パスワードを忘れた? アカウント作成
7960425 journal
ソフトウェア

exの日記: 韓国サイバー攻撃事件、韓国AhnLab社製パッチ管理システム経由での攻撃か 77

日記 by ex

既に各所で既報であるが、3月20日に発生した韓国の大規模サイバー攻撃事件は、KBSテレビ、MBCテレビ、新韓銀行など韓国の複数の放送局や銀行に影響を及ぼした。各社のサーバーが一斉にダウンし、イントラネット上にあるクライアントも多くが被害を受けた。新韓銀行ではATMが利用不能になるなどの被害も受け、市民生活にも影響が及んでいる。

それに対し、セキュリティソフトメーカーAhnLabは事件に関する中間分析結果を明らかにした( 韓国AhnLabのリリース:韓国語)。

当初韓国内ではAhnLabのセキュリティソフトのアップデートサーバそれ自体からの感染であるというような報道もあったが、それに対してAhnLabは「IDCに位置するアップデートサーバーがハッキングされたというのは事実ではない」「攻撃に使用されたのは、企業のイントラネット内における“資産管理サーバー(AhnLabの場合APCサーバー)”である」としている。

APCサーバとは"AhnLab Policy Center"と呼ばれる製品で、"AhnLab V3 アンチウイルス製品"をイントラネットにおいてアップデートするサーバであるが、AhnLab製品だけでなく、「CPU、メモリなどハードウェアの資産情報、各PCのソフトウェアインストール状況」などの「企業の資産管理」や、「リモートコントロール機能や、ソフトウェア配布、ファイル転送、未登録のクライアントの検索機能」などの管理者による集中管理に利用されるサーバである(なお、ここではAhnLabに従い「資産管理」と呼称しているが、これはつまり"Resource management"であり、日本語では「資源管理」と呼ぶのがより一般的であろう)。

現状の分析結果としてAhnLabは「一部でアカウント奪取の痕跡が見られるが、正確な原因は分析中である」「APT攻撃(Advanced Persistent Threat)によりAPCサーバーの管理者アカウント(IDとパスワード)が奪取されたものと推定する」「資産管理サーバー(AhnLabの場合APCサーバー)の弱点のためではない」として、「もし管理者アカウントが奪取されたとすれば正常な権限によるアクセスであるから、脆弱性の有無に関わらず多くのソフトウェアが悪用される」としている。

また、セキュリティソフト各社はこの攻撃に利用されたマルウェアについて分析を開始している。Symantecはブログにて「韓国の銀行と放送局に、大規模なサイバー攻撃」という記事を公表。それによれば、クライアントを攻撃したマルウェアは、AhnLab製品ともう一つの代表的な韓国のアンチウイルスメーカーであるHAURI製のアンチウイルスソフトのプロセスを停止、感染したPCの全てのドライブのデータを"PRINCPES" または"HASTATI."という文字列で上書きするとしている。また、AhnLabは今回狙われたのはWindowsだけではなく、SolarisやAIX、HP-UX、およびLinuxを対象とした攻撃コードも含まれているとした上で、さらに、「現在把握されているのは特定のターゲットを狙った攻撃だが、既に変種が発見されているため、不特定多数を対象にした攻撃の危険がある。企業以外の一般の使用者もアンチウイルスソフトのパターンを最新バージョンにするように」と呼びかけている。AhnLabはさらなる調査を通じて、早急に明確な原因を発表する予定である。

この件では、「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」という考察や、一部では「単にMSのパッチで海賊版がシャットダウンされただけでは」などという見方もあったが、どうやら今回の件は、少なくとも直接的には海賊版Windowsの使用によるセキュリティパッチの不備でなどではなさそうである。逆にいえば、資源管理サーバやデプロイシステムなどを利用している多くの大企業において「APT攻撃によるソフトウェア配信システムを利用した、イントラ内大規模感染への対策」という大きな課題が示されたといえるのではないだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 詳しい解説 (スコア:4, 参考になる)

    by Anonymous Coward on 2013年03月22日 14時49分 (#2348135)

    セキュリティ専門家の徳丸氏がTwitterで紹介してたので。

    3/20 韓国同時多発サイバー攻撃について [hatenablog.com]

    ファイルシステム破壊は痛いなぁ・・・しかしまあ、大被害といや大被害なんだけど、なんでこっそりデータ盗んだりせず、こんな大々的に壊しちゃったんだろ?せっかくゲットした侵入経路台無しだよな?

