韓のサイバー被害、海賊版OSの仕業とか [IT攻防]
(感想) IPアドレスが中国、でも、中国は反論せず。
韓国のレベルを観察しているだけ。
「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」
下に転載したこの記事が、正解だろう。
国ぐるみでライセンス料金踏み倒した結果だ。
参照: 「米MS、韓国政府にソフト使用料求める」
軍のシステムも危ない・・・・。
サイバー攻撃のIPアドレスは「国内」 韓国政府が訂正
産経新聞 2013年03月22日19時25分
http://news.livedoor.com/article/detail/7524735/
【ソウル=加藤達也】韓国の放送局や銀行などが狙われたサイバー攻撃で、韓国政府対策本部は22日、攻撃に用いられた不正プログラムが中国のIPアドレスから送られたとの発表を取り消し、農協内部のパソコンから送られていたと訂正した。
対策本部は農協で使用されているIPアドレスが、国際機関公認の中国のIPアドレスと完全に一致していたたため誤認したという。攻撃元は不明だが、プログラムの侵入経路は海外とみられるとしており、農協のパソコンが外部からハッキングされ、サーバーに接続した可能性がある。対策本部は発信源などの捜査には半年以上かかるとの見通しを示した。
サイバー攻撃 韓国「北朝鮮を疑う」
3月22日 4時53分
http://www3.nhk.or.jp/news/html/20130322/t10013370831000.html
韓国の主なテレビ局などがサイバー攻撃を受けて社内のコンピューターが一斉に使えなくなった事件で、韓国大統領府の高官は「北朝鮮によるものと強く疑っている」と述べ、北朝鮮の犯行の可能性があるとみて調査を続けていますが、実態の解明には数か月はかかるという見方も出ています。
この事件は、20日午後、韓国のKBSなど3つのテレビ局と金融機関で、パソコンのウイルス対策ソフトなどを管理するサーバーに中国国内のIPアドレスからウイルスが送り込まれ、パソコンやサーバーなど合わせて3万2000台余りが一斉に使えなくなったものです。
韓国ではこれまで北朝鮮によるサイバー攻撃をたびたび受けてきたほか、北朝鮮は先週、サイバー攻撃を受けたと主張し、韓国などに対して報復をすると警告していました。
韓国大統領府の高官は21日、今回のサイバー攻撃について、「北朝鮮によるものと強く疑っている」と述べ、北朝鮮による犯行の可能性があるという見方を示しました。一方、今回の攻撃について、韓国のIT業界や専門家の間では、複数の会社をほぼ同じ時刻に攻撃して一度に3万台余りのパソコンに被害を及ぼしたことなどから、これまで受けたサイバー攻撃よりも高度な技術が使われたという分析が出ており、実態の解明には数か月はかかるという見方も出ています。
韓国 同一組織によるサイバー攻撃か
3月21日 19時13分
http://www3.nhk.or.jp/news/html/20130321/k10013363231000.html
韓国の主なテレビ局などで社内のコンピューターが一斉に使えなくなり、サイバー攻撃を受けたとみられる事件で、攻撃の方法がいずれもよく似ていることから、韓国政府の対策チームは、一連の攻撃は同一の組織によって行われたとみて調査を続けています。
韓国のKBSなど3つの主なテレビ局と大手銀行など3つの金融機関では、20日午後、情報システムの障害が発生し、社内のネットワークに接続していたパソコンやサーバーなど合わせて3万2000台余りが一斉に使えなくなりました。
このうち、KBSでは、番組の放送には影響はないものの、ホームページが見られないほか、職員が使っていたパソコンも多くは使えないままだということで、臨時のノート型パソコンを貸し出して対応しています。
韓国政府のこれまでの調べによりますと、今回の被害は、パソコンのウイルス対策ソフトなどを管理している各社のサーバーに中国国内のIPアドレスからウイルスが送り込まれ、このウイルスによってパソコンなどのハードディスクが作動しなくなったとみられています。
ウイルスについて、韓国のIT業界や専門家の間では、時限爆弾のようにあらかじめ設定された時間に攻撃を開始するタイプである可能性が高いという見方が広がっています。
このように攻撃の手口がよく似ていることから、韓国政府は、一連のサイバー攻撃は同一の組織によるものと判断し、過去の事件と同様に、北朝鮮が中国を経由してサイバー攻撃を仕掛けた可能性も含め調査を続けています。
