(cache) 2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。

で、韓国のサイバー攻撃ってつまるところ何だったの？

という方は既に素晴らしく整理された情報が沢山あるのでそちらを読めば万事解決になると思います。

ここではいくつかトピックを絞って報道や政府、セキュリティベンダから発表されている情報をまとめています。また、まとめるにあたり多数の韓国語記事をインプット対象としていますが、piyokangoに韓国語力がないため翻訳サイトを通して内容を確認しています。元の記事の意味と異なる可能性があり、その際はご指摘いただけると大変ありがたいです。

尚、このサイバー攻撃と関連性が不明な下記情報についてはここでは割愛しました。

LG U+の改ざん
ウリィ銀行へDDoS
KBS HPの改ざん疑惑
朝鮮通信へのネットワーク不正アクセス疑惑

他、まだ載せきれていない情報があるので適宜更新していく予定です。

サイバー攻撃を受けた組織の被害情報

ここではサイバー攻撃を受けた6つの組織に関する被害の情報をまとめます。韓国放送通信委員会(KCC)によれば6組織あわせた被害総台数は約32,000台とのことです。

農協銀行
- 詳細被害台数不明
- 西大門農協本店で少なくとも2000台が被害 (サムスンの緊急修復サービス台数より) *1
- 30店舗で被害 *2
- 全従業員用端末の1割程度が使用不可能な状況
- ATMでは約半数(47.7%)が被害(農協ATMは全台で約4500台) *3
- グループ企業の被害 *4
  - 農協生命保険：72台が被害
  - 農協損害保険：50台が被害
- 中央本部と一部の営業店の従業員の端末を中心とした被害 *5
- Ahnlabのセキュリティソリューションを利用。
新韓銀行
- 詳細被害台数不明
- 57店舗と営業店で被害
- メインサーバーがダウン
- DBに関連するネットワークトラブルを中心とした被害 *6
- Ahnlabのセキュリティソリューションを利用。
済州銀行(新韓銀行の子会社)
- 詳細被害台数不明
- 支店従業員の端末を中心とした被害
KBS
- 職員PC約5000台が被害、基幹業務システムへの影響も *7
- Ahnlab,hauri両社のセキュリティソリューションを利用。
MBC
- 約800台(全社台数の半数程度)が被害
- Ahnlabのセキュリティソリューションを利用。
YTN
- PC約500台、サーバー5，6台が被害
- hauriのViRobotを利用。

各組織のセキュリティソリューション利用状況の参照元 *8 *9

被害直後の各組織の対応・状況

被害後の組織の状況、及びその対応をまとめます。

農協銀行、及びその関連組織
- サイバー攻撃発生後、営業店舗の窓口業務が麻痺。
- 農協生命、農協損保でも同様の被害が発生した。
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。

新韓銀行
- 金融取引に用いられる取引総合電算システムで障害が発生。
- 1時間半程度、57店舗と営業店の窓口業務、インターネットバンキング、スマートバンキング、CD/ATMの利用に支障が生じた。*10 *11
- サムスンカードが利用不可(新韓銀行口座と連携) *12
- ロッテカード、新韓カードのデビットカードが利用不可(新韓銀行口座と連携) *13
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。
- セキュリティ担当者は20日から25日までの24時間体制で対応。
- 14時過ぎに被害を確認してからおよそ1時間半で復旧完了。*14

済州銀行
- 支店の端末内のファイルが削除された。
- ATM利用に支障が生じた。
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。

KBS
- ネットワーク異常が確認されてすぐに「マシン電源をオフし、作業を中断せよ」という社内放送が流れた。
- 当該原因が把握されるまでの間社内業務が全て中断となった。
- 放送システムには異常は見られなかった。
- KBSラジオでは放送業務に支障が生じており、リスナーや文字情報が放送できなかった。*15
- KBSラジオで使用する音楽について、普段はネット経由で取得しているためCDを探すのに苦慮した。*16
- 自社HPのアクセスを遮断した。
- 報道情報の作成、資料検索に支障が生じた。
- 釜山の放送局は接続が出来ないため21時からのニュースに続き放送予定だったコンテンツをカットした。*17

MBC
- 全ての従業員に対し、コンピュータの電源を強制的に終了するよう社内放送で指示。
- 放送システムには異常は見られなかった。
- 記事の出力や外部制作された映像記事を内部ネットワークを介して送受信することが難しく、報道制作に影響が生じた。
- 個人のノートPCや携帯電話で緊急業務を処理した。*18

