なんか沈静化してきた印象がありますが、まだ非正規Windows説が微妙に生き残っている感じがしますね。
最初の報告で「誤解ないしデマ(の可能性が高いもの」として紹介したものですが、どうも問題となった中国のIPアドレスがmsn.comのドメイン名を使用しているようで、それが根拠となっているようです。
追加でこの辺りを少し追ってみました。
1.問題のIPアドレス
最初に中国国内のIPアドレスと報じられ、その後内部のプライベートアドレス空間だったと報道された問題のIPアドレスいは”101.106.25.105″です。
このIPアドレスで素直にぐぐって情報を軽く漁って見ましょう。このページによると確かに中国国内で”1695750.r.msn.com”という逆引きレコードをもっているみたいですね。
これを根拠としてこのサーバーは不正Windowsにパッチを提供するサーバである、という話が出てきているようです。
2.WSUSはこのドメインを見に行くのか?
Microsoftのページを探してみましょう。こんな情報が転がっていました。
手順 3 : WSUS 3.0 のネットワーク接続を構成する
このページはWSUSサーバを設定するときの手順で、WSUSサーバーが通信するWindows Updateサーバのリストが載っています。上記ページをみればわかりますが、こんな感じです。
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- http://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
msn.comなんかにアクセスしないよ?
3.じゃあなんでr.msn.comとかの逆引き設定しているのか
知りません。誰か知っていたら教えて欲しいです。しかし、WSUSのアップデートサーバだと考えるのはおかしいですよね。だってWSUSはmsn.comなんぞにアクセスしない。
4.じゃあ真相はなんなんだよ
やっぱりメールを基点とするAPT攻撃と解釈するのが妥当だと思いますよ。WSUSの線はそれを支持する根拠がまるで出てきていません。msn.comだった説も上で説明したように無関係です。
4.何を理解すべきか
4.1.今回の攻撃はなんだったのか?
まず、相手が韓国だからと言って勝手にセキュリティ意識が薄いに違いない、とか割れOS使っていたに違いない、とか侮るのは止めておいたほうがいいと思います。SQLSlammerの件とか見ていると、非正規OSが一杯存在しているのは事実のようですが、今回の件をそちらの方向で軽く考えると判断を誤ると思います。
これは明確な破壊の意図を持った攻撃です。大規模な悪戯である可能性は犯行声明も出てこない現状、ますます低くなっています。
- きちんとアンチウイルスを導入してそれなりの対応をしていたはずの組織が
- なすすべもなく潰されてシステム壊滅状態に陥った
という所に恐怖を覚えるべきじゃないでしょうか。
4.2.過去のセキュリティの基本対策の考え方の崩壊
これまでの基本的なネットワークセキュリティ対策の基本的な考え方は下記のようなものだと思います。
- 余計なサービスを止める
- FireWallの開放を最小限に設定
- セキュリティパッチをきちんと適用
- アンチウイルスをちゃんと入れておく
基本的にはこれだけやっていれば、まぁ、普通は問題ないよね?という世界がこれまでの一般的な認識だと思います。
しかしAPT攻撃はこの程度の防御を乗り越えてくる。今回の事件は、この程度の一般的な対策のレベルでは対応できない脅威があり、それはもう目の前にある、という事を明確に示した事件だと思っています。
4.3.普通のIT技術者が立っている場所
Mandiant報告書はサイバースパイ大作戦を中国が展開していることを示し、今回の事件は恐らく北朝鮮(断定は出来ない)がサイバーテロとしてAPTを利用可能であることを示しました。
ここにある構造は“軍事レベル技術 vs そこらの民間技術者”という構図です。
もう我々は既に戦場に立っています。自分たちでも気がつかないうちに立たされています。前から警告は一杯出ていたというのに。
戦場でぼさっと立って、撃たれた仲間を間抜け呼ばわりして笑っている場合じゃないと思いますよ。やられるのであれば、せめて勝てないまでも戦ってからやられたい。わけわからないうちに潰されるのはごめんです。