iStock / シュオシュ
アトランタ市長に就任して3ヶ月も経たないうちに、ケイシャ・ランス・ボトムズ氏の街は崩壊し始めていた。裁判所は任命を取り消し、公共事業局のコンピューターの90%がアクセス不能となり、警察が撮影したドライブレコーダーの映像は何年も失われていた。
市は包囲されていた。「人質事件に対処している」とランス・ボトムズ市長は記者会見で記者団に語った。3月22日、ハッカーはアトランタのコンピュータインフラに仕掛けられたランサムウェアを起動させ、システムを正常に戻すためにビットコインで5万ドルの支払いを要求した。5日後、8,000人の市職員はマシンを再起動できると告げられたが、1ヶ月経っても依然として、サービス料金の支払いを含む深刻な問題に関する苦情が寄せられていた。
アトランタは、ハッカー集団「サムサム」によるマルウェアの標的となった数百の公共機関や企業の一つでした。アトランタは支払いを断念しましたが、サイバーセキュリティ企業ソフォスの最新調査によると、サムサムは月額約33万ドルの利益を上げており、2015年に初めて確認されて以来、600万ドル近くを稼いでいることが明らかになりました。
アトランタ市だけが被害に遭ったわけではありません。SamSamはコロラド州運輸局に2,000台以上の機器のシャットダウンを強い、インディアナ州の病院は患者の履歴や予約スケジュールへのアクセスを失わせました。ソフォスのグローバルマルウェアエスカレーションマネージャー、ピーター・マッケンジー氏は、SamSamランサムウェアの新たな被害者が毎日1人発生していると推定しています。
「これは少人数のグループによって制御されており、ハッキングによって侵入された被害者のネットワークに手動で展開されます。これは、他の多くのランサムウェアとは全く異なります」とマッケンジー氏は述べている。ソフォスは、SamSamの身代金を支払った被害者を233人特定しており、そのうち74%は米国に拠点を置いている。英国、カナダ、中東の組織も標的となっており、支払われた身代金の最高額は6万4000ドルとなっている。
しかし、SamSamのコードには特に高度な点はない。「自動化は行われておらず、やっていることは昔ながらのハッキングです」と、米国ジョージア州に拠点を置くRendition Infosecの創業者、ジェイク・ウィリアムズ氏は語る。2017年に発生した大規模なWannaCryランサムウェア攻撃(英国の数百の病院と一般開業医が業務を停止した)とは異なり、SamSamは手動で操作される。
WannaCryはワームとしてITネットワークに拡散し、移動しながらファイルを暗号化しました。一方、SamSamランサムウェアは、攻撃者によってシステムに挿入され、ネットワークが暗号化される準備が整った時点で起動します。ウィリアムズ氏によると、ハッカーがマルウェアを起動するまでに最大60日間ネットワーク内に潜伏していたという証拠を確認したとのことです。「ランサムウェア自体はそれほど高度ではありませんが、最大の被害をもたらすために用いる手法は、一部の高度な脅威の攻撃者が用いる手法と似ています」と彼は付け加えます。SamSamはネットワークに侵入してもすぐにファイルの暗号化を開始しないため、検知が困難な場合があります。
続きを読む: ブリティッシュ・エアウェイズのハッキングは驚くほどひどい
「彼らは概して、簡単に手に入る対策を狙っている」とマッケンジー氏は言う。アトランタもその範疇に入るだろう。地元ニュース局CBS46が入手した市の内部文書には、人々が「油断」して対策を講じていない「深刻かつ重大な脆弱性」が多数存在すると当局に警告する内容が記されていた。
ウィリアムズ氏によると、アトランタ市のシステムはSamSamの1年前に、WannaCryとNotPetyaランサムウェアの拡散に利用されたEternal Blueエクスプロイトに感染していたという。「アトランタ市が所有するサーバーは少なくとも5台あり、2017年4月に感染しました」とウィリアムズ氏は語る。アトランタ市はサイバー攻撃への対応として、5万2000ドルの身代金要求に対応するために260万ドルを費やした。
SamSamの特徴は、法執行機関の手が届かないところで活動できる点です。2015年に最初のベータ版ソフトウェアが発見されて以来、その背後にいる人物は明確に特定されていません。FBIは2016年に緊急アラートを発令し、企業に対し、このランサムウェア(当時はSamasと呼ばれていました)に関する情報提供の協力を求めました。FBIによると、このランサムウェアは犯罪者が「復号鍵と引き換えに多額の金銭を要求する」ことを可能にするものでした。
Sophosを含むセキュリティ企業は、SamSamはごく少数のサイバー犯罪者グループ、あるいは個人のハッカーによって構成されていると予測しています。「彼らは英語を母国語としていないと考えています」とマッケンジー氏は述べています。ランサムウェアのコードには、スペルミスが頻繁に見られます。「dark red」は「drak red」と誤記されているほか、身代金要求のメッセージや支払いを支援するためのヘルプファイルでは、カンマの後に大文字が続くことがよくあります。SamSamの後には個人的な手が加えられており、当初は暗号化されたファイルは「HELP_DECRYPT_YOUR_FILES.html」という名前に変更されていましたが、現在では「SORRY-FOR-FILES.html」と呼ばれることがよくあります。
SamSamは現在バージョン3に進化しており、さらに改善されています。被害者が仕事に就いていない深夜にファイルを暗号化し、ネットワークをリアルタイムで監視するようになりました。Torネットワーク上にホストされている身代金要求メッセージやビットコイン決済ウェブサイトは、被害者ごとに異なるものになっており、暗号化プロセスが検知されると自動的に削除され、分析可能な証拠はほとんど残りません。
「ダークウェブのフォーラムやTwitterでエクスプロイトについて語る一部の脅威アクターとは異なり、彼らはそのようなことはしません。自慢したり、投稿したりもしません」とマッケンジー氏は語る。「私たちが特定できた他のグループと連絡を取っているようには見えません。他に何かしているようにも見えません。SamSamが彼らの専業のようです」。マッケンジー氏はさらに、SamSamが使用する任意のファイル拡張子を.stubbinから.berkshire、.satoshiに変更し、今年7月には.sophosを使い始めたことを確認済みだと付け加えた。
「彼らのスキルは確実に向上しています。身元を隠す方法、コードの動作を隠す方法、サンプルファイルの入手を困難にする方法など、彼らは常に改良を続けています」とマッケンジー氏は言う。「ランサムウェアの展開方法は、今後さらに効率的かつ隠蔽性を高めていくとしか考えられません。」
この記事はWIRED UKで最初に公開されました。
