DRAGON'さんのブログ
韓国の大規模サイバー攻撃に関して…。
非正規Windowsサーバーのパッチ配布が原因との説が…。
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/
”3月20日に韓国で発生した大規模サイバー攻撃(関連記事1、関連記事2)。同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。
筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。
まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。
非正規ライセンスのWindowsサーバーが残ったままか
だが、それはあくまでクライアントレベルであり、Windows Server Update Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。実際にファイルの提供そのものはAkamaiのネットワークを経由している。
そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。 ”
個人的には、非正規だと知っていて安いから使っていた気がしないでもないですが。>今回の被害先。
なんせ、著作権とか知的財産とか何それ美味しいの?って国ですから。
まぁそれは兎も角、
シマンテックが今回の件に関して、今回の件に関して情報提供(但し上記サイトは英語)してくれてますが、どうもご丁寧にハードディスクの初期化までやってくれるみたいですね。
なお他のソース(韓国語のニュースを有志が訳した物ですが)
サイバーテロを受け、新韓銀行や農協などの金融機関は、バックアッププログラムを使用してし、
サーバー関しては回復させることができた。 しかし、報道機関など放送局の全PCに関しては復旧は絶望的であるとされた。
…との事でした。被害は結構甚大な様です。
PS.
サーバーに関しては復活ってデーターの方は?って突っ込みを入れたくなるんですが…ね。
PS2.
そーいや、こんな韓国にデーターセンターを置いた企業が有りましたね。あえて何処とは書きませんが…。大丈夫かい?
-
関連銘柄:
KDX200(1313) -
タグ: