Discover Performance

 

 


今すぐ登録する

「HP Software Discover Performance」日本語版

韓国におけるサイバー攻撃の実態とその考察

今月から、HPSW エンタープライズ セキュリティ プロダクトより、最近のセキュリティ関連のトピックを紹介していきます。

3月から4月のセキュリティ関連のトピックで一般的にも多く知られたのは、韓国で発生したサイバー攻撃でしょう。特に、北朝鮮との緊張が高まる中で発生した事件であり、ニュースなどでも多く取り上げられました。

概要

3月20日、複数の銀行や放送局がサイバー攻撃を受け、大規模なコンピュータ障害が発生しました。

この障害に関しては複数のセキュリティ関連企業が、攻撃の分析結果をブログやWeb媒体で発表しました。当初は原因として、「ローカルのWSUSサーバー、またはアンチウイルスのアップデートサーバーが悪用された」、あるいは「非正規Windowsのアクティベーション回避により障害が発生した」等の噂が流れていましたが、現時点(2014年4月16)では、おおよその障害発生の経緯として、攻撃者グループが2012年頃から標的型攻撃を使い、入念な下準備を行って資産管理サーバーの管理者権限を奪取し、この権限をつかってマルウェアを配布したのではないかと推定されています。

おおよその経緯

  1. 標的型攻撃により、ターゲットのユーザーを外部のWebサイトに誘導しました。このWebサイトにアクセスすると、ActiveXの脆弱性が悪用され、マルウェアがダウンロードされます。これにより、社内に最初の感染者が現れました。


  2. ダウンロードされたマルウェアが、社内の重要なサーバーを探すためにポートスキャンを実行します。これで社内の資産管理サーバー(アンラボのサーバー)を見つけ出しました。


  3. アンラボの資産管理サーバーの認証バイパスの脆弱性を用いて、資産管理サーバーの管理者権限が奪取されました。


  4. 3.で奪取された権限を用い、資産管理サーバーの配下にある端末やサーバー(Linux/UnixやWindows)にMBRを破壊するマルウェアが送り込まれました。このマルウェアは、3/20 AM2:00までスリープして、その日時が来たら活動を開始するマルウェアになっていました。また、韓国産のAntiVirusソフトを停止する機能も入っていたようです。


  5. 3/20 AM2:00にマルウェアが活動を開始します。このマルウェアは、Linux/Unixサーバーだった場合にはMBRや/etc、/usr、/homeなどの、重要なディレクトリを破壊します。また、Windowsの場合には、端末のMBRとデータを上書きして破壊します。



この攻撃では、PC端末を破壊されるだけでなく、同時にWindowsやLinux/Unixサーバーも破壊されることになりました。これにより、管理者は多数の破壊されたPCを復旧させる作業と、複数のLinux/Unixサーバーの復旧作業を並行して行わなければならなくなった為、現場は相当混乱したであろうと思われます。

この攻撃の犯人が誰で、何の目的で攻撃を行ったかについてもまだわかっていません。 攻撃に使用されたマルウェアも既知の物の同系統であるため、専門家によるサイバーテロではないのではないかという考察もされています。犯人については「Whois Team」というチームが犯行声明を発表していますし、北朝鮮によるサイバー攻撃だったともいわれています(4/10に韓国政府が、北朝鮮によるサイバー攻撃であると発表しています)。

考察

今回の攻撃では標的型攻撃により資産管理サーバーの管理者権限がのっとられたのが、被害を大きくした原因だと考えられます。

通常、Internetに露出しているサーバーや、社内のDBサーバーなどの重要な資産に関しては権限分離やネットワークアクセスを厳格にし、ポリシー違反の挙動の監視も行うなど、セキュリティが厳しく管理されていますが、資産管理サーバーに関しては資産的にも重要な位置づけではなく、またさまざまなネットワークにアクセスする必要があるため、セキュリティを緩めて運用している所もあると思います。
しかし、資産管理サーバーはパッチやファイルの配布・実行も行えるため、今回のような事態になると社内全体のシステムに被害が拡大してしまいます。そのため、今後は資産管理サーバーについても、厳格なセキュリティ管理(脆弱性の早期対応や、ログ等の挙動の監視)を行う必要があります。

その他の社内システムに関しても出来る限りセキュリティを厳格にして運用し、万が一の事態になった際の連絡体制や復旧プロセスも常に確認しておく必要があります。

また今回の場合には、標的型攻撃により感染したユーザーの社内でさまざまな準備が進められていますので、通常ありえない動作(端末からサーバーへのポートスキャンや、端末から資産管理サーバーへのファイルの転送など)を行った際にアラートを上げるようなシステムを導入することが必要になると思われます。