    • by akairaiden (11916) on 2013年03月22日 18時52分 (#2348263) 日記

      >>こんな大々的に壊しちゃったんだろ?せっかくゲットした侵入経路台無しだよな?

      今回の事件事態は陽動で、裏でもっとコソコソとやってるとか。
      株とか相場の動きは追いかけてないけど何か有っても不思議は無いな。

      まぁ単に愉快犯とか、データ抜いた後のド派手な証拠隠滅って可能性も有るけど。

      #株とか相場狙いの犯行ならタイマーで一斉にやるより、時間をずらして
      #数段階に分けたほうが効果的な気もするけれど・・・

      親コメント
    • by Anonymous Coward

      十分データを入手し、ウイルスも拡散しまくって、もう用済みだったのかもしれない

      • by KAMUI (3084) on 2013年03月22日 18時43分 (#2348260) 日記
        一説によると、韓国の個人情報流出の総計は既に人口の250%を越えているそうで・・・
        親コメント
      • by Anonymous Coward

        最後に自爆したってことはやっぱり中国製?
        いや、狙い通りに爆発したなら違うか…

    • by Anonymous Coward

      何となく中国海軍艦艇が海自護衛艦に射撃管制レーダーを照射した一件を思い出した
      海の向こうの国の方々はわざわざ手の内を開かすようなことをするのが好きなのかな...... やっぱり何かの病気なのかな.......

      • by Anonymous Coward on 2013年03月23日 15時47分 (#2348701)

        中国に海軍があると思ってはいけない。
        他国並みに、これから海軍を充実させなくては競争に勝てないという思いだけで中古空母を買ったりするようなレベル。実戦経験はほとんどない。

        まぁ、海上自衛隊も実戦ないけどね。練度で勝負です。

        親コメント
  • 資産管理でしょ? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2013年03月22日 19時08分 (#2348275)

    日本語では「資源管理」と呼ぶのがより一般的であろう。

    そうですか? 「資源管理」といわれると、個人ベースのPC上でメモリ管理やハードウェアの管理を行うユーティリティ程度の代物を思い浮かべてしまいますが。

    企業内のソフトウェアライセンスやハードウェア管理を一括して行うソフトは、国内でも規模の大きな企業を中心にして導入が進んでいます。
    たとえば「QAW/QND [quality.co.jp]」や、「Asset View [hammock.jp]」などがけっこう有名どころではないかと思います。あとはこんな記事 [nikkeibp.co.jp]も。

    いずれもこの種のシステムやサービスは「IT資産管理ソフト」と呼ばれていて、今回の韓国のソフトもこの種のものではないかと思います。
    そもそもPCやアプリケーションという会社資産を管理するためのソフトなわけですから、日本語でも「資産管理」でいいのでは?

    • by Anonymous Coward on 2013年03月22日 21時58分 (#2348389)

      「資産管理」ソフトって、経理ソフトの一種って取っちゃうのだが。

      親コメント
      • by Anonymous Coward on 2013年03月22日 22時29分 (#2348413)

        いや、まさしくこの手のソフトは経理ソフトの一種です。
        まぁたしかに単に「資産管理ソフト」と言っちゃうとオービックあたりが売ってる経理ソフトが思い浮かんじゃうので、頭に「IT」をつけて「IT資産管理ソフト」というジャンルで売ってるんですけどね。

        日頃システム管理ばかりやってるとつい、コンピュータ管理者としての見方をしてしまうのかもしれませんが、この種のソフトはそういった管理よりもむしろ、社内で使用するコンピュータ一覧を調べることで固定資産の管理を行ったり、どこかの部署が勝手にIT機器を購入していないかどうかチェックしたり、使われているソフトウェアの一覧を取得することで購入するライセンス数が適正かどうかを判断する材料に使ったりといった、お金の管理に関わる機能がかなり多いんですよ。

        親コメント
    • 然り、ですね。
      ソフトウェア資産管理コンソーシアム [microsoft.com]のページによると、
      いまや、国際的にソフトウェア資産管理が要求される時代ともいえます。「ISO/IEC 19770」の基準は、ISO20000をサポートするもので、パート1(lSO/IEC 19770-1)が既に発行されていてパート2(IlSO/IEC 19770-2)が策定中
      との由。

