まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。

1.被害状況

• 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる
• 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能

2.攻撃手法

• 良くありがちなDDOSなんぞではなく、malware配布によるもの。
• 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。
• アンラボ社の見解(韓国語)
• 資産管理サーバーを乗っ取った手法は不明だが、APTにより管理サーバのアカウントを乗っ取ったものとアンラボ社は見ている。
• 資産管理サーバは恐らくパターンを配布するアンラボ社製品の中央管理サーバを指すと思われます。

アンラボ社製品紹介。
資産管理機能について触れられている

3.malwareの動き

結構凶悪ですね。感染力を無視し、可能な限りダメージを与えることを目的としているようです。

• MBR破壊。PCが起動できない状態となる
• つながっているHDD全消去。
• 多分mountされているドライブ全て。
• ファイルサーバーをネットワークドライブとしてmountしている場合、そっちもやられちゃうんじゃないかしら・・・

関連ソース

• symantecのウイルス解析結果報告
• trendmicroのウイルス解析結果報告

4.何が脅威か?

これは元気な少年によるウイルス作ったらなんとなく広がっちゃったよ的なレベルでは全くないし、Anonymous的な権威に反抗してやるぜベイベー的な物にも見えない。

今回犯人がやったことは下記の様なものだ思われます。

1. 攻撃すべきターゲットを明確に絞り込む
2. ターゲット組織内に浸入
3. アンチウイルスの中央管理サーバ乗っ取り
4. malwareを中央管理サーバに仕込み配布
5. 対象組織内全クライアントにmalware配布
6. 2013/3/20 14:00に一挙に起動。全クライアント壊滅

これは遊びのレベルではないし、金銭目的でもない。明確な意図を持った攻撃です。攻撃対象を軍に絞ったらどこまで行けたのでしょうか？

これは私にはサイバーテロというより明確なサイバー戦争による奇襲に見えます。下手すると本格攻撃を実施する前の威力調査かもしれない。

5.犯人は誰か？

現在では犯人を特定できるだけの情報はありません。状況から見て北朝鮮が当然強く疑われますが証拠は現時点ではありません。

攻撃の発信元が中国だったという話はありますが、単に中国の機械が乗っ取られて発信元に使われただけではないかと思います。中国の例の61398部隊が関与している証拠もないですし、恐らく違うでしょう。続報が待たれます。

6.誤解ないしデマ(の可能性が高いもの)

Windows 7のSP1を割れOSにあてたから全面ダウンした

そんなんではありません。明確なmalwareによる攻撃です

非正規版WSUSのアップデートサーバにmalwareが仕込まれていた

• アンラボ社の調査ではアンラボ社製品の資産管理サーバ経由と思われます。
• オリジナルの記事は「非正規WSUSが残っていればそういう攻撃も可能」という推定の話
• 明確に否定できるわけではないが、実際に現地で調査しているアンラボ社の調査のほうが信憑性は高いとみています

※オリジナル記事 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因