2013-03-23
2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。
インシデントまとめ | |
で、韓国のサイバー攻撃ってつまるところ何だったの?
という方は既に素晴らしく整理された情報が沢山あるのでそちらを読めば万事解決になると思います。
- 韓国同時多発サイバー攻撃について - セキュリティは楽しいかね? Part 2
- 韓国で発生した大規模サイバー攻撃、日本は大丈夫か? - ITpro
- 韓国への大規模サイバーテロ事件について | snowwalker’s blog
ここではいくつかトピックを絞って報道や政府、セキュリティベンダから発表されている情報をまとめています。また、まとめるにあたり多数の韓国語記事をインプット対象としていますが、piyokangoに韓国語力がないため翻訳サイトを通して内容を確認しています。元の記事の意味と異なる可能性があり、その際はご指摘いただけると大変ありがたいです。
尚、このサイバー攻撃と関連性が不明な下記情報についてはここでは割愛しました。
他、まだ載せきれていない情報があるので適宜更新していく予定です。
サイバー攻撃を受けた組織の被害情報
ここではサイバー攻撃を受けた6つの組織に関する被害の情報をまとめます。韓国放送通信委員会(KCC)によれば6組織あわせた被害総台数は約32,000台とのことです。
- 農協銀行
- 新韓銀行
- 済州銀行(新韓銀行の子会社)
- 詳細被害台数不明
- 支店従業員の端末を中心とした被害
- KBS
- 職員PC約5000台が被害、基幹業務システムへの影響も *7
- hauriのViRobotを利用。
- MBC
- 約800台(全社台数の半数程度)が被害
- Ahnlabのセキュリティソリューションを利用。
- YTN
- PC約500台、サーバー5,6台が被害
- hauriのViRobotを利用。
被害直後の各組織の対応・状況
被害後の組織の状況、及びその対応をまとめます。
- 農協銀行、及びその関連組織
- サイバー攻撃発生後、営業店舗の窓口業務が麻痺。
- 農協生命、農協損保でも同様の被害が発生した。
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。
- 新韓銀行
- 済州銀行
- 支店の端末内のファイルが削除された。
- ATM利用に支障が生じた。
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。
- KBS
- MBC
一連のタイムライン
韓国
- 2013/03/20
- 14時〜
- 15時〜
- 16時〜
- 21時〜
- KBSがデジタルニュース室の機器を使い内部の報道情報システムを限定復旧。*30
- 時間不明
- 2013/03/21
- 2013/03/22
日本
- 2013/03/21
- 2013/03/22
政府合同対策チームによる調査状況
- 済州銀行を除く5つの組織(農協、新韓銀行、KBS、MBC、YTN)を対象に調査・分析中。
- これら組織から悪性コード14種類を確認。
- 農協以外の資産管理サーバーで異常な接続を試みた海外のIPアドレスを確認。
- 農協のシステムからは海外のIPアドレスは確認されなかった。
- 済州銀行は悪性コードの入手ができていない。
参考元: *39
今回のサイバー攻撃スキーム
冒頭紹介したまとめ記事でも説明ある通り、破壊被害を受けた端末にマルウェアを格納、実行させたのは各社が導入している資産管理サーバー(ウィルス対策ソフトの更新管理サーバー)であるとKCCが報告しています。この資産管理サーバーへどのように入り込んだのかについてはセキュリティベンダがメールやWebを通じた感染等様々な推測情報を出しているものの、3月22日時点で確定的な情報は出ていません。攻撃をだれが行ったかについても、一時農協システムへ接続していたIPアドレスから名指しでの推測が行われていましたが、このIPアドレス情報自体が誤報であったことが改めて報告され、現在攻撃元を確定させる情報は出ていません。
サイバー攻撃で使われたマルウェアに関する情報
セキュリティベンダ等から報告されている情報をまとめたマルウェアの活動フローは下記の通りです。赤枠がディスクの消去を行い破壊活動を行っている処理となります。報告されている解析情報を見る限りでは大枠の動きは同様と思われますが、自動実行される時刻(Symantec解析報告より)が異なっていたり等、挙動が一部異なる亜種も確認されているため、下記フローは参考程度として見るに留めて頂くことを推奨します。
入手した検体を実行してみたところ、実行後即再起動するのではなく、しばらくしてから再起動が行われました。これは上記フローでも書いている通り、改ざんをしてから再起動をするまでの間にディスクの削除処理を行っているためと考えられます。組織によりシステムトラブルが発生した時間に差が生じたのは、予めそのように仕組まれていた可能性も否定できませんが、恐らくは組織で導入されている端末のスペックによる影響を受けたためではないかと考えられます。
セキュリティベンダの解析情報(関連情報含む)
- AlieanValut Lab
Information about the South Korean banks and media systems attacks (魚拓)
