(cache) 2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。

で、韓国のサイバー攻撃ってつまるところ何だったの？

という方は既に素晴らしく整理された情報が沢山あるのでそちらを読めば万事解決になると思います。

ここではいくつかトピックを絞って報道や政府、セキュリティベンダから発表されている情報をまとめています。また、まとめるにあたり多数の韓国語記事をインプット対象としていますが、piyokangoに韓国語力がないため翻訳サイトを通して内容を確認しています。元の記事の意味と異なる可能性があり、その際はご指摘いただけると大変ありがたいです。

尚、このサイバー攻撃と関連性が不明な下記情報についてはここでは割愛しました。

LG U+の改ざん疑惑
ウリィ銀行へDDoS
KBS HPの改ざん疑惑
朝鮮通信へのネットワーク不正アクセス疑惑

他、まだ載せきれていない情報があるので適宜更新していく予定です。

サイバー攻撃を受けた組織の被害情報

ここではサイバー攻撃を受けた6つの組織に関する被害の情報をまとめます。韓国放送通信委員会(KCC)によれば6組織あわせた被害総台数は約32,000台とのことです。

農協銀行
- 詳細被害台数不明
- 西大門農協本店で少なくとも2000台が被害 (サムスンの緊急修復サービス台数より) *1
- 30店舗で被害 *2
- 全従業員用端末の1割程度が使用不可能な状況
- ATMでは約半数(47.7%)が被害(農協ATMは全台で約4500台) *3
- グループ企業の被害 *4
  - 農協生命保険：72台が被害
  - 農協損害保険：50台が被害
- 中央本部と一部の営業店の従業員の端末を中心とした被害 *5
- Ahnlabのセキュリティソリューションを利用。
新韓銀行
- 詳細被害台数不明
- 57店舗と営業店で被害
- メインサーバーがダウン
- DBに関連するネットワークトラブルを中心とした被害 *6
- Ahnlabのセキュリティソリューションを利用。
済州銀行(新韓銀行の子会社)
- 詳細被害台数不明
- 支店従業員の端末を中心とした被害
KBS
- 職員PC約5000台が被害、基幹業務システムへの影響も *7
- Ahnlab,hauri両社のセキュリティソリューションを利用。
MBC
- 約800台(全社台数の半数程度)が被害
- Ahnlabのセキュリティソリューションを利用。
YTN
- PC約500台、サーバー5，6台が被害
- hauriのViRobotを利用。

各組織のセキュリティソリューション利用状況の参照元 *8 *9

被害直後の各組織の対応・状況

被害後の組織の状況、及びその対応をまとめます。

農協銀行、及びその関連組織
- サイバー攻撃発生後、営業店舗の窓口業務が麻痺。
- 農協生命、農協損保でも同様の被害が発生した。
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。

新韓銀行
- 金融取引に用いられる取引総合電算システムで障害が発生。
- 1時間半程度、57店舗と営業店の窓口業務、インターネットバンキング、スマートバンキング、CD/ATMの利用に支障が生じた。*10 *11
- サムスンカードが利用不可(新韓銀行口座と連携) *12
- ロッテカード、新韓カードのデビットカードが利用不可(新韓銀行口座と連携) *13
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。
- セキュリティ担当者は20日から25日までの24時間体制で対応。
- 14時過ぎに被害を確認してからおよそ1時間半で復旧完了。*14

済州銀行
- 支店の端末内のファイルが削除された。
- ATM利用に支障が生じた。
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。

KBS
- ネットワーク異常が確認されてすぐに「マシン電源をオフし、作業を中断せよ」という社内放送が流れた。
- 当該原因が把握されるまでの間社内業務が全て中断となった。
- 放送システムには異常は見られなかった。
- KBSラジオでは放送業務に支障が生じており、リスナーや文字情報が放送できなかった。*15
- KBSラジオで使用する音楽について、普段はネット経由で取得しているためCDを探すのに苦慮した。*16
- 自社HPのアクセスを遮断した。
- 報道情報の作成、資料検索に支障が生じた。
- 釜山の放送局は接続が出来ないため21時からのニュースに続き放送予定だったコンテンツをカットした。*17

MBC
- 全ての従業員に対し、コンピュータの電源を強制的に終了するよう社内放送で指示。
- 放送システムには異常は見られなかった。
- 記事の出力や外部制作された映像記事を内部ネットワークを介して送受信することが難しく、報道制作に影響が生じた。
- 個人のノートPCや携帯電話で緊急業務を処理した。*18

