インターネットを必要としないランサムウェアMamonaの脅威

2025年7月21　21日付のThe Indian EXPRESS による話題　― インターネットに接続することなく動作する新たなサイバー脅威がその線上にあると語るセキュリティ研究者は、検出を極めて困難にするオフラインで実行し、ローカルで生成されたキーを用いてファイルを暗号化し、その形跡を消去するステルスマルウェアである「Mamona Ransomware」を特定しています。

遠隔操作制御サーバーに依存する従来のランサムウェアとは異なり、「Mamona」はWindows Pingコマンドを悪用することにより完全にオフラインで機能します。

「Mamonaは暗号化キーをローカルに生成し、空隙または隔離されたシステムでも効果的であり、オフライン環境は本質的に安全であるという信念に疑問を投げかけている」と述べる63Sats電脳技術者のニーハー・パサレ氏は、「この手段により、攻撃者は標準的なネットワーク監視システムを回避することができ、検出が困難になる」と付け加えています。

サイバーセキュリティの専門家であるシュバム・シン氏は、「Mamonaがファイルをロックするために必要なものはすべてマルウェア自体に組み込まれており、これがひとたび実行されるとサーバーやハッカー等に連絡することなく、自律的にデータの暗号化を開始する」と語っています。

シン氏によると、多くの場合Mamonaは非表示ファイル、自動実行スクリプト、または難読化を用いてウイルス対策ソフトウェアを回避し、USBドライブや外付けハードディスクなどの物理メディアを通じて広がり、感染は、ユーザーが無意識のうちに妥協された危ういデバイスを差し込み、ランサムウェアを起動させるときに発生するといいます。

Mamonaが、入力を得る物理デバイスと人間との関わりに付け込むために、空間で仕切られたシステムでさえリスクがある」と説明するシン氏は、こうした人目を盗む性質の脅威により、組織側は厳格なデバイス方針を実施し、一貫したオフラインバックアップを維持することが不可欠であり、物理メディアを責任を持って管理するためにユーザーを訓練することが不可欠です。

「このようなステルス性の脅威により、組織側は厳格なデバイスポリシーを実施し、ハードウェア周辺の許容リストと強力な終端点監視は、隔離されたシステムを守る上でも重要です」とパサレ氏は述べています。

シン氏は、ランサムウェアがひとたび活性化すると、暗号化キーをローカルに生成し、画面またはファイルに身代金要求メモを表示し、被害者に別のデバイス（スマートフォンまたは別のコンピューター）を使用して攻撃者に連絡するように指示し、「場合によっては身代金の要求に、QRコードのスキャンや、さらなる指示のための電子メールを送信することも含まれる場合がある」と述べています。

インターネット接続の欠如により、従来のセキュリティツールが実時間で脅威を監視またはブロックすることが妨げられると、オフラインシステムは往々にして時代遅れのソフトウェアを実行し、それらをより脆弱にする上、ユーザーは攻撃の兆候をすぐに認識することができず、対応を遅らせます。

USBポートはしばし無担保であるため、容易な進入点として提供されており、このマルウェアはひとたび実行されると、分離して削除することが困難ですと述べるシン氏は、Mamonaや同様の脅威からの安全を確保するためのいくつかの実用的な段階を以下に提案しています。

１.不明なUSBを避ける：未検証またはなじみのないソースからのドライブをプラグインしない。

２.オフライン対応のウイルス対策ツールを使用する：クラウド上のシステムに依存せずに終端点保護が脅威を検出できることを確保する。

３.すべてのソフトウェアの更新を継続する：切断されたシステムでさえ、通常のファームウェアとパッチの更新を受信する必要がある。

４.データを安全にバックアップする：攻撃後に回復させるために、オフラインまたは読み取り専用形式でバックアップを保存する。

５.警告サインに注意する：改名されたファイル、参照できないドキュメント、または奇妙なメッセージはランサムウェアを示す場合がある。

６.すべてのユーザーを訓練する：職員が物理メディアのリスクを認識していることを確保し、疑わしい活動を報告する方法を知っておく。

世界が進化するにつれて、デジタル景観も然り、新しい機会と新しいリスクをもたらします。詐欺師はより巧妙化させており、彼らの利益のために脆弱性を活用していると述べるシン氏は、私たちの特別な機能続編では、最新のサイバー犯罪の傾向を掘り下げ、オンラインで安全確保と警戒を怠らない情報にとどまる人に役立つ実践的な秘訣を提供していると語っています。