■ サイバー攻撃は5年間で7万件
韓国の情報機関の国家情報院によりますと、去年までの5年間に韓国で起きたサイバー攻撃による被害は、公共機関だけでも7万件余りに上っています。
このうち、2009年7月には、政府機関のホームページに大量のデータが送りつけられて一時機能が停止したほか、おととし3月にも大統領府などのウェブサイトが同じ手口の攻撃を受けてアクセスしにくくなる事件が起き、韓国の警察はデータの発信元はいずれも中国にある北朝鮮の政府機関だったとしています。
韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
2013/03/21 片山 昌樹
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/?ST=security
3月20日に韓国で発生した大規模サイバー攻撃(関連記事1、関連記事2)。同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。
筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。
まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。
■ 非正規ライセンスのWindowsサーバーが残ったままか
だが、それはあくまでクライアントレベルであり、Windows Server Update Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。実際にファイルの提供そのものはAkamaiのネットワークを経由している。
そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。
片山 昌樹
某社セキュリティ対策チームに所属。日頃よりウィルス解析及び各種インシデント対策の研究に従事。研究結果において、危険なものについては、判明した時点で、FacebookやTwiter、各種報道機関に対してアラートを出す日々が続いている。過去、日経BP社の雑誌やムック、IPAなどへの寄稿多数。
WindowsだけでなくLinuxやSolarisもターゲット:
韓国サイバー攻撃に使われたマルウェア、MBRを上書きし起動不能に
» 2013年03月21日 16時15分 更新
http://www.atmarkit.co.jp/ait/articles/1303/21/news095.html
韓国で3月20日、放送局や金融機関のPCがマルウェアに感染してコンピュータシステムが一斉にダウンした件に関連し、KISAは3月21日、専用の駆除ツールを開発し、配布を開始した。 [高橋睦美,@IT]
韓国で3月20日、放送局や金融機関のPCがマルウェアに感染してコンピュータシステムが一斉にダウンした件に関連し、韓国インターネット振興院(KISA)は3月21日、専用の駆除ツールを開発し、配布を開始した。またセキュリティ企業も、原因となったマルウェアについての情報を公開し始めている。
この事件は2013年3月20日14時過ぎに発生した。KBSやMBC、YTNといった放送局と新韓銀行などの金融機関でコンピュータネットワークがダウンし、ATMが使えなくなるなど、業務に支障が生じた。韓国政府の放送通信委員会ではこれを受け、官民軍合同の対策チームを立ち上げ、対策と攻撃元の調査に当たっている。
KISAによると、被害に遭った機関から収集したマルウェアは、2013年3月20日14時に動作するようスケジュールされていた。この結果、複数のPC/サーバのシステムブート領域(Master Boot Record:MBR)が破壊され、システムのダウンにつながったと見られる。
アンラボのレポートによれば、このマルウェアは、バックドア経由でほかのマルウェアをダウンロードさせる「ドロッパ」と複数のファイル破壊型マルウェアで構成されており、Windowsシステムだけでなく、SolarisやAIX、HP-UX、およびLinuxのシステムをターゲットにした破壊コードも含まれていた。またシマンテックによれば、マルウェアは韓国のウイルス対策/セキュリティ製品が利用する「pasvc.exe」「clisvc.exe」というプロセスも停止させるという。