      親コメント
  • なんというか、他人事と考えるには怖かったのでたとえば職場を思い浮かべながら、攻撃されうるポイントを考えてみた。

    たとえば、(まだ本格運用はしてないが) ChefServer が攻撃された場合容易にマルウェアをしこんだサーバーが大量発生できるなぁとか。そもそも、apt, yum などパッケージ管理システムなんかもDNSキャッシュポイゾニングで汚染されたパッケージをインストールする可能性もあるんじゃないのとか。vagrant なんかも拾ったboxは危険性があるので、veewee使うか、完全にboxを自前で作成するかはした方が良さそうだなとか。社外向けサービス、社内向けサービス、開発環境その他が、これによって汚染されうる。

    今回の攻撃事例同様に、アンチウィルスやソフトウェアの構成管理、WUS なんかも当然攻撃されうるだろうから、十分に注意が必要だろうし。

    github:Enterprise などのソースコードリポジトリなんかも攻撃されたりすると、gitリポジトリが何らかの形で汚染されうるのではないか?壊されるだけならば別のリポジトリでバックアップを取っておくとかの対策でなんとかなるかもしれないが。Github社のサポートしっかりしてるみたいだから、セキュリティ的には安全性が高い事を期待したいが…。

    グループウェアなんかも何らかの攻撃手段はあるかもしれない。

    他は何があるだろうなぁ…。

    • by Anonymous Coward on 2013年03月22日 18時52分 (#2348262)

      apt/yumは署名検証があります。パッケージ作成側を乗っ取られれば、当然ヤバいですが。
      gitはタグに署名を付けておきましょう。

      ウィルス対策に攻撃されることは、まぁあるでしょうね。
      Symantec Web Gateway 5.0.2 Remote LFI Root Exploit
      http://www.exploit-db.com/exploits/18932 [exploit-db.com]
      McAfee LinuxShield <= 1.5.1 Local/Remote Root Code Execution
      http://www.exploit-db.com/exploits/14818 [exploit-db.com]

      親コメント
    • WUSがWSUSの事なら、個々が電子署名されてるので検証で引っかかるような気がする。
      aptとかもそもそもSSLで繋ぐとか落とした後もパッケージの電子署名の検証とかもやってたりしますね。
      アンチウィルス系も昔の物は署名のチェックが甘くてMITMを許したのもあったけど今なら大丈夫だと思いたい。

      Windows系でAD環境を構築してれば、グループポリシーでスタートアップスクリプトの配布が超簡単に出来るので要注意なのかな。
      まぁ、そんなサーバーは管理が強固だから管理が甘い奴を狙ったのかもしれませんが。

      # 自分が最近作った奴は電子署名つけてます。全くの気休めですが。

      --
      誰も信じちゃいけない、裏切られるから。
      私を信じないで、貴方を裏切ってしまうから。
      親コメント
  • by Anonymous Coward on 2013年03月22日 18時29分 (#2348252)

    社内PC全ての

    企業の資産管理や、リモートコントロール機能、ソフトウェア配布、ファイル転送、未登録のクライアントの検索機能

    なんて権限が強すぎるように思えます。
    一つのソフトの一つの脆弱性や弱いパスワード一つで社内PC全てをどうにでも出来るなんて、ルートユーザーの有無以前の単一障害点だと思うのですが、こんな馬鹿なことは日本でもよくあることなんでしょうか。
    いまさら課題が示されたとかではなく、そもそも導入する時によくよく考えて却下すべき事でしょう。
    今回はMBR破壊という発覚しやすくそれなりに回復できそうな問題でしたが、やろうと思えばあらゆるデータの流出・HDDのフルフォーマット・外部への攻撃・犯行予告等などなんでもで出来た筈です。
    既に同様のデプロイシステムを導入している所は、そういった事が既に発生しているものとして考えるべきです。

    #個人的には海賊版Windowsが原因という話ではなかったのがネタ的に面白く無いですが、そちらもまだ可能性が有るかもしれませんから期待しています。

    • by Anonymous Coward on 2013年03月22日 19時17分 (#2348283)
      権限が強すぎるとは思いますが、Resource Management Serverが社外からアクセス不可能で、物理的に隔離された場所からのみログイン可能で、かつ信頼されたサイトからのみ更新ファイルを受け取るのならば問題は無いはずです。で普通はそのように運用されるはずです。
      天安艦事件みたく、何かを隠しているかのようで非常に苦しいように見えるのですが、例えばこのRMSで WSUS設定が可能で、不行き届きな管理者が、アップデートファイルの受け取り先を信頼出来ない海賊版サイトを指定してしまった場合、簡単に毒入り餃子を配布することが可能なわけで、社内のPCすべてが正規品とは限らないという韓国型事情が被害を拡大しているんじゃないかと
      親コメント
      • by Anonymous Coward

