3/20 韓国同時多発サイバー攻撃について (3.20 大乱)

3月20日の午後、韓国の複数の放送局、金融機関において同時多発的にマルウェア感染によるシステム停止が発生しました。本記事では現在公開されている外部情報をもとに、事件の概要をまとめます。

(あわせて読みたい)
piyokangoさんの大変素晴らしいまとめ記事です。
2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。 - piyolog

事件の概要

3月20日の午後2時過ぎに韓国の複数の組織において同時多発的にシステム停止が発生しました。現在被害が確認されているのは、以下の 3つの放送局と 3つの金融機関です。(なお 3/21になって、これらの組織のシステムはほぼ復旧したとの報道もありましたが、3/22の KCCの報告によると完全復旧には時間がかっているようです。*1 )

  • KBS
  • MBC
  • YTN
  • 新韓銀行
  • 済州銀行
  • 農協銀行 (複数の農協関連金融機関を含む)

システム停止の原因となったのは Windows PCへのマルウェア感染で、このマルウェアは PCのハードディスクの MBR (Master Boot Record) 領域と VBR (Volume Boot Record) 領域、そして論理ドライブのデータなどファイルシステムの他の領域も破壊します*2。その後 PCは強制的に再起動されますが、MBRが破壊されているため OSが起動しない状態となります。韓国の放送通信委員会 (KCC) の報告によると、上記 6社あわせて、およそ 32,000台の PCが被害にあったということです*3。これにより上記の 6社では、社内システムやインターネットバンキング、ATM等に影響が及んだ模様です。またこのマルウェアは 3月20日の午後 2時に破壊活動を開始するようにスケジュールされていました*4。現在、韓国インターネット振興院 (KISA) では専用の駆除ツールを Webで公開し対応しています。

なおこのマルウェア自体は Windows PCにしか感染しませんが、UNIX系の OS (AIX, HP-UX, Solaris, Linux) に SSHで接続し、ハードディスクの内容を破壊するスクリプトも含まれていました。


次にマルウェア感染の原因ですが、攻撃者は被害にあった組織内部の資産管理サーバ (アンチウイルスソフトの更新管理サーバ) を乗っとり、その更新の仕組みを利用して PCにマルウェアを配布しています。対象となったのは AhnLab社の APCサーバと Hauri社の ViRobot ISMSサーバです。これらのアンチウイルスベンダーがインターネット上で運用しているアップデートサーバからマルウェアが配信されたとの報道も当初ありましたがこれは間違いです。攻撃者はなんらかの方法で組織内ネットーワークに侵入し、更新管理サーバを乗っ取ったと思われますが、その攻撃経路については現時点ではまだわかっていません。なお KCCの報告によると、農協のシステムにおける分析の結果、中国の IPアドレス (101.106.25.105) から更新管理サーバに接続があったことを確認したとありますが、必ずしも中国の関与を示すわけでないので注意が必要です。また北朝鮮の関与を疑う報道もありますが、直接的な証拠は報告されていません。

(3/22 16:50 追記)
3/22の KCCの報告によると、中国の IPアドレスから接続があったというのは間違いで、社内からのアクセスだったようです。グローバルアドレスを社内で割り当てて使用していたということだと思われます。

(3/26 10:00 追記)
韓国メディア各社が、「マルウェアは米国・欧州の計 4カ国の IPアドレスから送られた、この中に中国は含まれていない」との3/25の警察発表について報道しています。しかし詳細はまだ不明です。


今回の事件では、主に韓国で利用されているソフトウェアの更新管理サーバおよびそのソフトウェアを利用している PCが攻撃の対象となっており、かつ一部の特定の組織が狙われていることから、日本国内を含め他の企業にすぐに影響が及ぶことはありません。一方で、今回のような組織内部の管理サーバからマルウェアが配布されるという攻撃手法については、国内でも発生する可能性があり、注意を払う必要があると考えます。