YTN
- 放送編集機器、及び報道情報用のシステムが使用不可となったため、生放送形式での進行となった。*19 *20

一連のタイムライン

韓国

2013/03/20
- 14時～
  - 金融・放送6組織のコンピュータで突如停止した後起動できなくなる状況が多発。
  - KCCが事故報告を受け調査開始。(14:25頃) *21
  - KCCとインターネット振興院(KISA)が放送局や農協などの金融機関でネットワーク停止の発生を確認したと報告。(14:35頃) *22
  - 国内の複数の金融機関、放送局でシステム障害が発生したとYTNが速報。(14:40頃)
  - 大統領へ状況報告、徹底した原因把握を指示(14:50頃) *23
- 15時～
  - KISAを通じてサイバー危機警報レベルを「関心」から「注意」に引き上げると発表。*24 *25
  - 新韓銀行関係者が中央サーバーが丸ごとダウンしたとコメント。
  - 警察がサイバーテロによる攻撃の可能性を念頭に置き、捜査に着手。*26
  - 農業銀行で全支店のネットワーク遮断措置。(15:05頃) *27
  - 軍が情報作戦態勢(INFOCON)を「4（軍事警戒）」から「3（準備態勢の引き上げ）」へ格上げ。(15:10) *28
  - 新韓銀行が業務復旧。(15:50頃) *29
- 16時～
  - MBCが内部ネットワークが使えないため放送業務に支障が出ていると報告。
  - 農協銀行が業務復旧。(16:20頃)
  - 各銀行が窓口営業時間を18時まで延長する措置。*30
  - 政府が政府省庁のネットワーク、システムには異常が出ていないことを報告。*31
- 21時～
  - KBSがデジタルニュース室の機器を使い内部の報道情報システムを限定復旧。*32
- 時間不明
  - アンラボとハウリがサイバー攻撃に用いられたマルウェアに対応したパターンファイル、復旧ツールを公開。
2013/03/21
- 6時～
  - MBC慶南の内部ネットワークが停止していると発表。(6:30頃) *33
- 7時～
  - KBSがPCを除く業務用ネットワークが復旧したことを報告。(7:25頃)
- 11時～
  - KCC委員長がKISAを訪問し、サイバー攻撃の対応について協議。(11:30頃) *34
- 17時～
  - 農協では16か所がまだ復旧できていないという報道。*35
2013/03/22
- 6時～
  - 農協が従業員用端末の87%、ATMの78%が復旧したと報道。*36
- 15時～
  - KCCが下記の内容を報告。*37
    6組織で被害が報告されて以降、他追加で被害報告は入っていない。
    農協システムへのアクセス IPが中国で在ったとの情報が誤りであった。
    金融機関は復旧を完了し正常化。放送局は10%レベルの復旧率である。
    必要に応じて海外の関係機関から協力を得て対応する。
2013/03/24
- 18時～
  - 農協銀行がFW設定(不要ポートの遮断)の見直し等、セキュリティ対策を強化
- 時間不明
  - 農協銀行が障害発生前の水準まで復旧。*38
2013/03/24
- 6時～
  - 農協銀行が内部と外部のネットワークの完全分離を実施。
2013/03/25

日本

2013/03/21
- 警察庁が国内の金融機関、電力会社等へ注意喚起、攻撃が確認された場合はすぐ報告するよう都道府県警察へ指示したことを記者会見で報告。*41
- 国内での被害はないことを官房長官が記者会見質疑応答にて回答。*42
2013/03/22
- 自民石破幹事長が韓国で起きたサイバー攻撃を受けて国内の法整備検討を始めると記者会見にて回答。*43

政府合同対策チームによる調査状況

済州銀行を除く5つの組織(農協、新韓銀行、KBS、MBC、YTN)を対象に調査・分析中。
これら組織から悪性コード14種類を確認。
農協以外の資産管理サーバーで異常な接続を試みた海外のIPアドレスを確認。
農協のシステムからは海外のIPアドレスは確認されなかった。
済州銀行は悪性コードの入手ができていない。
接続元IPアドレスに海外(欧米、中国含まず)4か国(TBS報道では6か国)を確認した。他にないかについては現在調査中。

参考元: *44 *45

今回のサイバー攻撃スキーム

冒頭紹介したまとめ記事でも説明ある通り、破壊被害を受けた端末にマルウェアを格納、実行させたのは各社が導入している資産管理サーバー（ウィルス対策ソフトの更新管理サーバー）であるとKCCが報告しています。この資産管理サーバーへどのように入り込んだのかについてはセキュリティベンダがメールやWebを通じた感染等様々な推測を含む解析情報を出しているものの、3月25日時点で確定的な情報は出ていません。攻撃をだれが行ったかについても、一時農協システムへ接続していたIPアドレスから名指しでの推測が行われていましたが、このIPアドレス情報自体が誤報であったことが改めて報告され、現在攻撃元を確定させる情報は出ていません。また3月25日に韓国警察が接続したIPに海外(欧米、中国含まれず)4か国を確認したことを明らかにしています。

サイバー攻撃で使われたマルウェアに関する情報

セキュリティベンダ等から報告されている情報をまとめたマルウェアの活動フローは下記の通りです。赤枠がHDDの消去を行い破壊活動を行っている処理となります。報告されている解析情報を見る限りでは大枠の動きは同様と思われますが、自動実行される時刻(Symantec解析報告より)が異なっていたり等、挙動が一部異なる亜種も確認されているため、下記フローは参考程度として見るに留めて頂くことを推奨します。

入手した検体を実行してみたところ、実行後即再起動するのではなく、しばらくしてから再起動が行われました。これは上記フローでも書いている通り、改ざんをしてから再起動をするまでの間にディスクの削除処理を行っているためと考えられます。組織によりシステムトラブルが発生した時間に差が生じたのは、予めそのように仕組まれていた可能性も否定できませんが、恐らくは組織で導入されている端末のスペックによる影響を受けたためではないかと考えられます。またkbs.exe、sbs.exe、imbc.exeなど標的となる組織の名前だろうと思われるマルウェアが複数確認されていますが、その内sbs.exeは壊れているのか、動作しないといった報告があります。*46 このファイル名との関連を疑わせるSBSでは今回のサイバー攻撃による被害報告はあがっていません。