■韓国企業に対してどのような攻撃が行われたのか？
これまでトレンドマイクロが独自に収集している情報から、ソーシャルエンジニアリングを悪用したメールが、標的となった組織への侵入のきっかけになっている可能性があると推測しています。また、侵入後、ネットワーク内のコンピュータを管理するために使われる「集中管理ツール」を使って、「マスター・ブート・レコード（MBR）」を上書きしてコンピュータを起動不可能にする不正プログラム「TROJ_KILLMBR.SM」を配信したことも分かっています。

図1：韓国企業に対するサイバー攻撃の流れ

今回の攻撃の全体的な流れとしては、以下のような形で展開された可能性があると推測されます。

1. なりすましメールを使って不正プログラムを送信、ユーザが開くと感染
2. 偽のサイトを表示して正規サイトにアクセスしているかのように見せかける裏で不正なURLに接続
3. 接続した不正URL からさらに別の不正プログラムをダウンロード
4. 何らかの手法を使って集中管理ツールのサーバにアクセスし、「TROJ_KILLMBR.SM」を用意
5. 集中管理ツールを使ってネットワーク上の Windows端末に「TROJ_KILLMBR.SM」を配布、すべてのファイルを消去し MBR をごみデータで上書き
6. ネットワーク上の Linux／UNIXサーバを探し、AIX、Solaris、HP-UX を見つけると MBR情報をごみデータで上書き。また Linux、Solaris の場合、重要なディレクトリを削除

図2：2013年3月20日14:00の「時限爆弾」の確認ルーチン

図3：クリーンな状態の破壊前のハードディスクと、上書きされ破壊されたハードディスク

■今回のサイバー攻撃で特徴的なことは？
その破壊力から大きく報道でも話題になっている今回のサイバー攻撃ですが、その攻撃手法などについて、いくつか極めて特徴的なことがあります。

■今回のサイバー攻撃から学ぶべきことは？
今回の攻撃では、一斉に大量のコンピュータがマヒしたことによるインパクトは極めて大きいと言えます。不正プログラムによる感染で、コンピュータが起動不可能になる、不正侵入の結果として、集中管理ツールのようなものが不正プログラムの配信に悪用される、Linux や UNIX といった OS が攻撃の対象になる、などは、想定外と考えていた人たちもいるかもしれません。しかしここで重要なのは、このような攻撃は、その規模だけを見て例外的な事例として捉えずに、同様の攻撃は技術的にも可能であり、起こりうるものであるという前提でセキュリティ対策を行わなければならないということです。

このようなサイバー攻撃の被害に遭わないためにも、従来からの基本対策をしっかり行っておくことが求められます。その上で、不正プログラムの侵入を前提とした対策を行うことが重要です。

■利用者向け：ウイルス感染を防ぐ心がけの重要性

■システム管理者向け：侵入を前提とした対策の実施