3月20日韓国において、大規模なサイバー攻撃が行われた。この攻撃では、次の施設が攻撃対象となった。

・金融機関(新韓銀行、済州銀行、農協系列銀行)
・保険会社
・放送局(KBS、MBC、YTN)

金融機関では、ATMが2時間にわたり停止した。放送局では、1万台以上のPCが動作しなくなった。また、別の商業銀行に対しては、DDoS攻撃も確認されたという。ISPのWebサイトも改ざんされ、ドクロのアニメーションなどが表示されたりとセキュリティソフト各社からもレポートが発表されている。

サイバー攻撃の手口は

今回のサイバー攻撃であるが、非常に多岐にしかも数多くのPCやサーバーに対し被害が及んだ。セキュリティ対策ソフト会社などでは、独自の分析を進めているが、まだ、その全貌を解明するには至っていない。特に、攻撃者が誰かという点については、一度、中国からという情報が流れたが、間違いであったことが判明した(韓国国内のPCが踏み台にされた模様)。

さて、もっとも注目したいのは、1万以上のPCが感染し、動作しなくなった点である。まず、この手口をみてみたい。攻撃者は、何らかの方法を使い、社内のアプリケーションとそのバージョンなどを管理するサーバーに不正プログラムを侵入させた。韓国インターネット振興院(KISA)の21日の発表では、セキュリティ対策ソフトの更新プログラムを配信するサーバーであったとの指摘もある。実際に、不正プログラムは、pasvc.exeとclisvc.exeという2つのプロセスを停止するが、この2つのプロセスは、セキュリティ対策ソフトで使われているものだ。

さて、こうして集中管理サーバーに侵入した不正プログラムは、その組織に接続される多くのPCに容易に不正プログラムを送り込むことが可能となる。その不正プログラムの動作であるが、非常に単純な動作をする。

  1. pasvc.exeとclisvc.exeのプロセスを停止
  2. すべてのHDDのMBRを書き換える
  3. shutdownコマンドでPCを再起動する

MBRは、マスターブートレコードといい、PCが起動する際に最初に読み込まれる部分である。そこが、意味不明な文字列(PRINCPESまたはHASTATI.)に書き換えられる、つまりは起動不能な状態となる。また、Vista以降のPCでは、HDDの全消去といったことも行われた。

図1 書き換えられたMBR(トレンドマイクロのブログより)

そして、この不正プログラムは、2013年3月20日のPM14:00となるまでスリープし続ける

もう1つの標的はLinuxなどのサーバー

さて、こうして多数のPCに侵入することに成功した不正プログラムは、組織内のLinuxサーバーなどを探す。そして、具体的には以下のような活動を行う

・Linuxサーバーの/kernel、/user、/homeディレクトリ以下を削除
・HP-UX、AIXサーバーなどのMBRを書き換える

図2 この攻撃で使われたwiperスクリプト(シマンテックのブログより)

UNIX系のOSでは、/kernelディレクトリに主要なファイルが配置される(Windowsならば、Windowsフォルダに相当する)。同じように、/userディレクトリにはアプリケーションのファイル(Windowsでは、Program Filesフォルダに相当)、/userディレクトリにはユーザーのデータ(WindowsではUserフォルダ以下に相当)が、削除されるのである。当然のことながら、サーバーの機能は停止する。後者は、PC同様にshutdownコマンドで、起動不能となる。

図2でOSのタイプで分岐し、それぞれddforxxxなっているが、ddコマンドを使ってMBRの書き換えなどを行っていると思われる。

同時発生が被害を甚大に

今回の被害を拡大させた理由の1つは、同時発生であろう。PC、サーバーが同時に停止することで、保守なども非常に困難になったと推察される。普通、サーバーなどに障害が発生した場合、リモートからログインして原因究明を行う。今回、PCも同時に使用不能となったため、その原因究明が遅れたと思われる。

このように、一定の日時に活動を開始するウイルスは、これまでも数多く存在した。12月25日にメッセージを出すJapanese Christmas、1992年3月6日に発動するMichelangelo、4月26日に発動するチェルノブイリなどが有名である。今回のサイバー攻撃と類似しているのが、Michelangeloである。Michelangeloは、その名の通りミケランジェロの誕生日の(1475年)3月6日に由来したものだ。活動も酷似している。Michelangeloは、PC内部のデータの上書きや削除を行う。ウイルスによる実際の被害が、初めて認識されたものでもある。そんな過去の事例を彷彿とさせるのも特徴といえるだろう。

破壊活動だけが目的

セキュリティ対策会社の分析によると、この不正プログラムについて、以下の共通項が浮かび上がる。

・さらに不正プログラムをダウンロードしない
・レジストリなどの改ざんは行わない
・外部のサーバーと通信をしない

現在、攻撃の多くは最初は侵入だけを行い、セキュリティ対策ソフトを無効にし、さらに情報収集を行うウイルスや情報を漏えいするためのウイルスをダウンロードする。今回は、そういった行為を一切行わず、自身も外部のサーバーと連絡を取らない。まさに、破壊活動のみが目的であることがうかがえる。さらに、攻撃対象が、金融機関や放送局など被害が発生すると、目立つ組織を狙っていた。これらにより、政治的なハクティビズムが疑われるのも当然といえるだろう。

また、MBRの書き換えなどを行うが、破壊活動は非常に限定的である。また、MBRの書き換え自体も、決して不正な活動とはいいきれない部分もある。抜け道を作った外部との通信からみれば、脅威としての疑念は低い。このあたりもふるまい検知やヒューリスティックなどで、検知されにくかったのではないかと思われる。

対策は?

さて、まだどこからの攻撃で、どうような攻撃意図をが明らかになっていないので、完全な対策には、十分対応しきれない部分もある。しかし、セキュリティ対策ソフト会社では、この不正プログラムをウイルス定義ファイルにすでに登録済みとのことである。ふたたび、同じ不正プログラムの大量感染の危険性は低くなったといえる。 トレンドマイクロの分析によれば、集中管理サーバーへの侵入のきっかけとなったのは、

  1. 不正プログラムを添付したメールを送信
  2. 添付ファイルを実行し、感染
  3. 不正なサイトに誘導され、さらに不正プログラムに感染

このような手段で、サーバーの情報を入手したと推測されるとのことだ。この手口であるが、最近、流行する標的型攻撃でも使われるもので、これまでも幾度となく悪用されてきたものだ。これだけの被害がありながら、やはり「不審なメールの添付ファイルは開かない」というごくあたりまえの対策となってしまう。

本来は、セキュリティ上、強固といわれる金融機関が、このような被害を受けたことを重く受け取らねばならないだろう。従来のセキュリティ対策だけでは、完全とはいえないことを知らしめる事件となった。今後の分析や情報があれば、またレポートしたい。