exの日記: 韓国サイバー攻撃事件、韓国AhnLab社製パッチ管理システム経由での攻撃か 77
既に各所で既報であるが、3月20日に発生した韓国の大規模サイバー攻撃事件は、KBSテレビ、MBCテレビ、新韓銀行など韓国の複数の放送局や銀行に影響を及ぼした。各社のサーバーが一斉にダウンし、イントラネット上にあるクライアントも多くが被害を受けた。新韓銀行ではATMが利用不能になるなどの被害も受け、市民生活にも影響が及んでいる。
それに対し、セキュリティソフトメーカーAhnLabは事件に関する中間分析結果を明らかにした( 韓国AhnLabのリリース:韓国語)。
当初韓国内ではAhnLabのセキュリティソフトのアップデートサーバそれ自体からの感染であるというような報道もあったが、それに対してAhnLabは「IDCに位置するアップデートサーバーがハッキングされたというのは事実ではない」「攻撃に使用されたのは、企業のイントラネット内における“資産管理サーバー(AhnLabの場合APCサーバー)”である」としている。
APCサーバとは"AhnLab Policy Center"と呼ばれる製品で、"AhnLab V3 アンチウイルス製品"をイントラネットにおいてアップデートするサーバであるが、AhnLab製品だけでなく、「CPU、メモリなどハードウェアの資産情報、各PCのソフトウェアインストール状況」などの「企業の資産管理」や、「リモートコントロール機能や、ソフトウェア配布、ファイル転送、未登録のクライアントの検索機能」などの管理者による集中管理に利用されるサーバである(なお、ここではAhnLabに従い「資産管理」と呼称しているが、これはつまり"Resource management"であり、日本語では「資源管理」と呼ぶのがより一般的であろう)。
現状の分析結果としてAhnLabは「一部でアカウント奪取の痕跡が見られるが、正確な原因は分析中である」「APT攻撃(Advanced Persistent Threat)によりAPCサーバーの管理者アカウント(IDとパスワード)が奪取されたものと推定する」「資産管理サーバー(AhnLabの場合APCサーバー)の弱点のためではない」として、「もし管理者アカウントが奪取されたとすれば正常な権限によるアクセスであるから、脆弱性の有無に関わらず多くのソフトウェアが悪用される」としている。
また、セキュリティソフト各社はこの攻撃に利用されたマルウェアについて分析を開始している。Symantecはブログにて「韓国の銀行と放送局に、大規模なサイバー攻撃」という記事を公表。それによれば、クライアントを攻撃したマルウェアは、AhnLab製品ともう一つの代表的な韓国のアンチウイルスメーカーであるHAURI製のアンチウイルスソフトのプロセスを停止、感染したPCの全てのドライブのデータを"PRINCPES" または"HASTATI."という文字列で上書きするとしている。また、AhnLabは今回狙われたのはWindowsだけではなく、SolarisやAIX、HP-UX、およびLinuxを対象とした攻撃コードも含まれているとした上で、さらに、「現在把握されているのは特定のターゲットを狙った攻撃だが、既に変種が発見されているため、不特定多数を対象にした攻撃の危険がある。企業以外の一般の使用者もアンチウイルスソフトのパターンを最新バージョンにするように」と呼びかけている。AhnLabはさらなる調査を通じて、早急に明確な原因を発表する予定である。
この件では、「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」という考察や、一部では「単にMSのパッチで海賊版がシャットダウンされただけでは」などという見方もあったが、どうやら今回の件は、少なくとも直接的には海賊版Windowsの使用によるセキュリティパッチの不備でなどではなさそうである。逆にいえば、資源管理サーバやデプロイシステムなどを利用している多くの大企業において「APT攻撃によるソフトウェア配信システムを利用した、イントラ内大規模感染への対策」という大きな課題が示されたといえるのではないだろうか。