YTN
- 放送編集機器、及び報道情報用のシステムが使用不可となったため、生放送形式での進行となった。*19 *20

一連のタイムライン

韓国

日付	時刻	分類	出来事	ソース
3/20	14時頃	3.20大乱	金融・放送6組織のコンピュータで突如停止した後起動できなくなる状況が多発。
	14:25	3.20大乱	KCCが事故報告を受け調査開始。	*21
	14:35	3.20大乱	KCCとインターネット振興院(KISA)が放送局や農協などの金融機関でネットワーク停止の発生を確認したと報告。	*22
	14:40	3.20大乱	国内の複数の金融機関、放送局でシステム障害が発生したとYTNが速報。
	14:50	3.20大乱	大統領へ状況報告、徹底した原因把握を指示。	*23
	15:00	3.20大乱	KISAを通じてサイバー危機警報レベルを「関心」から「注意」に引き上げると発表。	24 25
	15:05	3.20大乱	農業銀行で全支店のネットワーク遮断措置。	*26
	15時頃	3.20大乱	新韓銀行関係者が中央サーバーが丸ごとダウンしたとコメント。
	15時頃	3.20大乱	警察がサイバーテロによる攻撃の可能性を念頭に置き、捜査に着手。	*27
	15:10	3.20大乱	軍が情報作戦態勢(INFOCON)を「4（軍事警戒）」から「3（準備態勢の引き上げ）」へ格上げ。	*28
	15:50	3.20大乱	新韓銀行が業務復旧。	*29
	16:20	3.20大乱	農協銀行が業務復旧。
	16時頃	3.20大乱	MBCが内部ネットワークが使えないため放送業務に支障が出ていると報告。
	16時頃	3.20大乱	各銀行が窓口営業時間を18時まで延長する措置。	*30
	16時頃	3.20大乱	政府が政府省庁のネットワーク、システムには異常が出ていないことを報告。	*31
	17:49	3.20大乱	AhnLabがV3エンジンの緊急アップデート
	18:40	3.20大乱	AhnLabが専用ワクチンの配布を開始
	21時頃	3.20大乱	KBSがデジタルニュース室の機器を使い内部の報道情報システムを限定復旧。	*32
	－	3.20大乱	ハウリがサイバー攻撃に用いられたマルウェアに対応したパターンファイル、復旧ツールを公開。
3/21	6:30	3.20大乱	MBC慶南の内部ネットワークが停止していると発表。	*33
	7:25	3.20大乱	KBSがPCを除く業務用ネットワークが復旧したことを報告。
	11:30	3.20大乱	KCC委員長がKISAを訪問し、サイバー攻撃の対応について協議。	*34
	17時頃	3.20大乱	農協では16か所がまだ復旧できていないという報道。	*35
3/22	6時頃	3.20大乱	農協が従業員用端末の87%、ATMの78%が復旧したと報道。	*36
	15時頃	3.20大乱	KCCが下記の内容を報告。 6組織で被害が報告されて以降、他追加で被害報告は入っていない。農協システムへのアクセス IPが中国で在ったとの情報が誤りであった。金融機関は復旧を完了し正常化。放送局は10%レベルの復旧率である。必要に応じて海外の関係機関から協力を得て対応する。	*37
3/24	18時頃	3.20大乱	農協銀行がFW設定(不要ポートの遮断)の見直し等、セキュリティ対策を強化
	－	3.20大乱	農協銀行が障害発生前の水準まで復旧。	*38
3/25	6時頃	3.20大乱	農協銀行が内部と外部のネットワークの完全分離を実施。
	10:30～13:45	3.20大乱	AhnLabによる不特定多数を対象にした攻撃が推定された時間帯
	－	3.20大乱	セキュリティベンダが亜種による不特定多数を対象とした攻撃兆候が見られるとして注意喚起。
	－	3.20大乱	警察が6組織にアクセスしていた一部に欧米四か国(詳細不明、TBSでは6か国との報道も)のIPアドレスが確認されたことを明らかに。	39 40
3/26	9:21	3.20大乱	AhnLabが3.20大乱を受けて保護施策を発表	*41
	10:40	行政ネット障害	自治体のネットワーク接続機器(スイッチ)に過負荷がかかり、障害が発生。
	10:50	行政ネット障害	8つの自治体(ソウル、京畿、仁川、光州、全南、全北、江原、済州)の行政ネットで接続できない障害が発生。	*42
	9:40	HP閲覧障害	YTNグループ6社含むYTNのHPでトラフィックが急増。
	11:37	HP閲覧障害	YTN関係のHPで閲覧障害が発生。
	11:50	HP閲覧障害	官民軍合同対策チームがYTNへ派遣。	*43
	11:22	行政ネット障害	全南を除く7つの地域のネットワーク障害が回復。
	12:04	行政ネット障害	全南のネットワーク障害が復旧。原因はネットワーク機器故障。
	14:00～14:15	HP閲覧障害	中央省庁の企画財政部HPで閲覧障害が発生。	*44
	18:03	HP閲覧障害行政ネット障害	YTNと自治体で発生した障害について、接続されるインターネット網が異なるため無関係であると政府が明らかに。	*45
	13:40～14:30	HP閲覧障害	デイリーNKのHPで閲覧障害が発生。投稿記事が削除され、バックアップより復旧。	*46
	13:40～14:30	HP閲覧障害	自由北朝鮮放送のHPで閲覧障害が発生。同社がサーバーが不正アクセスを受けたと発表。
	14:30～15:00	HP閲覧障害	北朝鮮改革放送のHPで閲覧障害が発生。データが削除され、AM2時以降に更新された記事が消失。
	～16時頃	HP閲覧障害	NK知識人連帯のHPで閲覧障害が発生。	*47
	－	HP閲覧障害	北朝鮮民主化ネットワークのHPで閲覧障害が発生。
	－	HP閲覧障害	KCCがYTNへの問い合わせに対して内部システムエラーが原因である(暫定結論)と回答うけたことを報告。	*48
3/27	－	3.20大乱	3.20の件を受け、金融監督院が農協銀行/生命/損保、新韓銀行、済州銀行に対し、翌月9日までの10日間特別検査を実施することを発表	*49
3/28	－	HP閲覧障害	YTNのHPが復旧。