ドロッパがダウンロードしたマルウェアの中には、Windows XPやWindows 2003 Server、Windows VistaといったWindows系のOSをターゲットに、MBRやVBRなどのブート領域と論理ドライブを「PRINCPES」「HASTATI」といった無意味な文字列で上書きしてしまうマルウェアと、リモートのUNIX系OSをターゲットにddコマンドでディスクの内容を「0」で上書きしたり、Linuxの/kernelや/usr、/etc、/home以下の領域を削除してしまうマルウェアが含まれていた。
KISAによるとマルウェアは、パッチ配布のための「更新管理サーバ」(Patch Management System)を介して流通したという。また、被害に遭った農協のシステムを分析した結果、更新管理サーバに接続し、悪意あるファイルを作成したアクセス元は、中国のIPアドレス(101.106.25.105)だったことも確認したという。
サイバー攻撃、韓国「北朝鮮犯行の疑い」 中国を経由
聯合ニュース伝える
2013/3/21 12:29 記事保存
http://www.nikkei.com/article/DGXNASGM2102Q_R20C13A3EB1000/
【ソウル=尾島島雄】韓国の放送局や銀行のサーバーが一斉にダウンした事件で、韓国大統領府高官は21日、「北朝鮮の犯行との強い疑いを持ち、すべての可能性について綿密に追跡、分析している」と述べた。聯合ニュースが伝えた。一方、韓国政府の対策本部は不正プログラムが中国内のIPアドレスを経由していたことを突き止めた。
サイバー攻撃が原因とみられるトラブルは20日午後2時ごろに発生。KBSテレビ、MBCテレビ、YTNテレビ、新韓銀行などで一斉に異常が検知された。
政府機関である放送通信委員会の発表によると放送局・金融機関の計6社でパソコンとサーバーを合わせ3万2千台が被害を受けた。政府が設置した「民・官・軍合同対応チーム」は6社が同一の組織から攻撃を受けたと判断。各社の管理用サーバーがハッキングされ、内部のパソコンに被害を及ぼしたという。
農協のシステムを分析した結果、中国のIPアドレスを経由してサーバーにアクセスしていたことが判明した。韓国政府は被害を食い止めるためのワクチンの無料配布を始めると同時に、北朝鮮の関与について引き続き調査を進めている。
被害を受けた6社は20日、ただちに復旧作業に着手し、金融機関は2時間ほどで正常化。放送局も21日朝までに主立った社内ネットワークが稼働し始めた。ウイルスに感染したとみられる端末は使用できない状態が続いている。
韓国放送局などサーバーダウン、北朝鮮関与を調査
2013/3/20 22:43 (2013/3/21 0:51更新) 記事保存
http://www.nikkei.com/article/DGXNASGM2004N_Q3A320C1FF2000/
【ソウル=小倉健太郎】韓国で20日、放送局や銀行などでサーバーが一斉にダウンした。ハッキングにより不正プログラムが仕掛けられたとみられ、放送は続けたが銀行では一時、ATMが使えなくなるなど業務に支障が出た。韓国政府はサイバー攻撃とみて北朝鮮の関与の有無などを調べている。
午後2時すぎ、KBSテレビ、MBCテレビ、YTNテレビ、新韓銀行などで一斉に異常が発生した。放送局ではパソコン数百~数千台が起動できない状態になった。新韓銀行では窓口業務やインターネットバンキングでも遅延などの障害が起きた。
聯合ニュースによると新韓銀行のシステムは約2時間で正常化したが、放送各社の障害は深夜まで続いているという。
韓国政府は官民軍の合同組織「サイバー危機対策本部」を設置し、状況把握や原因究明を進めている。これまでの調査では不正プログラムにより異常が発生したとみているが詳細は不明。異常が発生した放送局などはいずれも同一企業の通信システムを使用しているというがトラブルとの因果関係は分かっていない。
韓国など関係国への挑発を強めている北朝鮮との関連について国防省は「現時点では把握できていない」としている。政府はサイバー危機に関する警報として5段階中3番目に相当する「注意」を発令。通常の3倍以上の人員を配置して追加的な異常がないかなどの監視を強めている。2011年に金正日総書記が死去した際も「注意」を発令した。国防省も同日、情報作戦の防護態勢のレベルを1段階引き上げた。
北朝鮮はこれまで何度も韓国をサイバー攻撃したと韓国政府はみている。11年3月には国防省や在韓米軍、国会などのインターネットサイトが攻撃され、民間サイトでは接続障害も発生した。12年6月には中央日報の新聞製作サーバーがハッキングされ一部のデータが削除された。
韓国のレベルを観察しているだけ。
