そして、ソン・ドンシク氏は、ある放送局を例に、攻撃フローを解説した。

「韓国320サイバーテロ」では、発生日の約1年前からヨーロッパのプロキシサーバを経由して、脆弱性を利用して内部のコンピュータへの侵入を図り、テロ前日の3月19日にパッチマネージメントサーバ(PMS)を乗っ取った。そして、PMSのパッチのアップデートに必要な3つのファイルを削除し、外部の商用サーバからPMS内に悪性コードをダウンロードしたという。この悪性コードは、PMSのアンチウィルスソフトでは検知されなかったという。

その後、Taskkillコマンドで、PMSのアンチウィルスソフトを強制終了。ソン・ドンシク氏は、通常はTaskkillコマンドではアンチウィルスソフトを強制終了できないが、ここで利用されていたアンチウィルスソフトのバージョンには脆弱性があったため、強制終了させられてしまったのだと指摘する。

そして、PMS上でアンチウイルスのアップデートファイルとして偽装した悪性コードが、社内のPCやサーバにダウンロードされ、被害が広がっていったという。この放送局では最終的に374台のPCやサーバに感染した。

「韓国320サイバーテロ」の攻撃の流れ①

「韓国320サイバーテロ」の攻撃の流れ②

各PCにダウンロードされた悪性コードは14時まで待機。その後、マスターブートレコード(MBR)を書き換え、Shutdownコマンドで強制終了。MBRが書き換えられているため、OSを見つけることができずPCは再起動できなくなった。

各PCではマスターブートレコード(MBR)を書き換えられ、Shutdownコマンドで強制終了

OSを見つけることができずPCは再起動できず

PMSを乗っ取るにあたっては、まず、外部に公開されている記事作成サーバへの侵入をAPT攻撃により試み、「韓国320サイバーテロ」の9カ月前には記事作成サーバを乗っ取っていたという。このサーバを起点に社内のDBサーバにアクセスし、ID、パスワードなどがある社内のアカウント情報を取得。このデータは暗号化されておらず、パスワードもプレーンテキストのままで、セキュリティ上問題があったという。

攻撃者は侵入する際、外部にに公開された記事作成サーバを利用

続いて、取得したアカウント情報を使って、正規ユーザーとしてPMSサーバにアクセス。正規ユーザーであるため、ログに記載されなかったという。

このことから、攻撃者は「韓国320サイバーテロ」の9カ月前には各種サーバを乗っ取り、いつでも攻撃できる準備を整えていたという。

なお、ソン・ドンシク氏によれば、今回被害を受けなかった韓国の大手新聞社3社も、い つでも攻撃できる状況になっていたという。

「韓国320サイバーテロ」から得た3つの教訓

同氏は、「韓国320サイバーテロ」を振り返り、教訓として3つの点を指摘した。

1つ目は、公開サーバの脆弱性管理が不十分であったので、IPSやネットワーク製品を活用し、必要に応じて脆弱性診断を受ける必要があること。

2つ目は、エンドポイントセキュリティが不十分であったため、アンチウィルスソフトやパターンファイルの設定を常に最新の状況に保つこと。

そして3つ目は、社内システムのセキュリティ対策が不十分だったので、社内システムでも、公開サーバと同じレベルのセキュリティ対策を行うことが必要だという。

「韓国320サイバーテロ」から得た教訓