韓国を襲ったサイバー攻撃

韓国の企業ネットワークを狙ったサイバー攻撃。何が起こったのか、攻撃者は何者か、目的は何か?究明の取り組みが続いています。

韓国へのサイバー攻撃

先日来、韓国のさまざまなターゲットを狙ったサイバー攻撃が話題となっています。韓国内の放送局や銀行のネットワークがダウンし、長期間にわたってサービス停止を余儀なくされました。一方で、Webページ改ざんも起きています。攻撃元は誰なのか、背後にある目的は何なのか、究明するための取り組みが現在も進行中です。

この攻撃による大きな影響は、放送局や銀行のネットワークがマルウェアによって機能不全に陥ったことでした。韓国放送通信委員会の発表によると、当該組織内の被害は32,000台のコンピューターとサーバーに及びます。このネットワークダウンに関わったのはWiper系列のマルウェアであることが、Kaspersky Labを含めセキュリティ各社より指摘されています。

過去にWiperが中東の石油会社をターゲットに猛威を振るった事実は、同様の集団が韓国へのサイバー攻撃にも関わっている可能性を示唆するのかもしれません。または、この中東を狙った攻撃からヒントを拝借したハクティビストによる活動であるかもしれません。攻撃元の属性は明確になっておらず、ハクティビストによる示威行為である、国家が関与した攻撃である、などの推測が飛び交っています。

今回の攻撃では、マルウェアを使用してネットワークを運用するWindowsコンピューターのマスターブートレコードを上書きする、という極端な手法が使われました。FireEye社のリサーチャーによれば、このマルウェアは現地時間午後2時に起動するようにプログラムされており、起動すると感染先のWindowsのバージョンをチェックし、ハードディスク上のデータの破壊とセキュリティソフトウェア(特に、韓国のセキュリティ企業AhnLabのソフトウェア)の無効化を実行しました。

すべてのドライブを数え上げると、マルウェアはハードディスクのコンテンツを「PRINCPES」「HASTATI」といった文字列で書き換えたのち、強制的に再起動をかけ、再フォーマットしないかぎりコンピューターが使えなくなる状態にしたと考えられています。

AlienVault Labs社のダイレクターであるJaime Blasco氏は、次のように述べています。「最も先鋭的な考え方は、”攻撃者が自分たちの痕跡を消すためにシステムデータを消去した” というものでしょう。しかし、私の得た情報のかぎりでは、攻撃者たちは単に騒ぎを起こして企業の日常業務を混乱させたかっただけであって、その目的でシステムデータを一掃したのではないかと考えられます」

また、一部では、今回の攻撃が広範囲に及んだのは韓国の各企業におけるシステム運用方法に原因の一端があるのではないかとの推測もありますが、これを裏付けるような技術的痕跡は見られていません。

今回の攻撃では、Webページの改ざんも行われました。「Whois Team」を名乗る攻撃者集団が、改ざんしたWebページにさまざまなメッセージを残しています。

whoisteam-ハッキング

改ざんに使われたコードは匿名ユーザーによってフォーラム「pygments.org」(http://pygments.org/demo/68313/)に投稿されており、攻撃者が使用したいくつかのメールアドレスが示されています。

arrFadeTitles[0] = “APTM4st3r@whois.com”;
arrFadeTitles[1] = “dbM4st3r@whois.com”;
arrFadeTitles[2] = “d3sign3r@whois.com”;
arrFadeTitles[3] = “vacc1nm45t3r@whois.com”;
arrFadeTitles[4] = “r3cycl3r@whois.com”;
arrFadeTitles[5] = “s3ll3r@whois.com”;

被害を受けたいくつかのコンピューターのスクリーンショットからは、「Wiper」タイプのマルウェアが使用されていることが読み取れます。Kaspersky Lab では、以前 Wiper系のマルウェアについて、Iranian WiperShamoonに関するレポートを公開しています。

では、これは単独の事例なのか、それとも大規模なサイバー戦争活動の一環なのか?正直なところ、はっきりとはわかりません。もしもこれら攻撃の背後に国家がいないのであれば、サイバーテロと考えてよいでしょう。

サイバー戦争というからには、攻撃の背後に国家がいるはずです。たとえばStuxnetやWiperが絡んだ事件は、もっと目立たない形で何年にもわたって進められてきたサイバー戦争活動の一環でした。

しかし、放送局や銀行が被害者となった今回の攻撃は、明らかに「目立つ」ことを目的のひとつとしています。この点からみて、今回のケースは確固とした意志を持つ敵対者による攻撃というよりは、スキルの低いクラッカーか、名声を求めるハクティビストによるものではないかと考えることができます。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?