「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」
下に転載したこの記事が、正解だろう。
国ぐるみでライセンス料金踏み倒した結果だ。
参照: 「米MS、韓国政府にソフト使用料求める」
軍のシステムも危ない・・・・。
サイバー攻撃のIPアドレスは「国内」 韓国政府が訂正
産経新聞 2013年03月22日19時25分
http://news.livedoor.com/article/detail/7524735/
【ソウル=加藤達也】韓国の放送局や銀行などが狙われたサイバー攻撃で、韓国政府対策本部は22日、攻撃に用いられた不正プログラムが中国のIPアドレスから送られたとの発表を取り消し、農協内部のパソコンから送られていたと訂正した。
対策本部は農協で使用されているIPアドレスが、国際機関公認の中国のIPアドレスと完全に一致していたたため誤認したという。攻撃元は不明だが、プログラムの侵入経路は海外とみられるとしており、農協のパソコンが外部からハッキングされ、サーバーに接続した可能性がある。対策本部は発信源などの捜査には半年以上かかるとの見通しを示した。
◇ ◇ ◇ ◇ ◇
サイバー攻撃 韓国「北朝鮮を疑う」
3月22日 4時53分
http://www3.nhk.or.jp/news/html/20130322/t10013370831000.html
韓国の主なテレビ局などがサイバー攻撃を受けて社内のコンピューターが一斉に使えなくなった事件で、韓国大統領府の高官は「北朝鮮によるものと強く疑っている」と述べ、北朝鮮の犯行の可能性があるとみて調査を続けていますが、実態の解明には数か月はかかるという見方も出ています。
この事件は、20日午後、韓国のKBSなど3つのテレビ局と金融機関で、パソコンのウイルス対策ソフトなどを管理するサーバーに中国国内のIPアドレスからウイルスが送り込まれ、パソコンやサーバーなど合わせて3万2000台余りが一斉に使えなくなったものです。
韓国ではこれまで北朝鮮によるサイバー攻撃をたびたび受けてきたほか、北朝鮮は先週、サイバー攻撃を受けたと主張し、韓国などに対して報復をすると警告していました。
韓国大統領府の高官は21日、今回のサイバー攻撃について、「北朝鮮によるものと強く疑っている」と述べ、北朝鮮による犯行の可能性があるという見方を示しました。一方、今回の攻撃について、韓国のIT業界や専門家の間では、複数の会社をほぼ同じ時刻に攻撃して一度に3万台余りのパソコンに被害を及ぼしたことなどから、これまで受けたサイバー攻撃よりも高度な技術が使われたという分析が出ており、実態の解明には数か月はかかるという見方も出ています。
◇ ◇ ◇ ◇ ◇
韓国 同一組織によるサイバー攻撃か
3月21日 19時13分
http://www3.nhk.or.jp/news/html/20130321/k10013363231000.html
韓国の主なテレビ局などで社内のコンピューターが一斉に使えなくなり、サイバー攻撃を受けたとみられる事件で、攻撃の方法がいずれもよく似ていることから、韓国政府の対策チームは、一連の攻撃は同一の組織によって行われたとみて調査を続けています。
韓国のKBSなど3つの主なテレビ局と大手銀行など3つの金融機関では、20日午後、情報システムの障害が発生し、社内のネットワークに接続していたパソコンやサーバーなど合わせて3万2000台余りが一斉に使えなくなりました。
このうち、KBSでは、番組の放送には影響はないものの、ホームページが見られないほか、職員が使っていたパソコンも多くは使えないままだということで、臨時のノート型パソコンを貸し出して対応しています。
韓国政府のこれまでの調べによりますと、今回の被害は、パソコンのウイルス対策ソフトなどを管理している各社のサーバーに中国国内のIPアドレスからウイルスが送り込まれ、このウイルスによってパソコンなどのハードディスクが作動しなくなったとみられています。
ウイルスについて、韓国のIT業界や専門家の間では、時限爆弾のようにあらかじめ設定された時間に攻撃を開始するタイプである可能性が高いという見方が広がっています。
このように攻撃の手口がよく似ていることから、韓国政府は、一連のサイバー攻撃は同一の組織によるものと判断し、過去の事件と同様に、北朝鮮が中国を経由してサイバー攻撃を仕掛けた可能性も含め調査を続けています。
■ サイバー攻撃は5年間で7万件
韓国の情報機関の国家情報院によりますと、去年までの5年間に韓国で起きたサイバー攻撃による被害は、公共機関だけでも7万件余りに上っています。
