLinux.Encoder.1と呼ばれるトロイの木馬は、犯人が求めるファイルと、RSAの公開鍵のパッチのあるファイルをダウンロードする。そのあと、その悪質なプログラムはデーモンを始動し、元のファイルを削除する。その後RSAキーを使ってAESキーを保存し、トロイの木馬はそれを利用して、感染したコンピュータの上のファイルを暗号化する。

最初にLinux.Encoder.1はhomeディレクトリと、Webサイトの管理に関連したディレクトリ内のすべてのファイルを暗号化する。それからトロイの木馬は、自分が侵入したディレクトリとその下のファイルシステムのすべてを再帰的にトラバースする。さらにその次は、rootディレクトリ(“/”)とその下を襲う。そのときトロイの木馬は、犯人が指示した文字列のどれかで始まる名前のディレクトリのみを訪ね、指定した拡張子のあるファイルだけを暗号化する。

 

被害者がランサム(ransom, 身代金)を払うとシステムは信号を受け取り、再びディレクトリをトラバースしてファイルの暗号を解く。このマルウェアは自分が動くために管理者権限を必要とし、またおそらく、そのようなプログラムにうかつに実行許可を与えるようなシスアドミンを必要とする。Dr.Webのチームは、すべてのデータをバックアップすることと、攻撃された場合には、研究者たちが脱暗号化システムを作るまで被害の現状を保全することを、勧めている。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。