今後、攻撃者の侵入経路などについての調査が進んで新しい情報が入り次第、適宜更新したいと思います。


(4/11 追記)
4/10に政府合同対策チームが調査結果の中間報告を行いました。(未来創造科学部からの公式リリース)
攻撃に使われた 76種類のマルウェアの分析結果などから、3月20日の攻撃だけでなく、3月25日の不特定多数のユーザへのマルウェア感染、3月26日の北朝鮮関連サイトへの攻撃、3月26日のYTN関連サイトへの攻撃、の 4つの事件に関連があるとしています。また北朝鮮による攻撃とされている、2009年と2011年におきた大規模マルウエア感染による DDoS事件や、農協 (2011年)、中央日報 (2012年) への侵入事件などとも共通点があることを多数の状況証拠とともに明らかにしました。
(これらの事件については補足情報で触れています。)

侵入経路

これまでのところ (3/26時点)、以下の 2つが初期感染の侵入経路として有力ではないかと思われます。ただしいずれも推測の域を出ていません。

  1. マルウェアが添付されたメールが被害企業に送られ、従業員の PCがマルウェアに感染した
  2. 改ざんされた Webサイトにアクセスした被害企業の従業員の PCがマルウェアに感染した

1. については、Trend Micro社F-Secure社がその可能性について言及しています。また 2. については、AlienVault社AVAST社が複数の韓国サイトの改ざんについて述べています。しかしこれらの推測を裏付ける情報はまだありません。またいずれの場合も、今回被害にあった企業をピンポイントに狙ったというより、そのユーザー(銀行サービスの利用者など)も含めて幅広い層をターゲットにしているようにも見えます。仮にこれらの推測が正しいとすると、今回 6社だけが被害にあった理由がよくわかりません。実際、3/25になって不特定多数のユーザーをターゲットにしたと見られるマルウェア感染活動について、AhnLab社Hauri社がそれぞれ注意喚起を行っています。また初期感染PCから更新管理サーバへの侵入方法などまだ不明な点も多く残されています。

(3/31 追記)
AhnLab社は 3/29の報告において、APCサーバにログイン認証の脆弱性があり、攻撃者がこの脆弱性を悪用して農協ネットワーク内の APCサーバへ侵入したとの中間調査結果を発表しました。

(4/10 追記)
Operation 1Mission
政府当局による公式発表ではありませんが、韓国のセキュリティ研究者グループ IssueMakersLabが、今回の事件で利用されたマルウェアの分析結果などから、攻撃者の侵入経路に関する詳しい内容を報告しています。それによると 2007年から活動する攻撃者グループが関与しており、今回の攻撃では 2012年6月頃から対象組織内へのマルウェア感染や、組織内ネットワークを調査するなど、入念な下準備を行っていたとされています。また最初の初期感染は外部の Webサイトを経由して行われ、ActiveXの脆弱性を悪用したものだと説明しています。(このサイトにどのように誘導したのかはわかりません。)

上記の Webに掲載されている図を @nilnil26 さんが日本語に翻訳してくださいました。(図1図2)
どうもありがとうございます。

関連URL

(韓国の政府関連機関からの報告)

KCC (Korea Communications Commission)
http://www.kcc.go.kr/user.do?boardId=1042&page=P05030000&dc=K05030000
http://www.kcc.go.kr/user.do?mode=view&page=P05030000&dc=K05030000&boardId=1042&cp=1&boardSeq=36097
http://www.kcc.go.kr/user.do?mode=view&page=P05030000&dc=K05030000&boardId=1042&cp=1&boardSeq=36105

KISA (Korea Internet Security Agency)
http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=2033
http://www.boho.or.kr/kor/download/download_03_1.jsp

MSIP (Ministry of Science, ICT & Future Planning)
http://www.msip.go.kr/Board_detailForm.action?bbsId=72&bbsNo=182


(セキュリティベンダー各社からの報告)

AlienVault Labs *5
http://labs.alienvault.com/labs/index.php/2013/information-about-the-south-korean-banks-and-media-systems-attacks/
http://labs.alienvault.com/labs/index.php/2013/a-theory-on-the-south-korean-attacks/

FireEye
http://www.fireeye.com/blog/technical/botnet-activities-research/2013/03/more-insights-on-the-recent-korean-cyber-attacks-trojan-hastati.html