このうち、2009年7月には、政府機関のホームページに大量のデータが送りつけられて一時機能が停止したほか、おととし3月にも大統領府などのウェブサイトが同じ手口の攻撃を受けてアクセスしにくくなる事件が起き、韓国の警察はデータの発信元はいずれも中国にある北朝鮮の政府機関だったとしています。
◇ ◇ ◇ ◇ ◇
韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
2013/03/21 片山 昌樹
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/?ST=security
3月20日に韓国で発生した大規模サイバー攻撃(関連記事1、関連記事2)。同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。
筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。
まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。
■ 非正規ライセンスのWindowsサーバーが残ったままか
だが、それはあくまでクライアントレベルであり、Windows Server Update Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。実際にファイルの提供そのものはAkamaiのネットワークを経由している。
そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。
片山 昌樹
某社セキュリティ対策チームに所属。日頃よりウィルス解析及び各種インシデント対策の研究に従事。研究結果において、危険なものについては、判明した時点で、FacebookやTwiter、各種報道機関に対してアラートを出す日々が続いている。過去、日経BP社の雑誌やムック、IPAなどへの寄稿多数。
◇ ◇ ◇ ◇ ◇
WindowsだけでなくLinuxやSolarisもターゲット:
韓国サイバー攻撃に使われたマルウェア、MBRを上書きし起動不能に
» 2013年03月21日 16時15分 更新
http://www.atmarkit.co.jp/ait/articles/1303/21/news095.html
韓国で3月20日、放送局や金融機関のPCがマルウェアに感染してコンピュータシステムが一斉にダウンした件に関連し、KISAは3月21日、専用の駆除ツールを開発し、配布を開始した。 [高橋睦美,@IT]
韓国で3月20日、放送局や金融機関のPCがマルウェアに感染してコンピュータシステムが一斉にダウンした件に関連し、韓国インターネット振興院(KISA)は3月21日、専用の駆除ツールを開発し、配布を開始した。またセキュリティ企業も、原因となったマルウェアについての情報を公開し始めている。
この事件は2013年3月20日14時過ぎに発生した。KBSやMBC、YTNといった放送局と新韓銀行などの金融機関でコンピュータネットワークがダウンし、ATMが使えなくなるなど、業務に支障が生じた。韓国政府の放送通信委員会ではこれを受け、官民軍合同の対策チームを立ち上げ、対策と攻撃元の調査に当たっている。
KISAによると、被害に遭った機関から収集したマルウェアは、2013年3月20日14時に動作するようスケジュールされていた。この結果、複数のPC/サーバのシステムブート領域(Master Boot Record:MBR)が破壊され、システムのダウンにつながったと見られる。
アンラボのレポートによれば、このマルウェアは、バックドア経由でほかのマルウェアをダウンロードさせる「ドロッパ」と複数のファイル破壊型マルウェアで構成されており、Windowsシステムだけでなく、SolarisやAIX、HP-UX、およびLinuxのシステムをターゲットにした破壊コードも含まれていた。またシマンテックによれば、マルウェアは韓国のウイルス対策/セキュリティ製品が利用する「pasvc.exe」「clisvc.exe」というプロセスも停止させるという。
ドロッパがダウンロードしたマルウェアの中には、Windows XPやWindows 2003 Server、Windows VistaといったWindows系のOSをターゲットに、MBRやVBRなどのブート領域と論理ドライブを「PRINCPES」「HASTATI」といった無意味な文字列で上書きしてしまうマルウェアと、リモートのUNIX系OSをターゲットにddコマンドでディスクの内容を「0」で上書きしたり、Linuxの/kernelや/usr、/etc、/home以下の領域を削除してしまうマルウェアが含まれていた。
