Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

専門家「被害組織のシステムは9カ月前に掌握されていた」 - 韓国320サイバーテロ

韓国において3月20日に発生した韓国の金融機関や放送局を狙ったサイバー攻撃について、韓SecureSoftのSniperCERTで所長を勤めるソン ドンシク氏は、現場で実際に解析を行った立場から解説を行った。被害が公表されている金融機関や放送局以外にも大手新聞社のシステムが掌握されていたことを明らかにした。

20130527_ss_001.jpg
ソン ドンシク氏

同氏は、韓国国家情報院(KCIA)のサイバーテロ諮問委員や、大統領選挙のサイバーテロ現場対応統括委員などを務めるセキュリティの専門家。約100名が所属するSniperCERTの所長を務めている。5月24日に都内で開催されたイベントに登壇し、これまで大きく報じられることがなかった韓国新聞社への攻撃も含め、詳細を明らかにした。

今回のサイバー攻撃は、農協をはじめとする金融機関3組織や、公共放送局であるKBSなど放送局3社で被害が発生。組織内の端末に対して、パッチマネジメントシステムにより不正プログラムを配布、マスターブートレコード(MBR)が破壊され、PCやサーバにくわえ、ATMが起動不能に陥った。韓国国内では、今回の攻撃を「320サイバーテロ」と呼んでいる。

復旧まで9日間を要し、金融機関における想定被害額は日本円にして数十億円。信用棄損にともなう損害は、その10倍にのぼるとの試算もある。

今回の攻撃を分析したSniperCERTでは、証跡に含まれていたIPアドレスや、過去に利用された悪性コードとの類似性、攻撃に用いられたプロクシサーバが同じことなど、複数の理由から北朝鮮偵察総局による「サイバーテロ」だと断定。システム破壊による混乱が目的だったと同氏は説明した。

同社が被害を受けた放送局について解析したところ、ヨーロッパのプロクシサーバ経由で攻撃を最初に受けたのは、破壊行為が実行に移される約9カ月前。不正プログラムの配布に用いたパッチマネジメントシステムは、2012年7月の時点ですでに掌握されていた。

今回攻撃を受けた放送局の侵入経路となったのは、記事を作成するために外部へ公開していたウェブサーバ。セキュリティ上問題があった同サーバを利用して組織内部のデータベースサーバにアクセスし、IDやパスワードなどアカウント情報を取得している。

セキュリティ対策が手薄で、DBサーバ経由で奪われたパスワードは暗号化されておらず、そのなかには、社内サーバ、パッチマネジメントシステムのアカウント情報も存在。攻撃者は正規ユーザーとしてログインし、動作確認など徹底した事前準備を繰り返していた。

実際に攻撃に用いられた不正プログラムは、改ざんされたショッピングモールサイト経由で、パッチマネジメントシステムにダウンロード。セキュリティ対策ソフトの振る舞い検知により事前に発見できたものの、削除されずにシステム内に残存、さらにセキュリティ対策ソフトのバージョンが古く、不正プログラムによって停止させられるなど、効果的な対応ができなかった。

その後、セキュリティ対策ソフトのアップデートファイルに見せかけて不正プログラムが配布され、内部ネットワークへ拡散。374台に感染が拡大したという。

さらに同氏は、今回報じられていないが、攻撃が発覚した銀行や放送局以外にも、韓国の大手新聞社3社が同様の攻撃対象となっていたことを明らかにした。

解析したパッチマネジメントサーバに残された不正ファイルのなかから、画像ファイルに偽造したPHPソースファイルを発見。外部DBサーバと接続するようプログラムされており、接続先を調べたところ、新聞社のDBサーバに接続するものだった。

同氏はこれら理由から、2012年7月の時点で、韓国の金融機関、放送局にくわえ、被害は発生していないものの新聞社など広く掌握されていたことが推定できるとまとめている。

同氏は、「攻撃者は、パッチマネジメントシステムの機能を完全に把握しており、1度も試行を行うことなく、攻撃に必要な3種類のファイルを削除していた」と攻撃者がシステムを熟知していた点に着目。破壊活動に特化しており、北朝鮮からの攻撃と気が付くきっかけになったと同氏は語っている。

また原因の一部として、公開されていたサーバの脆弱性対策が手薄だったことや、社内システムのセキュリティ対策が不足していたことを挙げ、こうした攻撃を防ぐためには、IPSや脆弱性診断の活用が必要だと訴えた。

(Security NEXT - 2013/05/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「SECCON 2017」予選、上位100チームを発表
Trend Micro CTF 2017、エジプトチームが優勝
2017年上半期の情報開示請求は1614件、65%に対応 - LINE
攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 - 関連ツールが共通のC2サーバを利用
5358番ポートへのアクセスが増加、「Mirai」と異なるIoTボットネットか
SECCON 2016決勝、存在感見せつけたアジア勢
標的型攻撃メールが約6分の1に - 正規証明書でコード署名されていたケースも
「ランサムウェア」の認知度、3割満たず - マカフィー調査
ネットバンキング狙うマルウェア、前四半期比4倍に - 過去最悪
「Trend Micro CTF 2016」、台湾チームが優勝