SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

「韓国サイバーテロから日本が学ぶべきこと」HPセキュリティコンサルタントが語る

 2013年3月20日に発生した韓国の大規模サイバーテロは、同時多発的にメディア企業および銀行システムがダウンさせられ、日本でも大きな話題となった。システム領域の破壊というある意味古典的な手法をとっているが、攻撃手法は特定企業を狙い撃ちしたというAPTに似た特長を持つ。この韓国大規模サイバーテロにおいて、日本の企業、そして私たちが学ぶべき教訓は何か。日本ヒューレットパッカード株式会社のセキュリティコンサルタントに聞いた。

韓国サイバーテロを巡る「なぜ」

 韓国大規模サイバーテロにおいて、めずらしかった点は以下の通りだ。

 1.大規模同時発生している。

 2.システム領域破壊、時限爆弾方式という古典的な破壊活動を行う

 3.APT攻撃のような近代的攻撃手法を使う

 4.Windowsだけでなく、UNIXシステムも攻撃対象

 5.パッチ配布サーバを経由し、攻撃プログラムを社内に展開

今回インタビューをおこなったHPでは、自社で世界的な脆弱性研究機関やキープロダクトをもちながら、かつ多くのセキュリティ専門ベンダーとのグローバルアライアンスも推進している。下記の図は、そのアライアンスの1社のトレンドマイクロのものである。

攻撃から被害まで(トレンドマイクロのWebより転載)
攻撃から被害まで
Copyright(C)1995-2013 Trend Micro Incorporated. All rights reserved

 この攻撃においては、2013年3月上旬から潜入工作が行われていたという。クレジットカード明細を装ったダウンローダが仕込まれたメールが送付され、これを実行することによりパッチ配布サーバへの攻撃プログラムが配置される。この攻撃プログラムは2013年3月20日、14時までなりを潜めており、時限発動した複数の端末により、WindowsのハードディスクのMBR(マルチブートレコーダ)を消去した。また、UNIXはrootユーザによりリモート接続が行われ、ddコマンドにてハードディスクを消去する行動を行った。これが、韓国大規模サイバーテロの状況である。

日本ヒューレットパッカード 平山 宗一郎氏
日本ヒューレットパッカード 平山 宗一郎氏

 なぜここまで大規模な被害を生んでしまったのだろうか。これについて日本ヒューレットパッカード株式会社 テクノロジーコンサルティング統括本部 ソリューション開発本部 セキュリティソリューション部 シニアセキュリティコンサルタントの平山 宗一郎氏は「実は韓国企業の多くは、韓国製のセキュリティ対策ソフトを使う傾向があり、特定のプロセス、特定のパッチ管理ツールに特化した攻撃を行ったことが背景にある」と述べる。1997年のアジア通貨危機においてIMF管理下に入った韓国は、自国企業を強くするために多少品質や機能に問題があったとしても、自国製品を優先的に使うという文化があるという。そこで、セキュリティ関連製品においてもグローバルな製品ではなく、韓国アンラボ社をはじめとする韓国製品を利用していた企業が多かった。

 そのため、攻撃者はpasvc.exeやclisvc.exeなど、韓国セキュリティ対策ベンダーのソフトウェアを使っていることを前提とした攻撃を行うことで、大規模なサイバー攻撃を成功させたのだ。パッチ管理サーバも韓国特有のものが狙われたことからも、今回のサイバーテロはターゲットを明確にした攻撃であると言えよう。

韓国インターネット振興院「KISA」の働き

 このサイバーテロの対策部分に関して、平山氏は韓国インターネット振興院(Korea Internet & Security Agency、以下KISA)の働きに注目した。

 KISAは日本で言うIPA(独立行政法人情報処理推進機構)に相当する組織だ。2013年3月20日のサイバーテロにおいて、KISAは「注意(局所的被害)」の状況と判断した。これは正常/関心/注意/警戒/深刻レベルの3段階目に挙げる。しかも、2月12日にはすでに被害拡散の可能性を示す「関心」レベルに挙げていた。

 これは、過去にもSQL Slammer(2003年1月)やDDoS攻撃(2009年7月、2011年3月)などの大規模なセキュリティインシデントを体験しており、その対応練度が上がっていたことからだという。KISAは官/民/軍の対策チームで対応し、アンチウイルスベンダーとの協力で13時間後にはワクチンを配布していた。これは特筆すべきポイントだろう。

次のページ
日本が学ぶべき点は

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

宮田健(ミヤタタケシ)

@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/4931 2013/06/28 12:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング