3/20 韓国同時多発サイバー攻撃について

malware

3月20日の午後、韓国の複数の放送局、金融機関において同時多発的にマルウェア感染によるシステム停止が発生しました。本記事では現在公開されている外部情報をもとに、事件の概要をまとめます。

事件の概要

3月20日の午後2時過ぎに韓国の複数の組織において同時多発的にシステム停止が発生しました。現在被害が確認されているのは、以下の 3つの放送局と 3つの金融機関です。(なお 3/21になって、これらの組織のシステムはほぼ復旧したとの報道もありましたが、3/22の KCCの報告によると完全復旧には時間がかっているようです。)

  • KBS
  • MBC
  • YTN
  • 新韓銀行
  • 済州銀行
  • 農協銀行 (複数の農協関連金融機関を含む)

システム停止の原因となったのは Windows PCへのマルウェア感染で、このマルウェアは PCのハードディスクの MBR (Master Boot Record) 領域と VBR (Volume Boot Record) 領域、そして論理ドライブのデータなどファイルシステムの他の領域も破壊します*1。その後 PCは強制的に再起動されますが、MBRが破壊されているため OSが起動しない状態となります。韓国の放送通信委員会 (KCC) の報告によると、上記 6社あわせて、およそ 32,000台の PCが被害にあったということです。これにより上記の 6社では、社内システムやインターネットバンキング、ATM等に影響が及んだ模様です。またこのマルウェアは 3月20日の午後 2時に破壊活動を開始するようにスケジュールされていました*2。現在、韓国インターネット振興院 (KISA) では専用の駆除ツールを Webで公開し対応しています。

なおこのマルウェア自体は Windows PCにしか感染しませんが、UNIX系の OS (AIX, HP-UX, Solaris, Linux) に SSHで接続し、ハードディスクの内容を破壊するスクリプトも含まれていました。


次にマルウェア感染の原因ですが、攻撃者は被害にあった組織内部の資産管理サーバ (アンチウイルスソフトの更新管理サーバ) を乗っとり、その更新の仕組みを利用して PCにマルウェアを配布しています。対象となったのは AhnLab社の APCサーバと Hauri社の ViRobot ISMSサーバです。これらのアンチウイルスベンダーがインターネット上で運用しているアップデートサーバからマルウェアが配信されたとの報道も当初ありましたがこれは間違いです。攻撃者はなんらかの方法で組織内ネットーワークに侵入し、更新管理サーバを乗っ取ったと思われますが、その攻撃経路については現時点ではまだわかっていません。なお KCCの報告によると、農協のシステムにおける分析の結果、中国の IPアドス (101.106.25.105) から更新管理サーバに接続があったことを確認したとありますが、必ずしも中国の関与を示すわけでないので注意が必要です。また北朝鮮の関与を疑う報道もありますが、直接的な証拠は報告されていません。

(3/22 16:50 追記)
3/22の KCCの報告によると、中国の IPアドレスから接続があったというのは間違いで、社内からのアクセスだったようです。グローバルアドレスを社内で割り当てて使用していたということだと思われます。


今回の事件では、主に韓国で利用されているソフトウェアの更新管理サーバおよびそのソフトウェアを利用している PCが攻撃の対象となっており、かつ一部の特定の組織が狙われていることから、日本国内を含め他の企業にすぐに影響が及ぶことはありません。一方で、今回のような組織内部の管理サーバからマルウェアが配布されるという攻撃手法については、国内でも発生する可能性があり、注意を払う必要があると考えます。


今後、攻撃者の侵入経路などについての調査が進んで新しい情報が入り次第、適宜更新したいと思います。

関連URL

(セキュリティベンダー各社からの報告)

AlienVault Labs *3
http://labs.alienvault.com/labs/index.php/2013/information-about-the-south-korean-banks-and-media-systems-attacks/
http://labs.alienvault.com/labs/index.php/2013/a-theory-on-the-south-korean-attacks/

FireEye
http://www.fireeye.com/blog/technical/botnet-activities-research/2013/03/more-insights-on-the-recent-korean-cyber-attacks-trojan-hastati.html

McAfee *4
http://blogs.mcafee.com/mcafee-labs/south-korean-banks-media-companies-targeted-by-destructive-malware

Sophos
http://nakedsecurity.sophos.com/2013/03/20/south-korea-cyber-attack/

Symantec
http://www.symantec.com/connect/blogs-48
http://www.symantec.com/connect/blogs/linux-wiper