F-Secure *6
http://www.f-secure.com/weblog/archives/00002531.html
http://www.f-secure.com/weblog/archives/00002533.html
(日本語)
http://blog.f-secure.jp/archives/50697952.html
http://blog.f-secure.jp/archives/50698006.html

Kaspersky Lab
http://www.securelist.com/en/blog/208194183/South_Korean_Whois_Team_attacks
(日本語)
http://blog.kaspersky.co.jp/cyberattack-against-south-korea/

McAfee *7
http://blogs.mcafee.com/mcafee-labs/south-korean-banks-media-companies-targeted-by-destructive-malware
(日本語)
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1358

Sophos
http://nakedsecurity.sophos.com/2013/03/20/south-korea-cyber-attack/

Symantec
http://www.symantec.com/connect/blogs/south-korean-banks-and-broadcasting-organizations-suffer-major-damage-cyber-attack
http://www.symantec.com/connect/blogs/remote-linux-wiper-found-south-korean-cyber-attack
http://www.symantec.com/connect/blogs/different-wipers-identified-south-korean-cyber-attack
http://www.symantec.com/connect/blogs/are-2011-and-2013-south-korean-cyber-attacks-related
(日本語)
http://www.symantec.com/connect/blogs-48
http://www.symantec.com/connect/blogs/linux-wiper
http://www.symantec.com/connect/blogs/wiper
http://www.symantec.com/connect/blogs/2011-2013

Trend Micro *8
http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/
http://blog.trendmicro.com/trendlabs-security-intelligence/summary-of-march-20-korea-mbr-wiper/
http://blog.trendmicro.com/trendlabs-security-intelligence/three-lessons-from-the-south-korea-mbr-wiper-attacks/
(日本語)
http://blog.trendmicro.co.jp/archives/6911
http://blog.trendmicro.co.jp/archives/6923

Ahnlab *9
http://asec.ahnlab.com/926 (← 3/22、3/25に更新あり)
http://asec.ahnlab.com/927
http://blog.ahnlab.com/ahnlab/1728
http://blog.ahnlab.com/ahnlab/1732

Hauri
http://www.hauri.co.kr/customer/support/hauri_notice_view.html?intSeq=300&page=1
http://www.hauri.co.kr/customer/security/alert_view.html?intSeq=135&page=1

nProtect (INCA Internet)
http://erteam.nprotect.com/408 (← 3/26、3.27に更新あり)

RedAlert (NSHC)
http://training.nshc.net/KOR/Document/virus/4-20130321_320CyberTerrorIncidentResponseReportbyRedAlert.pdf (version 1.5)
http://training.nshc.net/KOR/Document/virus/5-20130322_320CyberTerrorIncidentResponseReportbyRedAlert.pdf (version 1.6)
(英語版)
http://training.nshc.net/KOR/Document/virus/20130321_320CyberTerrorIncidentResponseReportbyRedAlert.pdf (version 1.6)

FFRI
http://www.fourteenforty.jp/blog/2013/03/2013-03-22-1.htm
http://www.fourteenforty.jp/blog/2013/03/2013-03-27.htm

補足情報

今回の事件発生とほぼ同時期に起きた以下の事象について、今回の事件との関連性は不明です。

なお韓国では 2009年7月と 2011年3月にも大規模なマルウェア感染の事件が発生し、この時にも今回のような MBRを破壊するマルウェアが使用されています。また過去には他にも北朝鮮の関与が疑われる事件が度々起きており、これらの事件との類似性などについて触れている報道もあるようです。しかし、関連性があるのかどうか、はっきりしたことはまだわかっていません。

(過去の主な事件)

2009年7月 大規模なマルウェア感染および米国、韓国へのDDoS攻撃。約11万台のPCが感染。いわゆる「7.7 DDoS大乱」
2011年3月 大規模なマルウェア感染および米国、韓国へのDDoS攻撃。約11万台のPCが感染。7.7の教訓を生かして被害を最小限に抑える。
2011年4月 農協電算ネットワーク障害。マルウェアに感染した内部の PCが破壊活動を行った。
2011年11月 高麗大学情報保護大学院の卒業生のメールアカウントが不正侵入され、他の卒業生にマルウェアが転送された。
2012年6月 中央日報へのサイバー攻撃。マルウェアに感染した内部の PCが新聞製作システムなどを破壊、Webサイトも改ざんされた。


