韓国サイバー攻撃事件、企業向けのPC管理システム経由での攻撃か

ex 曰く、　既に各所で既報であるが、3月20日に発生した韓国の大規模サイバー攻撃事件は、KBSテレビ、MBCテレビ、新韓銀行など韓国の複数の放送局や銀行に影響を及ぼした（日経ITpro）。各社のサーバーが一斉にダウンし、イントラネット上にあるクライアントも多くが被害を受けた。新韓銀行ではATMが利用不能になるなどの被害も受け、市民生活にも影響が及んでいる。

　それに対し、セキュリティソフトメーカーAhnLabは事件に関する中間分析結果を明らかにした（ 韓国AhnLabのリリース：韓国語）。当初韓国内ではAhnLabのセキュリティソフトのアップデートサーバーが感染源であるというような報道もあったが、それに対してAhnLabは「IDC内にあるアップデートサーバーがハッキングされたというのは事実ではない」「攻撃に使用されたのは、企業のイントラネット内における『資産管理サーバー』（AhnLabの場合APCサーバー）である」としている。

　APCサーバーとは「AhnLab Policy Center」と呼ばれる製品で、イントラネット内にある「AhnLab V3 アンチウイルス製品」をアップデートするサーバであるが、AhnLab製品だけでなく、「CPU、メモリなどハードウェアの資産情報、各PCのソフトウェアインストール状況」といった企業の資産管理や、リモートコントロール機能、ソフトウェア配布、ファイル転送、未登録のクライアントの検索機能といった管理者による集中管理に利用されるサーバである（なお、ここではAhnLabに従い「資産管理」と呼称しているが、これはつまり「Resource management」であり、日本語では「資源管理」と呼ぶのがより一般的であろう）。

　現状の分析結果としてAhnLabは「一部でアカウント奪取の痕跡が見られるが、正確な原因は分析中である」「APT攻撃(Advanced Persistent Threat)によりAPCサーバーの管理者アカウント(IDとパスワード)が奪取されたものと推定する」「資産管理サーバー(AhnLabの場合APCサーバー)の弱点のためではない」として、「もし管理者アカウントが奪取されたとすれば正常な権限によるアクセスであるから、脆弱性の有無に関わらず多くのソフトウェアが悪用される」としている。

　また、セキュリティソフト各社はこの攻撃に利用されたマルウェアについて分析を開始している。Symantecはブログにて「韓国の銀行と放送局に、大規模なサイバー攻撃」という記事を公表。それによれば、クライアントを攻撃したマルウェアは、AhnLab製品や代表的な韓国のアンチウイルスメーカーであるHAURI製のアンチウイルスソフトのプロセスを停止、感染したPCの全てのドライブのデータを「PRINCPES」または「HASTATI.」という文字列で上書きするとしている。また、AhnLabは今回狙われたのはWindowsだけではなく、SolarisやAIX、HP-UX、およびLinuxを対象とした攻撃コードも含まれているとした上で、さらに、「現在把握されているのは特定のターゲットを狙った攻撃だが、既に変種が発見されているため、不特定多数を対象にした攻撃の危険がある。企業以外の一般の使用者もアンチウイルスソフトのパターンを最新バージョンにするように」と呼びかけている。AhnLabはさらなる調査を通じて、早急に明確な原因を発表する予定である。

　この件では、「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」という考察や、一部では「単にMSのパッチで海賊版がシャットダウンされただけでは」などという見方もあったが、どうやら今回の件は、少なくとも直接的には海賊版Windowsの使用によるセキュリティパッチの不備でなどではなさそうである。逆にいえば、資源管理サーバやデプロイシステムなどを利用している多くの大企業において「APT攻撃によるソフトウェア配信システムを利用した、イントラ内大規模感染への対策」という大きな課題が示されたといえるのではないだろうか。

　スラッシュドットのコメントを読む | ITセクション | ソフトウェア

　関連ストーリー：
米国の脆弱性情報データベースNVD、マルウェア感染でダウン 2013年03月19日
米国、中国のサイバー攻撃を初めて名指しで非難 2013年03月15日
Apple、Javaプラグインの脆弱性を狙った攻撃を受ける。社内コンピュータの一部がマルウェアに感染 2013年02月21日
IISを狙った大規模なSQLインジェクション攻撃発生中 2010年06月17日