韓国では2013/3/20の14時頃、主要テレビ局3社、大手銀行などの社内イントラネットがほぼ同時間帯から使えなくなったことが報道されています。
『(前略)
聯合ニュースによると、システムがダウンしたのは韓国のKBSテレビとMBCテレビ、YTNテレビの3放送局と、新韓銀行の情報システムである。「社内業務システムがダウンした」「社内メールが使えない」「社内パソコンが起動できない」などの被害が報告されている。』
http://itpro.nikkeibp.co.jp/article/NEWS/20130320/464581/
報道時点では外部からの大規模テロ攻撃の疑いがあるということで、北朝鮮のハッカー集団が疑われていましたが、ネット上では、今回の被害に韓国軍が含まれていないことに着目し、「Windows7のアクティベーション回避(ライセンス料未払いでOSを利用)が原因の障害ではないか」との話題が広まっています。
『128 +7:名無しさん@13周年 :sage:2013/03/20(水) 22:11:40.79 ID: NnrTug/uP (1)win7 SP1 強制うpデート開始
http://gigazine.net/news/20130319-win7-sp1-rolling-out/
160 三毛(catv?) sage New! 2013/03/20(水) 18:57:13.70 ID:bDliyWCV0
>>114
調べてたら思い出した。
Windows 7のアクティベーション回避法のうちの1つにMBRを使った方法があって、これを適用した環境でService Pack 1をインストールすると起動できなくなる、というトラブルがあったはず。もしかしてこれに引っかかったんじゃ・・・・・
『20日午後、KBS、MBC、YTN [040300]、新韓銀行、農協など放送・金融機関の電算網を麻痺させた、悪意のあるコードは、これらの機関のPCブート領域(MBR)を破壊したことが明らかになった。
政府は、放送通信委員会、警察庁、韓国インターネット振興院などにサイバー脅威合同対策チームをKBSなど派遣、被害を受けたPCからマルウェアのサンプルを入手して分析した結果、このよう明らかになった。放送通信委員会は同日午後、2次ブリーフィングで"被害機関から採証した悪意のあるコードを分析した結果、特定のベンダーのアップデータ管理サーバー(PMS)で悪性コードが流布されたものと推定される"と説明した。しかし、悪意のあるコードが流布された具体的なポイント等については確認していなかった。
合同対策チームは、国の公共機関の被害がないものと認識しており追加のマルウェアなどの攻撃に備え、全機関に警戒を強化して攻撃発生時の迅速なリカバリシステムを稼動するように措置した。政府はコンピュータ・ネットワーク麻痺の原因が分析されるように国家サイバー安全戦略会議を開き、国家レベルのフォローアップなどを議論する予定である。』
(ソウル=連合ニュース)
これ、ぶっちゃけほぼ原因確定ですね。』
http://uni.2ch.net/test/read.cgi/newsplus/1363783710/
いくつかのサイトでは、韓国軍は以前、マイクロソフトとWindows7のアクティベーションに関するやりとりで多額のライセンス料請求を受けていたことに触れており、その結果、同軍は正規ライセンスで利用することになったから、今回は問題が発生しなかったと推測していました。
もっともらしく思えたこの推測ですが、その後、セキュリティベンダーの調査も進み、3/21木曜昼時点で、以下の情報まで判明しています。
『(前略)
アンラボは現地時間3月20日午後6時に同社Webサイト上で専用のワクチンソフトの提供を開始して、検査、治療を実施できる体制を整えている。同社Webサイトによると、今回のサイバー攻撃はマルウエアを利用したもので、感染するとハードディスクが破壊される。
Windows XPおよび同 2003 Serverでは、物理ディスクのMBR(マスターブートレコード)とVBR(ボリュームブートレコード)にゴミデータを書き込んでハードディスクを破壊する。Windows Vistaと同 7では、論理ドライブのすべてのファイル内容を削除してハードディスクを破壊する。
シマンテックはマルウエアと推測される「Trojan Horse/Trojan.Jokra」と「WS.Reputation.1」を検知しているとブログで解説している。
(中略)
今回の攻撃内容は目新しいものではなく、2012年8月に中東でも同様の被害を受けた組織が多くあったとしている。』
http://itpro.nikkeibp.co.jp/article/NEWS/20130321/464626/
また、直近のニュースでは、攻撃元のIPアドレスは中国のものであったとの報道がロイターからありました。韓国政府は、これまでも中国内からの北朝鮮ハッカーによるサイバー攻撃があったと発表しており、今回もその可能性は十分あるでしょう。先日、北朝鮮は韓国との休戦協定を破棄すると通告しており、名実ともに現在の韓国は北朝鮮と交戦状態になったと理解して良いかもしれません。
完全解析にはさらに5日程を要すると韓国政府は発表しており、続報がある程度分かったら、再度取りまとめます。
【2013/3/22 続報】
ITproにて本件の取りまとめがありました。
◎マルウエアまん延の原因はパッチ更新管理サーバーのハッキング、韓国政府
→
http://itpro.nikkeibp.co.jp/article/NEWS/20130321/464942/?ml ◎韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
→
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/?ml韓国内で使用されているWindowsのパッチ提供サーバ(不具合・バグフィックスプログラムを配布するサーバ)の参照先がマイクロソフトが関知しない非公式サーバを参照しており、そこで正規版のパッチに混じってマルウェア(悪意のあるパッチ)が配布されていたため、膨大な数の企業内Windwsサーバが感染し、システムが破壊される(3/20の14時にOSが削除される)という甚大な被害につながったとのことです。
このことから分かるのは、韓国内の大手企業でさえ、社内で使用しているWindowsパッチ提供サーバの少なくない数が、海賊版のWindowsを搭載していたということです。好意的に解釈すれば、このせいで他の健全なWindowsサーバも被害に遭ったと言えますが、悪意を持って解釈すれば、他の業務サーバもかなりの数の海賊版Windowsサーバが使用されていたのではないかという疑惑が出たということです。
過去に韓国では海賊版Windowsが多数稼働しており、マイクロソフトが問題解決に取り組んでいたという事実がありますので、後者の疑惑はそれなりの信憑性をもって捉えられることでしょう。
posted by 吉澤準特 at 15:47
|
Comment(0)
|
TrackBack(0)
|
業界裏話