韓国サイバーテロ、論理爆弾の仕組み

韓国へのサイバーテロ、論理爆弾の仕組みが判明
　　　　2013.3.26 TUE

http://wired.jp/2013/03/26/logic-bomb-south-korea-attack/


韓国で先ごろ、複数の放送局や銀行に対するサイバー攻撃が発生していたが、これが論理爆弾によって引き起こされたものであったことが、米セキュリティー企業の調査で明らかになった。

　　　　　　TEXT BY KIM ZETTER
　　　　　　TRANSLATION BY WATARU NAKAMURA

　　　　　　WIRED NEWS (ENGLISH)

韓国で先ごろ、複数の放送局や銀行に対するサイバー攻撃が発生していたが、これが論理爆弾によって引き起こされたものであったことが、米セキュリティー企業の調査で明らかになった。

セキュリティー企業フォルティネットの研究者、リチャード・ヘンダーソンによれば、この論理爆弾は指定された日時にマルウェアがマシンのデータ消去を開始し、連鎖的な被害をもたらすようプログラムされていたという。

現地時間20日に発生した今回のサイバー攻撃では、少なくとも2つの金融機関と3つの放送局で、同時にハードディスクドライヴ内のデータやPCのマスターブートレコードが消去された。また、これにより韓国国内の複数のATMが一時的に利用できない状態に陥った。

今回使われたマルウェアは4つのファイルから構成されるもので、このうち「AgentBase.exe」というファイルがデータ消去の引き金になったという。このファイルには16進数の文字列（4DAD4678）が含まれており、これが攻撃の開始日時（2013年3月20日現地時間午後2時）を示していた。これによって、コンピューターの内蔵時計が同日14時を超えた瞬間、ハードドライヴとマスターブートレコードを上書きするプログラムが起動、その後、システムを再起動した。

再起動されたマシンには「ブートデヴァイスが見つかりません。ハードディスクにOSをインストールしてください（Boot device not found. Please install an operating system on your hard disk）」というメッセージが表示されたという。

また、このマルウェアにはリモート接続したLinuxサーヴァーからデータを消去するコードも含まれていたという。このプログラムはコンピューターのリモート接続を検索し、保存された認証情報を利用してLinuxサーヴァーにアクセス、この端末のマスターブートレコードを消去するというものであった。

「これはハッカーたちが（ターゲット企業の）PCのみではなく、通信インフラ自体をもターゲットにしていたことを示唆しています」とヘンダーソン氏は話す。

セキュリティー企業のトレンドマイクロも、サイバー攻撃の兆候があったことを明かしている。同社の研究者は3月19日、韓国国内の複数の組織に銀行を装ったフィッシングメールが送信されていたことを発見。このメールの添付ファイルにはTrojan（トロイの木馬）が含まれていたという。これは、今回の事件を引き起こしたマルウェアが、被害を受けた企業のPCに前日までは存在しなかった可能性も示唆している。

「われわれは、今回の攻撃の前触れを3月19日の時点で見つけていた。このときは韓国国内の複数の組織が、悪意のある添付ファイルを含むスパムメッセージを受け取っていた」とトレンドマイクロ社は自社ブログに記述している。「このメッセージは銀行を名乗るもので、添付ファイルは、9つのファイルを複数の異なるURLからダウンロードするダウンローダーだった」（トレンドマイクロ）