韓国への大規模サイバーテロ事件について(3)

なんか沈静化してきた印象がありますが、まだ非正規Windows説が微妙に生き残っている感じがしますね。

元ネタ

最初の報告で「誤解ないしデマ(の可能性が高いもの」として紹介したものですが、どうも問題となった中国のIPアドレスがmsn.comのドメイン名を使用しているようで、それが根拠となっているようです。

追加でこの辺りを少し追ってみました。

1.問題のIPアドレス

最初に中国国内のIPアドレスと報じられ、その後内部のプライベートアドレス空間だったと報道された問題のIPアドレスいは”101.106.25.105″です。

このIPアドレスで素直にぐぐって情報を軽く漁って見ましょう。このページによると確かに中国国内で”1695750.r.msn.com”という逆引きレコードをもっているみたいですね。

これを根拠としてこのサーバーは不正Windowsにパッチを提供するサーバである、という話が出てきているようです。

2.WSUSはこのドメインを見に行くのか?

Microsoftのページを探してみましょう。こんな情報が転がっていました。

手順 3 : WSUS 3.0 のネットワーク接続を構成する

このページはWSUSサーバを設定するときの手順で、WSUSサーバーが通信するWindows Updateサーバのリストが載っています。上記ページをみればわかりますが、こんな感じです。

msn.comなんかにアクセスしないよ?

3.じゃあなんでr.msn.comとかの逆引き設定しているのか

知りません。誰か知っていたら教えて欲しいです。しかし、WSUSのアップデートサーバだと考えるのはおかしいですよね。だってWSUSはmsn.comなんぞにアクセスしない。

4.じゃあ真相はなんなんだよ

やっぱりメールを基点とするAPT攻撃と解釈するのが妥当だと思いますよ。WSUSの線はそれを支持する根拠がまるで出てきていません。msn.comだった説も上で説明したように無関係です。

4.何を理解すべきか

4.1.今回の攻撃はなんだったのか?

まず、相手が韓国だからと言って勝手にセキュリティ意識が薄いに違いない、とか割れOS使っていたに違いない、とか侮るのは止めておいたほうがいいと思います。SQLSlammerの件とか見ていると、非正規OSが一杯存在しているのは事実のようですが、今回の件をそちらの方向で軽く考えると判断を誤ると思います。

これは明確な破壊の意図を持った攻撃です。大規模な悪戯である可能性は犯行声明も出てこない現状、ますます低くなっています。

  1. きちんとアンチウイルスを導入してそれなりの対応をしていたはずの組織が
  2. なすすべもなく潰されてシステム壊滅状態に陥った

という所に恐怖を覚えるべきじゃないでしょうか。

4.2.過去のセキュリティの基本対策の考え方の崩壊

これまでの基本的なネットワークセキュリティ対策の基本的な考え方は下記のようなものだと思います。

  • 余計なサービスを止める
  • FireWallの開放を最小限に設定
  • セキュリティパッチをきちんと適用
  • アンチウイルスをちゃんと入れておく

基本的にはこれだけやっていれば、まぁ、普通は問題ないよね?という世界がこれまでの一般的な認識だと思います。

しかしAPT攻撃はこの程度の防御を乗り越えてくる。今回の事件は、この程度の一般的な対策のレベルでは対応できない脅威があり、それはもう目の前にある、という事を明確に示した事件だと思っています。

4.3.普通のIT技術者が立っている場所

Mandiant報告書はサイバースパイ大作戦を中国が展開していることを示し、今回の事件は恐らく北朝鮮(断定は出来ない)がサイバーテロとしてAPTを利用可能であることを示しました。

ここにある構造は“軍事レベル技術 vs そこらの民間技術者”という構図です。

もう我々は既に戦場に立っています。自分たちでも気がつかないうちに立たされています。前から警告は一杯出ていたというのに。

戦場でぼさっと立って、撃たれた仲間を間抜け呼ばわりして笑っている場合じゃないと思いますよ。やられるのであれば、せめて勝てないまでも戦ってからやられたい。わけわからないうちに潰されるのはごめんです。

広告

韓国への大規模サイバーテロ事件について(3)」への4件のフィードバック

  1. 「PCの時間設定を3月20日14:00以前にする」という対策が示されたのはなぜでしょうか?

    • (1)今回のウイルスは3/20 14:00に起動するようになっている。
      (2)個人向けPCに向けて亜種が出てきているという話もある。(参考URL http://asec.ahnlab.com/927 (韓国語))
      (3)とりあえず3/20 14:00以前の時刻に設定して発症を防いでワクチン入れとけ

      という話じゃないかと思います。既に感染している恐れがあるPCの被害を防ぐための対応としては妥当じゃないでしょうか。

      ちなみに、上記URLにもあるように、亜種は外部からコマンドを受け付けて起動する機能がついていて、任意の時間に起動させることが可能になっているようです。これやっとけば安心、とまでは言えない感じですね。

  2. アンラボ社のコメントを見ましたが
    ①アンラボが公開・管理しているアップデートサーバー(大本)には問題なし
    ②イントラ内の集中管理サーバー(アンラボ製ソフト)が乗っ取られた
    ③乗っ取り方法は不明。 windowsの脆弱性? アンラボ製管理ソフトの脆弱性?
    ④ウイルス自体には増殖機能がない。 アンラボウイルス対策パターンファイルに仕込まれていた
     Windowsアップデートファイルに仕込まれていた、明確な結論を出せていない

    ここからは疑問と推測
    ①3万台という数はおいておいて、7社同時に集中管理サーバーが乗っ取られることがありえるか?
     (当然潜伏期間がありますが、集中管理サーバーがこんなにも乗っ取られるものか?)
    ②おそらく集中管理サーバーも全消去されたため、証拠が残っていない。
    ③WSUSとアンラボウイルス対策は原理・動作がまったく同じ。7社の導入状況を
     聞き取り調査すれば切り分けできると思われるが・・・
     アンラボ製ソフトがインストールされていないPCだけ無事とか、関係なく全部死んだとか。

    ブログ主さんの考え:4.2.過去のセキュリティの基本対策の考え方の崩壊に対して思うこと

    基本、怖いほうに考えるのは正しいと思いますが、もう少し続報を知りたいところです。
    サイバー攻撃とは技術だけではなく、原始的手段(どっかの国のスパイが内部からサーバー操作)
    というのも考えられるからです。

    結局はとりあえず続報はやく(-_-;; ということでしょうね。

  3. >>結局はとりあえず続報はやく(-_-;; ということでしょうね。

    です。

    WSUSの方は恐らく薄いとは思いますが、完全に否定しきれる材料も無く、感染経路も犯人も決定打にいまいちかけている。まさに「続報マダー」みたいな気分です。

    Kasperskyなんかはサイバー戦争じゃなく目立つことを目標とした人たちが犯人なんじゃね?という立場を取っていますしね。私も過剰反応しすぎなのかもしれないなぁ、とは実はちょっと思ってはいます。
    http://blog.kaspersky.co.jp/cyberattack-against-south-korea/

    でもなんか違う気がするんですよね。ここのところ盾有利だったバランスが矛有利の世界に変わってきている印象を最近受けています。思い過ごしであれば何よりなんですが。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中