20日突然飛び込んできた大きなニュース、韓国メディアと金融機関を一斉に狙ったサイバー攻撃。テレビ朝日系列メディアの報道では、侵入されたサーバーのウィルスからラテン語でローマ軍の戦術用語である「第一列兵」「第二列兵」 という言葉が見つかり、古代ローマでは「第三列兵」もいたことから、更なる攻撃を示唆 しているのではないかと、憶測が飛びかってますね。
日本国内では内閣府からの通達で、「サイバー攻撃を受けた痕跡はない」と既に通達がでておりますが、様々な報告文書では北朝鮮側が中国のサーバーを踏み台にし、特定韓国ネットワークのIDS(ネットワーク侵入検知システム)の機能を停止、あるいは制御不能にして次々と内部でウィルスを作成、増殖させたことが原因との見方も。韓国スポークスマンの発表では「ネットワークに侵入され、ウィルスを作成した痕跡がある」とつい先ほど報道もありました。
この種のサイバー攻撃は、今回のTVメディアの映像からも、OS(オペレーションシステム)起動前の、”MBR(マスターブートレコード)を読み込めない”という非常に最悪の状況がよくわかりますし、この場合、ハードウェア障害としてハードディスクの破壊を指すことになります。このあたりはアンラボとマカフィーの方で既に情報公開されており、同社WEBサイト上では対策用プログラムの提供がされていますね。感染したウィルスによってハードディスクにアクセスできなくなるんですから、サービス機能障害としては事態は深刻です。
攻撃は最近の銀行を狙った2011年から国際的に拡大し、被害がアメリカ国内で2000億円など甚大に及んでいるマルウェアを利用した標的型攻撃のようで、使われているWindowsサーバーのパッチ配布が元になって被害がネットワーク全体に及んだそうです。しかしながら韓国は2003年にも大量の海賊版Windowsw国内にばらまかれたことによる、SQL Serever2000などのデーターベースサーバーがウィルス攻撃をされており、複数のサーバーで一律にセキュリティ・パッチが当てられておらず、当時もネットワーク全体が攻撃者の手によって堕ちました。現在は国内かなりの数が正規版に置き換えられていますが、それでもこうしたマルウェアを利用した攻撃は、通常なんでもない一般家庭PCが起動し、ブラウザを開いてSNSを開始したタイミングを図ってそのコミュニティーに属する全体のネットワークから攻撃される手法もあるので、国内以外、今回のように中国側からであれば、クライアントレベルのウィルス感染における”踏み台”は現在でも生きているといえるかもしれません。
それに、Windows Server Update Services という、社内向けパッチ管理サーバー自体が未だに非正規導入のままだった場合(それが海賊版である可能性はありえる)、更新がそのままウィルス配布となり、本来の正規手順セキュリティ・パッチ処理に割り込み、アップデートからのダウンロードを阻害している可能性はあります。実はこのWindows Server Update Services という仕組みは、サードパーティ製のもの、つまりはマイクロソフト以外からの提供されるパッチをダウンロードすることができる機能があります。しかしそうした正規版からのダウンロードやそれ以外からの通信の安全性はどこも保証しないのでしょうか?