日本

2013/03/21
- 警察庁が国内の金融機関、電力会社等へ注意喚起、攻撃が確認された場合はすぐ報告するよう都道府県警察へ指示したことを記者会見で報告。*50
- 国内での被害はないことを官房長官が記者会見質疑応答にて回答。*51
2013/03/22
- 自民石破幹事長が韓国で起きたサイバー攻撃を受けて国内の法整備検討を始めると記者会見にて回答。*52

政府合同対策チームによる調査状況

済州銀行を除く5つの組織(農協、新韓銀行、KBS、MBC、YTN)を対象に調査・分析中。
これら組織から悪性コード14種類を確認。
農協以外の資産管理サーバーで異常な接続を試みた海外のIPアドレスを確認。
農協のシステムからは海外のIPアドレスは確認されなかった。
済州銀行は悪性コードの入手ができていない。
接続元IPアドレスに海外(欧米、中国含まず)4か国(TBS報道では6か国)を確認した。他にないかについては現在調査中。

参考元: *53 *54

今回のサイバー攻撃スキーム

冒頭紹介したまとめ記事でも説明ある通り、破壊被害を受けた端末にマルウェアを格納、実行させたのは各社が導入している資産管理サーバー（ウィルス対策ソフトの更新管理サーバー）であるとKCCが報告しています。この資産管理サーバーへどのように入り込んだのかについてはセキュリティベンダがメールやWebを通じた感染等様々な推測を含む解析情報を出しているものの、3月25日時点で確定的な情報は出ていません。攻撃をだれが行ったかについても、一時農協システムへ接続していたIPアドレスから名指しでの推測が行われていましたが、このIPアドレス情報自体が誤報であったことが改めて報告され、現在攻撃元を確定させる情報は出ていません。また3月25日に韓国警察が接続したIPに海外(欧米、中国含まれず)4か国を確認したことを明らかにしています。

サイバー攻撃で使われたマルウェアに関する情報

セキュリティベンダ等から報告されている情報をまとめたマルウェアの活動フローは下記の通りです。赤枠がHDDの消去を行い破壊活動を行っている処理となります。報告されている解析情報を見る限りでは大枠の動きは同様と思われますが、自動実行される時刻(Symantec解析報告より)が異なっていたり等、挙動が一部異なる亜種も確認されているため、下記フローは参考程度として見るに留めて頂くことを推奨します。

入手した検体を実行してみたところ、実行後即再起動するのではなく、しばらくしてから再起動が行われました。これは上記フローでも書いている通り、改ざんをしてから再起動をするまでの間にディスクの削除処理を行っているためと考えられます。組織によりシステムトラブルが発生した時間に差が生じたのは、予めそのように仕組まれていた可能性も否定できませんが、恐らくは組織で導入されている端末のスペックによる影響を受けたためではないかと考えられます。またkbs.exe、sbs.exe、imbc.exeなど標的となる組織の名前だろうと思われるマルウェアが複数確認されていますが、その内sbs.exeは壊れているのか、動作しないといった報告があります。*55 このファイル名との関連を疑わせるSBSでは今回のサイバー攻撃による被害報告はあがっていません。

セキュリティベンダの解析情報（関連情報含む）

3/26に多発した障害について

3/26に韓国国内でインターネットへ接続できない、HPが閲覧できないといった障害が多発しました。一部では攻撃によるものとの報告も出ていますが、この障害と3月20日に発生したサイバー攻撃(3.20大乱)との関連性は不明です。

発生対象	障害内容	原因
広域自治体	行政ネットワークで接続障害が発生。	スイッチの故障
YTN、YTNグループ	HPが閲覧出来ない障害が発生。サーバー75台中Linuxが稼働する58台でHDDの破壊(故障?)事象が発生。*56	内部的なシステム障害によるYTNサイトへの過負荷(YTNによる暫定調査結果) *57
企画財政部	HPが閲覧出来ない障害が発生。	大田統合電算センターで作業ミス *58
デイリーNK	HPが閲覧出来ない障害が発生。	米国のIPアドレスから不正アクセスを受けたと同社が報告*59
自由北朝鮮放送	HPが閲覧出来ない障害が発生。	サーバーが破壊されたと同社が報告*60
北朝鮮改革放送	HPが閲覧出来ない障害が発生。	不明
NK知識人連帯	HPが閲覧出来ない障害が発生。	不明
北朝鮮民主化ネットワーク	HPが閲覧出来ない障害が発生。	不明