韓国サイバーテロを巡る「なぜ」
韓国大規模サイバーテロにおいて、めずらしかった点は以下の通りだ。
1.大規模同時発生している。
2.システム領域破壊、時限爆弾方式という古典的な破壊活動を行う
3.APT攻撃のような近代的攻撃手法を使う
4.Windowsだけでなく、UNIXシステムも攻撃対象
5.パッチ配布サーバを経由し、攻撃プログラムを社内に展開
今回インタビューをおこなったHPでは、自社で世界的な脆弱性研究機関やキープロダクトをもちながら、かつ多くのセキュリティ専門ベンダーとのグローバルアライアンスも推進している。下記の図は、そのアライアンスの1社のトレンドマイクロのものである。
この攻撃においては、2013年3月上旬から潜入工作が行われていたという。クレジットカード明細を装ったダウンローダが仕込まれたメールが送付され、これを実行することによりパッチ配布サーバへの攻撃プログラムが配置される。この攻撃プログラムは2013年3月20日、14時までなりを潜めており、時限発動した複数の端末により、WindowsのハードディスクのMBR(マルチブートレコーダ)を消去した。また、UNIXはrootユーザによりリモート接続が行われ、ddコマンドにてハードディスクを消去する行動を行った。これが、韓国大規模サイバーテロの状況である。
なぜここまで大規模な被害を生んでしまったのだろうか。これについて日本ヒューレットパッカード株式会社 テクノロジーコンサルティング統括本部 ソリューション開発本部 セキュリティソリューション部 シニアセキュリティコンサルタントの平山 宗一郎氏は「実は韓国企業の多くは、韓国製のセキュリティ対策ソフトを使う傾向があり、特定のプロセス、特定のパッチ管理ツールに特化した攻撃を行ったことが背景にある」と述べる。1997年のアジア通貨危機においてIMF管理下に入った韓国は、自国企業を強くするために多少品質や機能に問題があったとしても、自国製品を優先的に使うという文化があるという。そこで、セキュリティ関連製品においてもグローバルな製品ではなく、韓国アンラボ社をはじめとする韓国製品を利用していた企業が多かった。
そのため、攻撃者はpasvc.exeやclisvc.exeなど、韓国セキュリティ対策ベンダーのソフトウェアを使っていることを前提とした攻撃を行うことで、大規模なサイバー攻撃を成功させたのだ。パッチ管理サーバも韓国特有のものが狙われたことからも、今回のサイバーテロはターゲットを明確にした攻撃であると言えよう。
韓国インターネット振興院「KISA」の働き
このサイバーテロの対策部分に関して、平山氏は韓国インターネット振興院(Korea Internet & Security Agency、以下KISA)の働きに注目した。
KISAは日本で言うIPA(独立行政法人情報処理推進機構)に相当する組織だ。2013年3月20日のサイバーテロにおいて、KISAは「注意(局所的被害)」の状況と判断した。これは正常/関心/注意/警戒/深刻レベルの3段階目に挙げる。しかも、2月12日にはすでに被害拡散の可能性を示す「関心」レベルに挙げていた。
これは、過去にもSQL Slammer(2003年1月)やDDoS攻撃(2009年7月、2011年3月)などの大規模なセキュリティインシデントを体験しており、その対応練度が上がっていたことからだという。KISAは官/民/軍の対策チームで対応し、アンチウイルスベンダーとの協力で13時間後にはワクチンを配布していた。これは特筆すべきポイントだろう。
