2011年8月2日、本ブログ上で報告した7月末に確認された韓国「SK Communications」の大規模個人情報が漏えい事件。その後この事例について調査していく過程で、新たな情報が明らかになりました。8月4日に、セキュリティソフトや圧縮・解凍ソフトなどのソフトウェア開発を手がける韓国企業「ESTsoft」が、同社のアップデートサーバの 1つが改ざんされていたことを公表したのです。このことから、今回の大規模情報漏えいに関する攻撃で対象となった企業は、当初の報告よりも広範囲に及ぶのではないかと考えられます。
 |
|
|
■「ESTsoft」提供のアップデートサーバ改ざんが今回の大規模情報漏えい事件の発端か
ESTsoft からの報告によると、DLL のアップデートモジュール内に脆弱性が存在しており、サイバー犯罪者はこの脆弱性を利用して、感染コンピュータに不正なファイル(「BKDR_SOGU.A」として検出)を作成したとみられます。「TrendLabs(トレンドラボ)」では、SK Communicationsからの情報漏えいに関連している可能性があるとして、「BKDR_SOGU.A」の解析結果を「TrendLabs Malware Blog(英語情報)」で公開しています。
同社は、8月4日にこの脆弱性に対応する修正パッチを公開するとともに、現在韓国の司法当局と協力し、改ざんの原因とその影響の範囲について調査中であることも強調しています。
8月10日現在、ESTsoft に対して行われた攻撃について不明な点も残っていますが、上述の事柄から、同社のアップデートサーバの改ざんがきっかけとなり、最終的に SK Communications からの情報漏えいにつながったとも推測できます。また、この ESTsoft からの報告により、今回の大規模情報漏えいに関する事例では、SK Communications 以外の企業も攻撃を受けていたことが明らかになりました。このことからも、今回の攻撃は、特定の企業を狙った「標的型攻撃」として仕掛けられたものではないといえるでしょう。サイバー犯罪者は、まず、「予備調査」としてさまざまな攻撃を仕掛け、Webサーバなど誰でもがアクセス可能なインターフェイスに脆弱性のあるものが存在するかを確認し、同時に、それらの脆弱性のあるインターフェイスが利用可能かも確認したようです。今回の事例の場合、ESTsoft のアップデートサーバは、サイバー犯罪者が不正なファイルを作成し、感染を広げるための「感染経路」とするのに好都合であり、一方、SK Communications から漏えいした個人情報は、サイバー犯罪者が次なる攻撃を仕掛けるのに有益だったと考えられます。
■企業に求められるセキュリティ強化
これまでにも情報漏えいは幾度となく発生しており、こうした事例から、有名企業や多くの機密情報を取り扱う企業には、より厳重なセキュリティ対策が求められていることは周知の通りです。従来型、つまりパターンファイルだけでエンドポイントを保護する方法では、未知の新たな不正プログラムをブロックすることは困難となります。
しかしながら、たとえ精度の高いセキュリティ情報やセキュリティイベント管理のソリューションを購入し、ログファイルを常に数人のスタッフで監視していても、それらのソリューションが実際の感染についての情報を提供していなければ、その環境が脅威から守られている保証とはなり得ません。ひとつの選択肢としてトレンドマイクロでは、企業内に潜在する不正プログラムの通信を可視化する「Trend Micro Threat Management Solution」を提供しています。
今回の事例は、韓国における情報セキュリティの現状を示すこととなりました。韓国政府は、オンラインでのユーザ認証のために実名や社会保障番号、電話番号などの登録を求めています。しかし、今回のような事例が起きた場合、それらの情報が流出してしまいます。そのため、ユーザの個人情報をどのようにして守るのか、そのためには現行の確認方法を変更する必要があるかどうか調査中のようです。
なお、今回のESTsoftからの報告をきっかけに、韓国では、ますます多くの地元企業が情報セキュリティの予算を増やす傾向にあるようです。
参考記事:
- 「Updates on the SK Comms Data Breach」
by Marco Dela Vega (Threats Researcher)
翻訳・編集:橋元 紀美加(Core Technology Marketing, TrendLabs)