Trend Micro *5
http://blog.trendmicro.co.jp/archives/6911
http://blog.trendmicro.com/trendlabs-security-intelligence/how-deep-discovery-protected-against-the-korean-mbr-wiper/

Ahnlab *6
http://asec.ahnlab.com/926
http://blog.ahnlab.com/ahnlab/1728

Hauri
http://www.hauri.co.kr/customer/support/hauri_notice_view.html?intseq=300&page=1&keyfield=&key=

nProtect
http://erteam.nprotect.com/408

RedAlert
http://training.nshc.net/KOR/Document/virus/4-20130321_320CyberTerrorIncidentResponseReportbyRedAlert.pdf (version 1.5)
http://training.nshc.net/KOR/Document/virus/5-20130322_320CyberTerrorIncidentResponseReportbyRedAlert.pdf (version 1.6)

FFRI
http://www.fourteenforty.jp/blog/2013/03/2013-03-22-1.htm


(韓国の政府関連機関からの報告)

KISA (Korea Internet Security Agency)
http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=2033
http://www.boho.or.kr/kor/download/download_03_1.jsp

KCC (Korea Communications Commission)
http://www.kcc.go.kr/user.do?boardId=1042&page=P05030000&dc=K05030000
http://www.kcc.go.kr/user.do?mode=view&page=P05030000&dc=K05030000&boardId=1042&cp=1&boardSeq=36097
http://www.kcc.go.kr/user.do?mode=view&page=P05030000&dc=K05030000&boardId=1042&cp=1&boardSeq=36105

補足情報

今回の事件発生とほぼ同時期に起きた以下の事象について、今回の事件との関連性は不明です。

  • LG U+のグループウェアシステムが "Whois Team"というハッカーによって改ざんされたとの報告がありましたが確認できていません。(その後、いくつかの情報ソースで改ざんが確認できました。)
  • ウリィ銀行も同時期に攻撃を受けたものの感染はしなかったとの報道がありましたが確認できていません。
  • Avastによると、韓国の Webサイトで不正に JavaScriptが混入されたことによるマルウェア感染があり、韓国の金融機関のユーザーをターゲットにしたと見られています。
  • 米国にある北朝鮮の人権保護を目的としたNGO団体の Webサイトが攻撃されています。

なお韓国では 2009年7月と 2011年3月にも大規模なマルウェア感染の事件が発生し、この時にも今回のような MBRを破壊するマルウェアが使用されています。しかし現在のところ、これらの事件との関連性はわかっていません

(3/22 15:35 追記)
"Whois Team"による改ざんの YouTube動画があったので紹介しておきます。改ざんされたサイトは gyunggi.onnet21.comだったようです。

130320 LG U+ Groupware Hacked by Whois Team 후 ...

(3/22 15:45 追記)
Renesys Blogで今回の事件の影響によるサービス停止について、観測結果が報告されています。
http://www.renesys.com/blog/2013/03/more-outages-in-koreas.shtml


(更新履歴)

  • 3/22 14:50 Trend Micro社のリンクと脚注を追加しました。
  • 3/22 15:15 RedAlertレポートの最新版 (version 1.6)の URLを追加しました。
  • 3/22 15:35 "Whois Team"に関する YouTube動画を追加しました。
  • 3/22 15:45 Renesys Blogの記事を追加しました。
  • 3/22 16:50 KCCの最新報告内容を反映しました。また URLも追加しました。
  • 3/22 17:20 KISAのサイトに掲載されている KCCの情報を「KISAによると」と表現していたため、「KCCによると」に修正しました。

*1:Windowsのバージョンによって細かい動作が異なっています。AhnLab社の報告が詳しいです。

*2:複数のマルウェアが確認されており、実行後すぐに破壊活動を行うもの、スケジュールされた時間に行うものなどがあります。

*3:AlienVault社は今回利用されたと思われるマルゥエアのファイル名などから、他の関連するマルウエァの挙動について分析を行っており、事前に Exploit Kitを利用した感染活動があったのではないかと推測しています。またこれは Avast社の報告している活動と類似しています。

*4:McAfee社によると、今回のマルウェアと類似のマルウェアが昨年8月と10月に観測されていますが、MBR破壊機能がないなどの違いがあります。

*5:Trend Micro社によると、3/19に韓国の企業においてマルウェアが添付されたメールを検知しており、これが今回の攻撃のトリガーではないかと見ているようです。

*6:AhnLab社によると、APC(Ahnlab Policy Center)のソフトウェアに脆弱性があったわけではなく、サーバ自体の管理者権限が何らかの方法で奪取されたとあります。