これは通信形式の違いによるものなんですが、完全な通信を暗号化する技術は、暗号化をする仕組みを持ったサーバーと、復号化するネットワークポイントの間ではVPNなどのようなアクセスポイント同士でリレーする回線であれば、ほぼ無傷で通信を届けることはできますが、SSLなどの単に暗号といっても送信パケットがサーバー証明書など、通信傍受としては”暗号化されたパケット”をすり替え可能な通信であれば、正規だろうが非正規だろうが、それはあまり攻撃者にとってはたいした防御とはいえません。現在では、PHPクロスサイトリクエストフォージェリなどような方法から発展し、リダイレクトによる悪質サイト誘導がブラウザ上のレイヤーで行われるため、それがSSLである証明を開示しても事実上無意味になりつつあります。しかもこの正規版パッチダウンロードに使用される通信は、この決して強固とは言い切れないSSLを使用した通信によるもの。
韓国側が「サーバー内で作成された」とコメントしているということから、ターゲット企業にあらかじめ標的型ウィルスが、国外の外部ネットワークから送り込まれたと見るのが濃厚のようです。マイクロソフトの更新だと信じ、偽のパッチを適用、使用し続けたわけですね。
今回攻撃を受けてシステムダウンした企業は、KBSテレビ、MBCテレビ、YTNテレビの放送局3局、新韓銀行。それぞれ業務システム、社内メールが受送信できない、PCが起動しないといった被害が報告されています。ただし、韓国政府の政府統合電算センターなどは被害はないと日経コンピューターの取材で明らかになっているところをみると、機密情報を目当てとしたというよりも、時期的なものから米韓合同演習のタイミングに合わせた、システム不能を目的とした北の攻撃と見るのもうなずけます。
また韓国のセキュリティー・ベンダーであるアンラボにおいては、クライアントOSとしてWindowsVISTAとWindows7においても物理ディスクとすべての論理ディスクが破壊されたとされ、20日の午後6時からそれぞれワクチンが無料提供されています。
冒頭で書いたとおり、MBR(マスターブートレコード)は、PC起動と同時に、マザーボードに付属するBIOSという小さなプログラムによって、接続されたデバイスを認識したあと、このMBRを探してオペレーションシステムが起動可能なハードディスクをさがすので、このMBRを破壊されるとハードディスクそのものからデーターを抜き出すことが不可能になります。ハードディスク自体は物理的にディスクは回転しているのですが、先頭から読むことができないので、ハードディスク自体をハードウェアとしてマウントできない状態に。家庭のPCであれば、壊れたハードディスクとして延々不明なデバイスドライバを検索し続け、最後はエラー。シマンテックなどのセキュリティー・ベンダーでは、Trojan Horse/Trojan.Jokra」と「WS.Reputation.1」 という2つのマルウェアによる、MBRの記憶領域にゴミデーターを、適当な文字列として MBRの先頭に書き込み、読み込めなくすることで事実上ハードディスクを破壊したものと分析しています。この時使われたのが、どうも先に出したラテン語の言葉だったのかもしれませんね。
このマルウェアは自己参照によって、セキュリティーソフトウェアの記憶領域を共有するオブジェクト生成が可能。セキュリティーソフトウェアの検知機能を役に立たなくさせることができます。つまり、セキュリティー・ベンダーの提供する更新情報に、マルウェアをクライアント側で登録するといったイメージでしょうか。この攻撃は中東から広く行われたオペレーション・ハイローラー攻撃手法で既に知られたものです。
またシマンテックの公式ブログによれば、銀行を襲った攻撃は、精巧な動画ページを正規サイト表示の上に透明別レイヤーとして表示させ、サイト攻撃者のメッセージと共に口座アクセスを妨害している間にトロイの木馬を仕掛けるといったMITB(メンインザブラウザー)攻撃と酷似。この際にダウンロードされたマルウェアはpasvc.exe と、clisvc.exe の2つのプロセスをセキュリティースフとウェアプロセスとして生成、MBRを上書きという手法が取り上げられています。そしてPCの電源を落とし、再度立ち上げるとマザーボードからの”起動用MBRがみつかりません。ハードディスクが壊れている可能性があります”というメッセージとともに、再起動を要求されるという悪夢が・・。
ただこの攻撃手法がある程度推測されているのですが、侵入方法などまだ詳しい事実解明にはしばらく時間がかかると見られています。
北朝鮮のハクティビズム(政治目的利用のハッカー活動)と言われてますが、朝鮮日報を閲覧した限りでは、北朝鮮は特に現時点で激しい反論は記載されてはいませんでした。(機関紙「民主朝鮮」 では自国もサイバー攻撃を受けたと主張)
また新たな報告書や情報を得たら、ここで記事にしたいと思います。
追記※3月21日時点で の情報によれば、韓国政府対策本部は22日、攻撃に用いられた不正プログラムが中国のIPアドレスから送られたとの発表を取り消し、国内農協内部パソコンからアクセスされたと訂正しました。国際機関公認の中国のIPアドレスと見分けがつきにくいアドレスだった模様です。農協のパソコンに対する不正アクセス経路は依然不明。
