交通機関が標的に　サンフランシスコ市営鉄道ハッキング

犯人は4カ月ほどで14万ドルを奪取

　Kreb氏は、逆ハッキングを行ったセキュリティ研究者に月曜にコンタクトしたという。その手法は、しごくクラシックなもので、cryptom27@yandex.comの秘密の質問と答えを推測して探しあて、パスワードをリセットするというものだ。これでAndy Saolisのメールの履歴にアクセスした。

　さらに、ユーザープロファイルからcryptom2016@yandex.comというバックアップアドレスをみつけ、同じ質問と答えでリセットした。これらのデータから、そのユーザーが25日金曜の夜にSFMTAの管理者に恐喝メッセージを送りつけていたことが確認された。

　さらに、セキュリティ研究者は1ダース以上のビットコインウォレットを調べ、Andy Saolisは少なくとも14万ドルを脅し取るのに成功したようだと推測している。対象は主に製造業や建設業で、最近では11月20日、米国のメーカーから63ビットコイン（4万5000ドル相当）を得ていた。

　ほかにw889901665@yandex.comという別のメールアドレスもみつかったが、こちらはハッキングできなかったという。今年8月から10月まで使用していた模様で、このアドレス名で検索すると、ランサムウェアの被害に遭ったユーザーが助けを求めて投稿するフォーラムで多く発見された。他のハッキング対策をアドバイスして報酬を得ることもしばしばあったようだという。

　犯人は、標的を探すために多くのスキャニングツールを使って、WebLogic Serverの脆弱性を探っていたという。その際の300を超えるIPアドレスの足跡を調べると、ほとんどはイラン国内からのログイン。また、登録された連絡先の電話番号はロシアの携帯電話事業者のものだったという。ただし、これらは、おとりの可能性もあるとしている。