        普通割れるにしても署名の検証ぐらいするもんだと思うんですが…

        #もちろんAC

        • by Anonymous Coward on 2013年03月22日 21時46分 (#2348373)
          そうゆうの含めてパッケージングした独自のWindowsディストリがあるんですよ。ただのDVDコピーじゃないのです。そうじゃなきゃ企業丸ごと割れなんて不可能です。そうゆう訳で彼らは割っていると自覚は無いんですよね。
          で、多くの国では企業向けPCはDELL,HP,Lenovo,Acer,Toshiba,Asus,Appleといったグローバルメーカーが占めてるんですが、かの国はそうではないのです。理由は...
          親コメント
          • by Anonymous Coward on 2013年03月22日 21時55分 (#2348384)

            >で、多くの国では企業向けPCはDELL,HP,Lenovo,Acer,Toshiba,Asus,Appleといったグローバルメーカーが占めてるんですが、かの国はそうではないのです。理由は...

            わっふるわっふる

            親コメント
    • by zeppeli (37431) on 2013年03月22日 20時54分 (#2348337)

      >今回はMBR破壊という発覚しやすくそれなりに回復できそうな問題でしたが

      「感染したPCの全てのドライブのデータを「PRINCPES」または「HASTATI.」という文字列で上書きするとしている」
      と上では書いてあるけれど、これは間違い?

      親コメント
      • タレこみでも挙げたSymantecのブログでは「ドライブをすべて列挙し、MBR とそこに保存されているデータを "PRINCPES" または "HASTATI."(末尾にピリオドが付きます)という文字列で上書きする。これによって、ハードディスクの内容がすべて消去されます」としています。
        AhnLabなど他メーカの解析結果でも似たような話になってますから、基本的にデータは破壊されると考えて良いのではないでしょうか。

        親コメント
    • by Anonymous Coward

      海賊版だとすると、7に限定されるみたいですから、ここまで被害が広がらなかったのでは
      と思います。

      #個人的には海賊版Windowsが原因という話に期待しています。

      • by Anonymous Coward

        むしろ海賊版だからこそ、7てんこ盛りの可能性が。
        なにせ無料ですから。
        普通にライセンス買ってる企業だと、予算の関係で混在も出ちゃいますけどね。

    • by Anonymous Coward

      つActive Directory

  • by alchemy (20366) on 2013年03月22日 22時47分 (#2348424) 日記
    創業者が政治家になるとかならんとかいう・・・。格好の餌食ですね
  • by Anonymous Coward on 2013年03月22日 14時37分 (#2348122)

    ただの挑発行為で、北朝鮮は本気じゃないって印なんですかねえ。

  • by Anonymous Coward on 2013年03月22日 18時33分 (#2348255)

    韓国では Internet Explorer のシェアが多い(2010年で98%)のが影響してるんじゃないかと思ったけどどうなんだろ。

    • by Anonymous Coward

      今回はそれは関係ないみたい. ところで韓国は今でもActiveXバリバリなんやろか?

      • by Anonymous Coward on 2013年03月22日 19時17分 (#2348284)

        うちにもActiveXを埋め込もうとする攻撃があったから、韓国限定ではないみたい。たぶん、3週間ぐらい前から来た。

        親コメント
        • by Anonymous Coward

          >たぶん、3週間ぐらい前から来た。

          自動更新がかからないようにPCの内蔵時計を20日以前にして急場を凌いでるらしいけど、もしかして来たのは韓国から?

  • by Anonymous Coward on 2013年03月22日 19時01分 (#2348267)

    まるでakamaiが悪いような、もっというとWSUSが信頼できないもののような言い方をしてるのはまずいでしょ。
    関係ないところを巻き込む低質すぎる考察で反吐が出るわ

  • by Anonymous Coward on 2013年03月22日 19時30分 (#2348288)

    軍事的効果を得るために同時に物理攻撃もするべきと思ったのですが、
    やるきあんのかな。

    • by Anonymous Coward on 2013年03月22日 23時05分 (#2348430)
      軍事境界線で、警備兵を狙撃 [epochtimes.jp]してましたな。さすがに非武装地帯2kmを抜いての狙撃は難しいので、DMZ内か韓国領内にギリースーツで潜入して射撃方向を確認されないように一人になったところを殺しているんじゃ無かろうか。最前線で一人で行動なんて普通なら司令官の首が飛んでもおかしくない事案だけど、韓国軍もやるきあんのかな
      親コメント
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...