Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

専門家「被害組織のシステムは9カ月前に掌握されていた」 - 韓国320サイバーテロ

韓国において3月20日に発生した韓国の金融機関や放送局を狙ったサイバー攻撃について、韓SecureSoftのSniperCERTで所長を勤めるソン ドンシク氏は、現場で実際に解析を行った立場から解説を行った。被害が公表されている金融機関や放送局以外にも大手新聞社のシステムが掌握されていたことを明らかにした。

20130527_ss_001.jpg
ソン ドンシク氏

同氏は、韓国国家情報院(KCIA)のサイバーテロ諮問委員や、大統領選挙のサイバーテロ現場対応統括委員などを務めるセキュリティの専門家。約100名が所属するSniperCERTの所長を務めている。5月24日に都内で開催されたイベントに登壇し、これまで大きく報じられることがなかった韓国新聞社への攻撃も含め、詳細を明らかにした。

今回のサイバー攻撃は、農協をはじめとする金融機関3組織や、公共放送局であるKBSなど放送局3社で被害が発生。組織内の端末に対して、パッチマネジメントシステムにより不正プログラムを配布、マスターブートレコード(MBR)が破壊され、PCやサーバにくわえ、ATMが起動不能に陥った。韓国国内では、今回の攻撃を「320サイバーテロ」と呼んでいる。

復旧まで9日間を要し、金融機関における想定被害額は日本円にして数十億円。信用棄損にともなう損害は、その10倍にのぼるとの試算もある。

今回の攻撃を分析したSniperCERTでは、証跡に含まれていたIPアドレスや、過去に利用された悪性コードとの類似性、攻撃に用いられたプロクシサーバが同じことなど、複数の理由から北朝鮮偵察総局による「サイバーテロ」だと断定。システム破壊による混乱が目的だったと同氏は説明した。

同社が被害を受けた放送局について解析したところ、ヨーロッパのプロクシサーバ経由で攻撃を最初に受けたのは、破壊行為が実行に移される約9カ月前。不正プログラムの配布に用いたパッチマネジメントシステムは、2012年7月の時点ですでに掌握されていた。

今回攻撃を受けた放送局の侵入経路となったのは、記事を作成するために外部へ公開していたウェブサーバ。セキュリティ上問題があった同サーバを利用して組織内部のデータベースサーバにアクセスし、IDやパスワードなどアカウント情報を取得している。

セキュリティ対策が手薄で、DBサーバ経由で奪われたパスワードは暗号化されておらず、そのなかには、社内サーバ、パッチマネジメントシステムのアカウント情報も存在。攻撃者は正規ユーザーとしてログインし、動作確認など徹底した事前準備を繰り返していた。

実際に攻撃に用いられた不正プログラムは、改ざんされたショッピングモールサイト経由で、パッチマネジメントシステムにダウンロード。セキュリティ対策ソフトの振る舞い検知により事前に発見できたものの、削除されずにシステム内に残存、さらにセキュリティ対策ソフトのバージョンが古く、不正プログラムによって停止させられるなど、効果的な対応ができなかった。

その後、セキュリティ対策ソフトのアップデートファイルに見せかけて不正プログラムが配布され、内部ネットワークへ拡散。374台に感染が拡大したという。

さらに同氏は、今回報じられていないが、攻撃が発覚した銀行や放送局以外にも、韓国の大手新聞社3社が同様の攻撃対象となっていたことを明らかにした。

解析したパッチマネジメントサーバに残された不正ファイルのなかから、画像ファイルに偽造したPHPソースファイルを発見。外部DBサーバと接続するようプログラムされており、接続先を調べたところ、新聞社のDBサーバに接続するものだった。

同氏はこれら理由から、2012年7月の時点で、韓国の金融機関、放送局にくわえ、被害は発生していないものの新聞社など広く掌握されていたことが推定できるとまとめている。

同氏は、「攻撃者は、パッチマネジメントシステムの機能を完全に把握しており、1度も試行を行うことなく、攻撃に必要な3種類のファイルを削除していた」と攻撃者がシステムを熟知していた点に着目。破壊活動に特化しており、北朝鮮からの攻撃と気が付くきっかけになったと同氏は語っている。

また原因の一部として、公開されていたサーバの脆弱性対策が手薄だったことや、社内システムのセキュリティ対策が不足していたことを挙げ、こうした攻撃を防ぐためには、IPSや脆弱性診断の活用が必要だと訴えた。

(Security NEXT - 2013/05/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

米朝首脳会談の影響で韓国に対する攻撃が増加 - 周辺国関連組織が関与か
6割強が「個人情報の保護を怠る企業からは購入しない」
ルータ改ざん攻撃の誘導先不正アプリが進化 - iOS狙うフィッシング機能も
北朝鮮悪用のFlash脆弱性、広く悪用される状態に - 海外中心に攻撃が拡大、国内でも
ルータ改ざんで誘導された不正アプリ、狙いは「韓国」か - 2要素認証コードを詐取する機能も
ルータ侵害による不正アプリ配布、Facebookの次は「Chrome」を偽装
ルータのDNS改ざん攻撃、狙いはアジア圏? - 誘導元は韓国が最多
一部「無線LANルータ」でDNS設定の改ざん被害 - 誘導先でマルウェア配布
仮想通貨マイニングソフト狙うアクセスが増加 - アカウントリストを調査
盗難クレカ、流通量多い上位20カ国の平均相場は10.95ドル