A theory on the South Korean attacks (魚拓) - AhnLab
주요 방송사 및 은행 전산망 장애 유발 악성코드 분석 (魚拓)
방송사 및 금융사 공격 관련 중간 분석 결과 발표 (魚拓) - Avast
Analysis of Chinese attack against Korean banks (魚拓) - FFRI
2013-03-22 緊急レポート:韓国サイバー攻撃マルウェア検証 (魚拓) - FireEye
More Insights on the Recent Korean Cyber Attacks (Trojan.Hastati) - HAURI
주요 방송사 및 금융기관의 전산망 마비 관련 악성코드 정보 (魚拓) - McAfee
韓国の銀行、メディアに対するサイバー攻撃事件について (魚拓) - nProtect
[긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생 (魚拓) - NSHC SECURITY
Red Alert Research Report 3.20 South Korea Cyber Attack v1.6(PDF) - Sophos
DarkSeoul: SophosLabs identifies malware used in South Korean internet attack - Symantec
韓国の銀行と放送局に、大規模なサイバー攻撃 (魚拓)
韓国でのサイバー攻撃で、リモートの Linux Wiper 見つかる (魚拓)
Different Wipers Identified in South Korean Cyber Attack (魚拓) - TrendMicro
Deep Discovery Protects Users From Cyber Attacks In South Korea (魚拓)
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認 (魚拓)
How Deep Discovery Protected Against The Korean Cyber Attack (魚拓)
マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは? (魚拓)
更新履歴
- 2013/03/23 AM 新規作成
- 2013/03/23 AM ニュースソースを追加
- 2013/03/23 PM 最新情報、追加情報を反映
- 2013/03/24 AM 政府合同対策チームの調査状況を追加、誤植修正
- 2013/03/24 AM 最新情報反映、セキュリティベンダの解析情報のリンク、日本の対応状況を追加
*1:삼성전자, 방송국·은행 해킹 피해 PC 무상수리,YonhapNews,2013/03/24アクセス:魚拓
*2:신한은행·농협·제주은행, 정상영업...ATM기기 일부 복구중!,hauri,2013/03/23アクセス:魚拓
*3:전산망마비 3일째…농협銀 ATM 4대중 1대 장애,MONEYTODAY,2013/03/23アクセス:魚拓
*4:농협생보·손보, PC데이터 복구 작업 진행중,FNN News,2013/03/23アクセス:魚拓
*5:[전산망 마비]사이트 대부분 복구, 中 추적중,ZDNet Korea,2013/03/23アクセス:魚拓
*6:[전산망 마비]신한은행 업무 마비...주전산 문제,ZDNet Korea,2013/03/23アクセス:魚拓
*7:今度は第2次攻撃だ! サイバー攻撃受けたTV局・銀行、対応追われる,東亜日報,2013/03/23アクセス:魚拓
*8:[속보]‘방송사·은행 전산망 마비’ 북한 사이버테러 가능성 높아,etoday,2013/03/24アクセス:魚拓
*9:방송사 전산망 마비 “재부팅 안돼”,fnn news,2013/03/23アクセス:魚拓
*10:신한·농협銀 전산장애로 영업점 등 업무 마비,kado.net,2013/03/23アクセス:魚拓
*11:방송 금융사 정보 전산망 마비, 네트워크 이상징후 없어 해킹 의혹,bluekoreadot.com,2013/03/23アクセス:魚拓
*12:은행·보험사 동시다발 전산장애에 고객 `대혼란',kookje,2013/03/23アクセス:魚拓
*13:전산망 마비, 방송사들 패닉…원인도 몰라,dongA.com,2013/03/23アクセス:魚拓
*14:[3·20 전산망 마비]방송사 속수무책... 피해 정도도 파악 어려워,ETNEWS,2013/03/23アクセス:魚拓
*15:부산서도 방송사·농협 전산망 마비 '대혼란',BUSAN.COM,2013/03/23アクセス:魚拓
*16:MBC 전산망 마비..개인 노트북·핸드폰으로 업무,STARNEWS,2013/03/23アクセス:魚拓
*17:전산망 마비로 방송 진행 차질,YTN,2013/03/23アクセス:魚拓
*18:KBS 女아나, 녹화 위해 컴퓨터 켰다가…,JOINSMSN,2013/03/23アクセス:魚拓
*19:‘언론-금융사 전산망 마비’ 방통위 일문일답,dongA.com,2013/03/23アクセス:魚拓
