韓国への大規模サイバーテロ事件について

まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。

1.被害状況

  • 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる
  • 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能

2.攻撃手法

  • 良くありがちなDDOSなんぞではなく、malware配布によるもの。
  • 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。
  • アンラボ社の見解(韓国語)
  • 資産管理サーバーを乗っ取った手法は不明だが、APTにより管理サーバのアカウントを乗っ取ったものとアンラボ社は見ている。
  • 資産管理サーバは恐らくパターンを配布するアンラボ社製品の中央管理サーバを指すと思われます。

アンラボ社製品紹介
資産管理機能について触れられている

3.malwareの動き

結構凶悪ですね。感染力を無視し、可能な限りダメージを与えることを目的としているようです。

  • MBR破壊。PCが起動できない状態となる
  • つながっているHDD全消去。
  • 多分mountされているドライブ全て。
  • ファイルサーバーをネットワークドライブとしてmountしている場合、そっちもやられちゃうんじゃないかしら・・・

関連ソース

4.何が脅威か?

これは元気な少年によるウイルス作ったらなんとなく広がっちゃったよ的なレベルでは全くないし、Anonymous的な権威に反抗してやるぜベイベー的な物にも見えない。

今回犯人がやったことは下記の様なものだ思われます。

  1. 攻撃すべきターゲットを明確に絞り込む
  2. ターゲット組織内に浸入
  3. アンチウイルスの中央管理サーバ乗っ取り
  4. malwareを中央管理サーバに仕込み配布
  5. 対象組織内全クライアントにmalware配布
  6. 2013/3/20 14:00に一挙に起動。全クライアント壊滅

これは遊びのレベルではないし、金銭目的でもない。明確な意図を持った攻撃です。攻撃対象を軍に絞ったらどこまで行けたのでしょうか?

これは私にはサイバーテロというより明確なサイバー戦争による奇襲に見えます。下手すると本格攻撃を実施する前の威力調査かもしれない。

5.犯人は誰か?

現在では犯人を特定できるだけの情報はありません。状況から見て北朝鮮が当然強く疑われますが証拠は現時点ではありません。

攻撃の発信元が中国だったという話はありますが、単に中国の機械が乗っ取られて発信元に使われただけではないかと思います。中国の例の61398部隊が関与している証拠もないですし、恐らく違うでしょう。続報が待たれます。

6.誤解ないしデマ(の可能性が高いもの)

Windows 7のSP1を割れOSにあてたから全面ダウンした

そんなんではありません。明確なmalwareによる攻撃です

非正規版WSUSのアップデートサーバにmalwareが仕込まれていた

  • アンラボ社の調査ではアンラボ社製品の資産管理サーバ経由と思われます。
  • オリジナルの記事は「非正規WSUSが残っていればそういう攻撃も可能」という推定の話
  • 明確に否定できるわけではないが、実際に現地で調査しているアンラボ社の調査のほうが信憑性は高いとみています

※オリジナル記事 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因

広告

韓国への大規模サイバーテロ事件について」への14件のフィードバック

  1. 他の記事ではかの国のことなので煽りなどが入りがちななか、客観的で素晴らしいまとめだと思います。
    続報を期待しています。

  2. ピンバック: 2ちゃんねるまとめビルダー » Blog Archive » 【韓国サイバー攻撃】「原因はパッチ更新管理サーバーのハッキング、当面はWindows自動更新回避で対処」-32000台に被害[03/21]

  3. ピンバック: 【コンピューター】 コメントを一覧表示するページをリニューアルしました – はてなブックマーク日記 – 機能変更、お知らせなど 2013年03月22日 朝刊 | aquadrops * news

  4. ピンバック: 2013/03/22 5時 iOS 6.1.3でロック迂回バグ修正したと思ったらまたロック迂回バグ!回避法(動画) 變幻原是永恆 | Blog | 淇淇的幸福魔法 - いまみてる | いまみてる

  5. ピンバック: 【韓国】サイバー攻撃は中国のIPアドレス、北朝鮮の犯行示唆=韓国政府筋★3m2builder demonstration site | m2builder demonstration site

  6. ピンバック: 【韓国】サイバー攻撃は中国のIPアドレス、北朝鮮の犯行示唆=韓国政府筋★3 | トレンド山盛り2チャンネル/芸能・ゲーム・時事ネタ・アイドル

  7. ピンバック: 【コンピューター】 アジャイルがダメだと思う7つの理由 – arclamp 2013年03月22日 昼刊 | aquadrops * news

  8. 今回の攻撃で一番ダメージを受けたのは金融機関の管理情報ですね。それが消失して一番得をするのは誰か?ということですね。

  9. ピンバック: 韓国への大規模サイバーテロ事件について | snowwalker’s blog | パソコン・ノートパソコン情報まとめサイト

  10. この手の話は素人なのですが、韓国のATM回線ってインターネット回線にどこかで接続されているのですね。それがまず、結構、危険な感じがするのですがどうなんでしょうか?
    翻って日本のATM回線は専用回線など、インターネット回線とは独立しているのでしょうか?
    気になったのでコメントを書いてみました。失礼します。

  11. 日経の記事より読みやすく、解りやすい。しかも内容が的確で的を射ている。

  12. ピンバック: ツカエル!ネットの話題 » Blog Archive » 03月22日 17:00版

  13. ピンバック: 【話題】 反日の韓国人と中国人にフランス人が反撃 「あなたたちの頭はおかしい。こじき根性」2ちゃんねるまとめちゃった | 2ちゃんねるまとめちゃった

  14. ピンバック: 韓国への大規模サイバーテロ事件について(3) | snowwalker's blog

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中