(3/22 15:35 追記)
"Whois Team"による改ざんの YouTube動画があったので紹介しておきます。改ざんされたサイトは gyunggi.onnet21.comだったようです。

130320 LG U+ Groupware Hacked by Whois Team 후 ...

(3/22 15:45 追記)
Renesys Blogで今回の事件の影響によるサービス停止について、観測結果が報告されています。
http://www.renesys.com/blog/2013/03/more-outages-in-koreas.shtml


(更新履歴)

  • 3/22 12:30 記事公開
  • 3/22 14:50 Trend Micro社の記事と脚注を追加しました。
  • 3/22 15:15 RedAlertレポートの最新版 (version 1.6)の URLを追加しました。
  • 3/22 15:35 "Whois Team"に関する YouTube動画を追加しました。
  • 3/22 15:45 Renesys Blogの記事を追加しました。
  • 3/22 16:50 KCCの最新報告内容を反映しました。また URLも追加しました。
  • 3/22 17:20 KISAのサイトに掲載されている KCCの情報を「KISAによると」と表現していたため、「KCCによると」に修正しました。
  • 3/22 23:30 過去の事例紹介を追加しました。
  • 3/23 11:30 piyokangoさんの記事紹介を追加しました。
  • 3/23 18:00 Trend Micro社の記事を追加しました。
  • 3/24 00:20 Symantec社、McAfee社の記事を追加しました。また KBSの Web改ざんについて追記しました。
  • 3/26 10:00 F-Secure社の記事を追加しました。また 3/25の警察発表の内容を追記しました。
  • 3/26 11:00 AhnLab社と Hauri社の記事を追加しました。また初期感染の経路について、現時点の推測を追記しました。
  • 3/27 10:00 F-Secure社の記事を追加し、脚注に追記しました。また Kaspersky Lab社と FFRI社の記事を追加しました。
  • 3/31 16:00 AhnLab社の 3/29の報告内容を追記しました。また 3/26に発生した障害について追記しました。
  • 4/10 12:30 IssueMakersLabの報告内容を追記しました。
  • 4/11 12:00 政府合同対策チームからの中間報告の内容について追記しました。

*1:3/29になって復旧が完了したとの報道がありました。

*2:Windowsのバージョンによって細かい動作が異なっています。AhnLab社の報告が詳しいです。

*3:被害総数は約 48,700台との一部報道もあります。

*4:複数のマルウェアが確認されており、実行後すぐに破壊活動を行うもの、スケジュールされた時刻 (3/20 14:00または 15:00)に行うものなどがあります。

*5:AlienVault社は今回利用されたと思われるマルウェアのファイル名などから、他の関連するマルウェアの挙動について分析を行っており、事前に Exploit Kitを利用した感染活動があったのではないかと推測しています。またこれは Avast社の報告している活動と類似しています。

*6:F-Secure社はマルウェアの分析結果などから、スピアフィッシングメールが攻撃のトリガーだったのではないかと推測しています。また、"Whois Team"による LG U+の改ざんとの関連性についても指摘しています。

*7:McAfee社によると、今回のマルウェアと類似のマルウェアが昨年8月と10月に観測されていますが、MBR破壊機能がないなどの違いがあります。

*8:Trend Micro社によると、3/19に韓国の企業においてマルウェアが添付されたメールを検知しており、これが今回の攻撃のトリガーではないかと見ているようです。

*9:AhnLab社によると、APC(Ahnlab Policy Center)のソフトウェアに脆弱性があったわけではなく、サーバ自体の管理者権限が何らかの方法で奪取されたとあります。→ その後の報告で APCサーバにログイン認証の脆弱性があったことを明らかにしています。

*10:"HASTATI"は今回のマルウェアがハードディスクを上書きする際に使用した文字列の一つです。

Remove all ads