*20:KBS·MBC·YTN·신한은행·농협 전산망 마비,edaily,2013/03/23アクセス:魚拓
*21:[방송금융 전산마비] 박근혜 대통령, 전산마비 복구 우선… 철저한 원인 파악 지시,ddaily,2013/03/23アクセス:魚拓
*22:[해명자료]국가 사이버 위기 대응체계 구축ㆍ운용 중 기사관련,KCC,2013/03/24アクセス
*23:‘언론·금융사 전산망 마비’ 방통위 일문일답,FNN News,2013/03/23アクセス:魚拓
*24:KBS MBC 등 전산망 마비…경찰, 긴급 수사 착수,TVreport,2013/03/23アクセス:魚拓
*25:신한은행 전산망 마비...농협 응급조치,YTN,2013/03/23アクセス:魚拓
*26:軍, 정보작전 방호태세 '인포콘' 한 단계 격상,OBS News,2013/03/23アクセス:魚拓
*27:신한-농협-우리-제주銀 전산장애…NH보험도 피해,dongA.com,2013/03/23アクセス:魚拓
*28:주요 방송사·금융권 전산장애 '대혼란'(종합),news1.kr,2013/03/23アクセス
*29:[방송금융 전산마비]정부통합전산센터 “국가정보통신망은 이상 없어”,ddaily,2013/03/23アクセス:魚拓
*30:방송사 전산망 이틀째 마비…은행 정상화,MK,2013/03/23アクセス:魚拓
*31:MBC 경남,내부 전산망 마비…기사 송고·검색 등 중단,朝鮮日報,2013/03/23アクセス:魚拓
*32:이계철 방송통신위원장, 한국인터넷진흥원 방문,KCC,2013/03/24アクセス
*33:해킹방지 '공염불'...농협 전산망 이번에도 '뚫려',edaily,2013/03/23アクセス:魚拓
*34:농협·KBS 등 전산망 장애 3일째 지속,ZDnet Korea,2013/03/23アクセス:魚拓
*35:방송사·금융기관 해킹사고 피해시스템의 조속한 복구, 사고원인·공격주체 규명에 주력,KCC,2013/03/24アクセス
*36:サイバー攻撃で全国警察に指示,NHK,2013/03/24アクセス:魚拓
*37:平成25年3月21日(木)午前内閣官房長官記者会見(8分20秒あたりより),首相官邸,2013/03/24アクセス
*38:自民 サイバー攻撃対策検討へ,NHK,2013/03/24アクセス:魚拓
*39:5곳 악성코드 분석...해외 IP 추적,YTN,2013/03/24アクセス:魚拓
- Twitter / @chika2yan
- Twitter / @kitagawa_takuji
- Twitter / @yash_san
- Twitter / @Allgreen76
- Twitter / @Sakunyo
- Twitter / @kuno_ichi
- Twitter / @forestmountain
- Twitter / @plutob4
- Twitter / @franco_legon
- まっちゃだいふくの日記★とれんどふりーく★ - ニュース - [続報...
- まっちゃだいふくの日記★とれんどふりーく★ - ニュース - [続報...
- Twitter / @ma_naka
- Security Lab (セキュリティ ラボ) - 韓国 サイバーテロ (まとめ)
- Twitter / @inoue1126
- Twitter / @nilnil26
- Twitter / @roaring_dog
- Twitter / @y_346
- Twitter / @falcon071011
- Twitter / @muupapa
- Twitter / @195501
- Twitter / @tirudai
- Twitter / @matiere
- Twitter / @kotaro1418
- Twitter / @yn_principle
- Twitter / @hktechno
- end0tknrのkipple - web写経開発 - Re: マスターブートレコードを破...
- Twitter / @machi_usagi
- Twitter / @kyuuiti
- Twitter / @Polaris_sky
- Twitter / @mayoiga88
- Twitter / @hirrrame
- Twitter / @yasu_sue
- Twitter / @hananeisan
- Twitter / @starlet1300s
- Twitter / @sagasumi
- Twitter / @bra_ro_
- Twitter / @yb236
- Twitter / @skychibi
- Twitter / @Saruroid_5x
- Twitter / @eastjapan201
- Twitter / @2wm_
- Twitter / @kitokunohito
- Twitter / @jkoswtsl
- Twitter / @miyazu_misao
- Twitter / @dexdev
- Twitter / @GPU_Nesian
- Twitter / @merio_h
- Twitter / @twilight_memory