マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?

韓国の主要企業がサイバー攻撃を受け、多くのコンピュータが起動不能に陥るという甚大な被害がもたらされました。トレンドマイクロでは、継続して情報収集と追跡調査を行っており、このブログ記事では、そこから明らかになってきた全体像とともに、今回の攻撃から導き出せる教訓がなにかを議論します。


■韓国企業に対してどのような攻撃が行われたのか?
これまでトレンドマイクロが独自に収集している情報から、ソーシャルエンジニアリングを悪用したメールが、標的となった組織への侵入のきっかけになっている可能性があると推測しています。また、侵入後、ネットワーク内のコンピュータを管理するために使われる「集中管理ツール」を使って、「マスター・ブート・レコード(MBR)」を上書きしてコンピュータを起動不可能にする不正プログラム「TROJ_KILLMBR.SM」を配信したことも分かっています。

図1:韓国企業に対するサイバー攻撃の流れ
図1:韓国企業に対するサイバー攻撃の流れ

今回の攻撃の全体的な流れとしては、以下のような形で展開された可能性があると推測されます。

  1. なりすましメールを使って不正プログラムを送信、ユーザが開くと感染
  2. 偽のサイトを表示して正規サイトにアクセスしているかのように見せかける裏で不正なURLに接続
  3. 接続した不正URL からさらに別の不正プログラムをダウンロード
  4. 何らかの手法を使って集中管理ツールのサーバにアクセスし、「TROJ_KILLMBR.SM」を用意
  5. 集中管理ツールを使ってネットワーク上の Windows端末に「TROJ_KILLMBR.SM」を配布、すべてのファイルを消去し MBR をごみデータで上書き
  6. ネットワーク上の Linux/UNIXサーバを探し、AIX、Solaris、HP-UX を見つけると MBR情報をごみデータで上書き。また Linux、Solaris の場合、重要なディレクトリを削除

図2:2013年3月20日14:00の「時限爆弾」の確認ルーチン
図2:2013年3月20日14:00の「時限爆弾」の確認ルーチン

図3:クリーンな状態の破壊前のハードディスクと、上書きされ破壊されたハードディスク
図3:クリーンな状態の破壊前のハードディスクと、上書きされ破壊されたハードディスク

■今回のサイバー攻撃で特徴的なことは?
その破壊力から大きく報道でも話題になっている今回のサイバー攻撃ですが、その攻撃手法などについて、いくつか極めて特徴的なことがあります。

  • 前回のブログで、「身代金要求型不正プログラム(ランサムウェア)」に良くみられると言及しましたが、MBR を上書きして起動不可能にするというその攻撃は、まだインターネットが普及していない 1990年代に流行していたシステム領域感染型ウイルスを彷彿とさせます。
  • 約20年前に流行していたシステム領域感染型ウイルスは、いまでは使われることがないであろうフロッピーディスクを経由してコンピュータからコンピュータへの感染が行われていました。今回の事例では、大量被害を可能にするツールを使っていることで、その感染の速度と規模が格段に違っています。
  • 2013年3月20日14時(図2)まで潜伏し、「時限爆弾」のごとく発症し起動不能にするその挙動は、1990年代に流行していた不正プログラムのいくつかを彷彿とさせます。例えば、4月26日、6月26日などのある特定の日にハードディスク上のデータを消去し、BIOSチップを破壊しコンピュータを起動不可能にする「PE_CIH(通称:チェルノブイリ)」を思い起こします。
  • 大量被害を引き起こすにあたって使われていたのが、「集中管理ツール」と呼ばれるものです。通常、「集中管理ツール」とは、企業においては従業員が使う多数のコンピュータに更新プログラムを配信したり、設定を統一したりするためにIT管理者が使うものです。今回の事例では、この管理ツールが、何らかの形で乗っ取られ、コンピュータを破壊するペイロードを持つ不正プログラムを配布するのに使われていました。このような「集中管理ツール」が、不正プログラムを配信するのに悪用されることは、これまでもセキュリティ業界ではその可能性が議論されてきました。今回のケースは、まさにそれが悪用された攻撃になりますが、トレンドマイクロでは、持続的標的型攻撃などで、このような管理ツールを使って不正プログラムを配信する事例も確認しています。
  • PCの世界では、圧倒的にWindowsを標的にした不正プログラムが大多数を占めるため、Linux/UNIXといったプラットフォームは安全と思っている利用者も中にはいるかもしれません。今回の攻撃では、Windows だけではなく、Linux、Solaris、HP-UX、AIX といったプラットフォームを標的とし、さらに Windows向けの不正プログラムにそれが機能として搭載されていることも特徴的です。
  • 上書きをするのに使われる「HASTATI.」、「PRINCPES」、「PR!NCPES」という文字列は、それぞれ古代ローマ軍制の「ハスタティ」、「プリンキペス」という第一軍隊、第二軍隊を意味する単語になります。第三軍隊を意味する「トリアリイ」などの言葉もあるため、現時点では推測の域を超えないものの、これらに使われている文字列には何らかの意図がある可能性も否定できません。
  • 数多くのコンピュータを一斉に起動不可能にする、かつそれを放送局、金融機関といったサービス提供の常時稼働を求められる業界に対して行ったことからも、その影響度を狙って攻撃が行われた可能性が高いと言えます。
  • ■今回のサイバー攻撃から学ぶべきことは?
    今回の攻撃では、一斉に大量のコンピュータがマヒしたことによるインパクトは極めて大きいと言えます。不正プログラムによる感染で、コンピュータが起動不可能になる、不正侵入の結果として、集中管理ツールのようなものが不正プログラムの配信に悪用される、Linux や UNIX といった OS が攻撃の対象になる、などは、想定外と考えていた人たちもいるかもしれません。しかしここで重要なのは、このような攻撃は、その規模だけを見て例外的な事例として捉えずに、同様の攻撃は技術的にも可能であり、起こりうるものであるという前提でセキュリティ対策を行わなければならないということです。

    このようなサイバー攻撃の被害に遭わないためにも、従来からの基本対策をしっかり行っておくことが求められます。その上で、不正プログラムの侵入を前提とした対策を行うことが重要です。

    ■利用者向け:ウイルス感染を防ぐ心がけの重要性

  • ウイルス対策製品、その他セキュリティソフトを正しく最新の状態で使用する
  • OS やアプリケーションの最新セキュリティ修正パッチを適用する
  • 不審な Webサイトにアクセスしない、不審なメールを開かない/li>
  • 攻撃の手口を知り、騙されない
  • ■システム管理者向け:侵入を前提とした対策の実施

  • ネットワークやゲートウェイの通信監視により、不審な挙動の可視化対策を導入する
  • 外部不審サイトへの通信を遮断する対策を導入する
  • 仮想パッチなどを用いて、脆弱性対策の強化を行う
  • 万一インシデントを確認した場合の対応体制を整えておく
  • 基本的な対策についてのユーザへの周知、教育を徹底する