2013年6月25日朝、韓国国内で複数の Webサイトの改ざんやサーバダウンの被害が確認され、韓国政府はサイバー危機警報のレベルを平常時の 1 から 5段階の 3(注意レベル)に引き上げました。この大規模サイバー攻撃事例についてトレンドマイクロでは 6月26日のブログ、6月27日のブログで取り上げてまいりましたが、今回は周辺情報を含めた全体像とこの事例から得られる教訓をまとめたいと思います。なお、本ブログ中では今回の事例を便宜的に「6・25攻撃」と呼びます。
■被害の全体像
韓国政府の発表を元に、6・25攻撃で発生した被害をまとめると以下の通りとなります。
| Webサイト改ざん | 大統領府(president.go.kr)など 4つの Webサイトが政治的メッセージを含む内容に改ざんされた |
| DDoS攻撃 | 2カ所の DNSサーバ(韓国政府関連 WebサイトのプライマリDNSサーバおよびセカンダリDNSサーバ)がダウンし、複数の韓国政府関連サイトへの接続障害が発生した |
| サーバダウン | 131台のサーバがダウン |
上記韓国政府の発表に含まれていない企業への DoS攻撃やサーバダウンなどの被害もあり、全体的な被害はより大きいものとなるでしょう。また、韓国政府の発表に含まれていない被害として、機密情報の暴露があります。これについては、韓国政府や政党関係者の個人情報が Pastebin などのサイトにアップロードされていたことが確認されています。
韓国政府ではこの攻撃を受けて、政府合同調査チームによる被害原因の調査を行うと同時に、インターネット上のサーバについて脆弱性チェックやセキュリティ対策強化を求める依頼を韓国内の企業などに出しています。
■攻撃の背景
6・25攻撃の背景として、「Anonymous(アノニマス)」を名乗るハッカー集団の攻撃予告があります。アノニマスが「#OpNorthKorea」と呼ぶこの攻撃は、韓国ではなく隣国の北朝鮮を攻撃対象とするものでしたが、6・25攻撃が発生したのと同じ 6月25日を攻撃日としていました。この #OpNorthKorea は同じ 6月25日に実施され、北朝鮮国内外の関連 Webサイトをアクセス不可にさせたり、北朝鮮の各種機密の公開や WikiLeaks への提供などが行われたことをアノニマスが公表しています。
6・25攻撃はこのアノニマスの #OpNorthKorea攻撃予告に便乗し、攻撃者がアノニマスであるかもと思わせる意図があったことは明らかです。例えば、大統領府などの改ざんページにはアノニマスのロゴや、トレードマークであるガイフォークスの仮面、また「Hacked by Anonymous」などの文字列が表示されていました。また、機密情報の暴露に関しても、アノニマスの攻撃名に似せた「OPKOREA」を名乗っていることもわかっています。これに対し、アノニマスでは6・25攻撃はアノニマスが行ったものではない旨を既に表明しています。ちなみにアノニマスが #OpNorthKorea の攻撃日として選択した 6月25日は朝鮮戦争が開始された日です。
■以前の攻撃との類似性
トレンドマイクロでは6・25攻撃の全体像の中でも特に DDoS攻撃の攻撃手法について詳細な分析を行ってまいりましたが、その中で、6・25攻撃と過去に韓国で発生しているサイバー攻撃との共通点についても確認しています。6・25攻撃以前の、韓国に対する大規模サイバー攻撃として、すぐに思い起こされるのは今年 3月に発生したものでしょう。6・25攻撃は今年 3月の事例とも共通点は多いものですが、それ以前の 2011年3月の事例とは、DDoS攻撃用ツールの拡散において、まったく同じ手法を使用していました。
6・25攻撃では、DDoS攻撃の基盤を確保する攻撃として、「SimDisk」と「Songari」という 2つのファイル共有/オンラインストレージサービスを悪用しました。これらのサービスの利用には専用ソフトのインストールが必要ですが、各サービスのサイトを改ざんし、専用ソフトのインストーラを改変した不正なものと置き換えました。これにより、各サービスのユーザ環境に攻撃ツールを送り込み、DDoS攻撃基盤を拡大しました。この攻撃手法は 2011年3月事例でもまったく同様で、ファイル共有/オンラインストレージサービスの専用ソフトのインストーラを不正なものと置き換えることで攻撃基盤の拡大を果たしていました。異なるのはサービスの提供者のみであり、2011年3月事例では、「Sharebox」、「SuperDown」、「Filecity」、「bobofile」といった 4つのサービスが悪用されています。
■「6・25攻撃」から得られる教訓
6・25攻撃は韓国の事例ではありますが、どの国であっても適用できるいくつかの対策上の教訓を得ることができます。攻撃は以前より準備されており、攻撃基盤の構築や情報の窃取の段階で攻撃に気づける可能性は大いにあったはずです。その点で本ブログにて特に着目したいのは、攻撃基盤構築の段階で行われた、一般ソフトの信頼性を逆手に取った不正プログラム頒布の攻撃手法についてです。韓国のサイバー攻撃においては継続して一般ソフトが不正プログラム頒布において悪用されてきたことがわかりました。6・25攻撃と 2011年3月事例ではインターネット上のファイル共有/オンラインストレージサービスの専用ソフトが、2013年3月事例では組織 LAN内のセキュリティ対策製品が悪用されました。このような攻撃は他では起こり得ないのでしょうか。
その答えは、6月28日のブログ記事で取り上げたように、すでに出ています。Operaブラウザで知られるノルウェーの Opera Software社では、同社のネットワークが侵害されデジタル証明書が窃取されるとともに、そのデジタル証明書を悪用した不正プログラムが Operaブラウザの自動更新機能で配布されてしまったことを 6月26日に公表しています。攻撃者は常に効果的な攻撃方法を模索しており、このような一般ソフトのベンダーや配布サイトなどへの攻撃から不正プログラム頒布を行う手法が、今後さまざまな場所で発生するようになる可能性は高いと思われます。
このような一般ソフトが侵害されるような攻撃が発生した場合、エンドユーザにできる対策はほとんどないと言えるでしょう。使用しているソフトのアップデート毎にその正当性を自身で判定する、というような対応はまったく現実的ではないからです。それでも、ウイルス対策製品のような最低限の対策や、侵入した不正プログラムから脅威の連鎖を断ち切る対策として不正Webサイトへのアクセスをブロックする機能を持つ対策製品は必ず導入しておくべきです。
このような攻撃を発生させないためには、ソフトウェアの提供者側が提供サイトやモジュールが侵害されないように、また、侵害されても短時間で気づき対応できるように、以下のような対策を整えておく必要があります。
-
◎サイト自体が不正侵入の被害に遭わないための対策
- ・サーバのOSやアプリの脆弱性の状況を把握し、アップデートもしくは脆弱性の緩和策を適用する
- ・WAF(Webアプリケーションファイアウォール)やIDS/IPSといった侵入防止対策(特に存在する脆弱性への攻撃を防護する)を適用する
- ・サーバにリモートアクセス可能な管理用アカウント(管理ツールやFTP、SSHなど、)とパスワードの管理を徹底する
- ・サイトの改変を監視し警告する対策を導入する
- ・モジュールの正統性をチェックし、改ざんされたモジュールを配信したり適用したりしない機能をWebシステムやアプリケーションに実装する
◎改ざんされた場合も被害を最小限に留める対策
これらはこれまでも当然対策されてきたことであるはずですが、今後はソフトウェアベンダーの責任としても一層の対策が求められるでしょう。