KISAによるとマルウェアは、パッチ配布のための「更新管理サーバ」(Patch Management System)を介して流通したという。また、被害に遭った農協のシステムを分析した結果、更新管理サーバに接続し、悪意あるファイルを作成したアクセス元は、中国のIPアドレス(101.106.25.105)だったことも確認したという。
◇ ◇ ◇ ◇ ◇
サイバー攻撃、韓国「北朝鮮犯行の疑い」 中国を経由
聯合ニュース伝える
2013/3/21 12:29 記事保存
http://www.nikkei.com/article/DGXNASGM2102Q_R20C13A3EB1000/
【ソウル=尾島島雄】韓国の放送局や銀行のサーバーが一斉にダウンした事件で、韓国大統領府高官は21日、「北朝鮮の犯行との強い疑いを持ち、すべての可能性について綿密に追跡、分析している」と述べた。聯合ニュースが伝えた。一方、韓国政府の対策本部は不正プログラムが中国内のIPアドレスを経由していたことを突き止めた。
サイバー攻撃が原因とみられるトラブルは20日午後2時ごろに発生。KBSテレビ、MBCテレビ、YTNテレビ、新韓銀行などで一斉に異常が検知された。
政府機関である放送通信委員会の発表によると放送局・金融機関の計6社でパソコンとサーバーを合わせ3万2千台が被害を受けた。政府が設置した「民・官・軍合同対応チーム」は6社が同一の組織から攻撃を受けたと判断。各社の管理用サーバーがハッキングされ、内部のパソコンに被害を及ぼしたという。
農協のシステムを分析した結果、中国のIPアドレスを経由してサーバーにアクセスしていたことが判明した。韓国政府は被害を食い止めるためのワクチンの無料配布を始めると同時に、北朝鮮の関与について引き続き調査を進めている。
被害を受けた6社は20日、ただちに復旧作業に着手し、金融機関は2時間ほどで正常化。放送局も21日朝までに主立った社内ネットワークが稼働し始めた。ウイルスに感染したとみられる端末は使用できない状態が続いている。
◇ ◇ ◇ ◇ ◇
韓国放送局などサーバーダウン、北朝鮮関与を調査
2013/3/20 22:43 (2013/3/21 0:51更新) 記事保存
http://www.nikkei.com/article/DGXNASGM2004N_Q3A320C1FF2000/
【ソウル=小倉健太郎】韓国で20日、放送局や銀行などでサーバーが一斉にダウンした。ハッキングにより不正プログラムが仕掛けられたとみられ、放送は続けたが銀行では一時、ATMが使えなくなるなど業務に支障が出た。韓国政府はサイバー攻撃とみて北朝鮮の関与の有無などを調べている。
午後2時すぎ、KBSテレビ、MBCテレビ、YTNテレビ、新韓銀行などで一斉に異常が発生した。放送局ではパソコン数百~数千台が起動できない状態になった。新韓銀行では窓口業務やインターネットバンキングでも遅延などの障害が起きた。
聯合ニュースによると新韓銀行のシステムは約2時間で正常化したが、放送各社の障害は深夜まで続いているという。
韓国政府は官民軍の合同組織「サイバー危機対策本部」を設置し、状況把握や原因究明を進めている。これまでの調査では不正プログラムにより異常が発生したとみているが詳細は不明。異常が発生した放送局などはいずれも同一企業の通信システムを使用しているというがトラブルとの因果関係は分かっていない。
韓国など関係国への挑発を強めている北朝鮮との関連について国防省は「現時点では把握できていない」としている。政府はサイバー危機に関する警報として5段階中3番目に相当する「注意」を発令。通常の3倍以上の人員を配置して追加的な異常がないかなどの監視を強めている。2011年に金正日総書記が死去した際も「注意」を発令した。国防省も同日、情報作戦の防護態勢のレベルを1段階引き上げた。
北朝鮮はこれまで何度も韓国をサイバー攻撃したと韓国政府はみている。11年3月には国防省や在韓米軍、国会などのインターネットサイトが攻撃され、民間サイトでは接続障害も発生した。12年6月には中央日報の新聞製作サーバーがハッキングされ一部のデータが削除された。
タグ:MS
2013-03-23 07:56
コメント(0)
トラックバック(0)
アカウント 
コメント 0