2013-06-26
6月25日に発生した韓国へのサイバー攻撃をまとめてみた。
インシデントまとめ | |
6月25日はOpNorthKoreaとして北朝鮮のWebサイトがDoS攻撃を受けた一方、韓国でも複数のWebサイトが改ざんされる等の被害を受けています。ここでは韓国で発生したサイバー攻撃に関する情報をまとめます。
尚、OpNorthKoreaは以下でまとめています。
OpNorthKoreaをまとめてみた。 - piyolog
尚、これらまとめるにあたり今回のサイバー攻撃をいち早くトレースされていたnilnil氏(@nilnil26)のツイートを参考にさせて頂きました。ありがとうございます。
概要
2013年6月25日9時半頃から複数の政府系Webサイトやメディアの内部システムがダウンする事態が発生しました。韓国政府は一連の事象を何者かによるサイバー攻撃が原因であると推定し、合同調査チームによる詳細な原因究明にあたっています。
被害を受けたWebサイト
今回のサイバー攻撃では複数の政府機関、政党、メディア(未来創造科学部によれば全16組織)が被害を受けたと報告しています。また、サーバーがダウンしたのは131台、DoS攻撃を受けたのは2か所、HPの改ざんは4か所であると未来創造科学部が発表したと報じられています。*1
- (1) 大統領府(青瓦台) president.go.kr
- トップ画面が改ざんされた。
- カテゴリーの名称が「Hacked by Anonymous.」に改ざんされた。*2
- 金正恩をたたえる文字「偉大な金正恩首領」が表示された。
- 10分間、別のメッセージ「統一大統領金正恩将軍様万歳! われわれの要求条件が実現するまで攻撃は続けられる」が表示された。また名前として「民主と統一を目指すアノニマスコリア」が表示された。さらに文章上部には朴大統領の写真が掲載された。
- 本物かは不明ながら与党(セヌリ党)の党員、大統領府サイトの会員、国防部の個人情報を閲覧できるリンクが表示された。(いずれも6月26日時点で掲載中。)
全部で20万件程度の個人情報リストが公開。*3 - ログファイルが改ざんされた。*4
- 大統領府サイトが被害を受けるのは2009年以来4年目。
- 改ざんされたトップページに掲載された画像
- (2) 国務調整室・首相秘書室 pmo.go.kr/pmo_web/main
- トップ画面が改ざんされた。
- (3) 安全行政部 www.mnd.go.kr
- Webサイトの接続障害が発生した。
- (4) 未来創造科学部
- Webサイトの接続障害が発生した。
- (5) 統一部
- Webサイトの接続障害が発生した。
- (6) 保健福祉部 www.mw.go.kr
- 「Service Temporarily Unavailable」と表示されWebサイトがダウンした。
- (7) セヌリ党
- (8) eトゥデイ www.etoday.co.kr
- Webサイトの接続障害が発生した。
- (9) スポーツ・ソウル www.sportsseoul.com
- Webサイトの接続障害が発生した。
- (10) 毎日(メイル)新聞 www.imaeil.com
- 記事作成・送信システムがダウンした。
- (11) 大邱(テグ)日報 www.idaegu.com
- 記事作成・送信システムがダウンした。
- (12) 日刊ベストストア(イルベ)www.ilbe.com
Webサイト改ざんを介して漏えいした個人情報
NSHCによれば下記6つの個人情報が流出したと報告しています。
- セヌリ党 党員の個人情報 250万人
- 国防部 軍将兵の個人情報 30万人
- 大統領府 登録の個人情報 20万人
- 米軍
- 25師団所属の個人情報 1万5千人
- 第3海兵師団の個人情報 1万人
- 第1機兵団を特定できる情報 1万5千人
使用されたマルウェア
今回被害を受けた大統領府等へのDoS攻撃にマルウェアが使われたと報じられています。
ファイル共有サービス「SimDisk」のインストーラーファイル(SimDisk.exe)が2013年6月25日0時にマルウェアに置き換えられており、自動更新機能を通じて正規サイトからマルウェアをダウンロードしたユーザーが被害を受けました。*6 BOT化した端末は2013年6月25日10時にC&Cサーバーより攻撃対象のサイトへDoSを行うように命令され、一部サイトが接続不可となったようです。
さらに今回のDoS攻撃はこのマルウェアによるものと悪性スクリプトを用いたものが混在していると報告しています。悪性スクリプトによるDoS攻撃とは、Webサイト(www.habang.co.kr)へアクセスするだけでDoS攻撃が自動的に行われるもので、今回の攻撃でも大統領府と国家情報院*7、セヌリ党のサイトへ行われていたとのことです。
また、ハードディスクを破壊するマルウェアの存在についてもAhnLabが報告しています。
DoSマルウェアの検体名
- TROJ_DIDKR.A (TrendMicro)
- Trojan.Castov,Trojan.Castdos (Symantec)
- Trojan/W32.KRDDoS (nProtect)
- Trojan/Win32.Ddkr,Trojan/Win32.XwDoor (AhnLab)
DoSマルウェアの構成
| No | ファイル名 | 機能 | Themida Packing | ファイルサイズ(byte) | MD5 Hash | VirusTotal |
|---|---|---|---|---|---|---|
| 1 | SimDisk_setup.exe songsari_setup.exe | SimDiskUp.exeと正規のSimDisk_setup.exeをドロップする。 自動更新対象となっていた正規のサーバー上のSimDisk_setup.exeを置き換えられたマルウェア。 | N/A | 19,713,351 (SimDisk) 10.7MB (songsari) | d9e211d1e05b50e1021e55110298dff5 (SimDisk) | 20/43(2013-06-26 01:12:22 UTC) (SimDisk) |
| 2 | SimDiskUp.exe | ダウンローダー。通信先No.1のサーバーよりd.Jpg/c.jpgを外部サーバーより取得する。 | N/A | 950,784 | 27838d9f0f1befd7af151f1b73ad7720 | 19/40(2013-06-26 05:37:47 UTC) |
| 3 | d.Jpg/c.jpg (~SimDisk.exeに改名) | ダウンローダー。画像拡張子だが実行形式ファイル。No.5のダウンローダーやNo.6のTorの実行ファイルを展開する。 | ○ | N/A | N/A | N/A |
| 4 | ~E8536.bat | ~simdisk.exe実行後に自信を削除する。 | N/A | N/A | N/A | N/A |
| 5 | (ランダム).exe | Tor通信を行うモジュール。config.iniが付属。Torのバージョンは0.2.3.25 | N/A | N/A | N/A | N/A |
| 6 | (ランダム).exe | 通信先No.3のサーバーからsermgr.exeをTor経由で取得する。 | ○ | N/A | N/A | N/A |
| 7 | sermgr.exe | ~ER(ランダムな数字).tmpと~DR(ランダムな数字).tmpを展開する。~ER(ランダムな数字).tmpはWindows Vista以降の場合作成する。 | N/A | 4,383,232 | d97aef01ac94d2c7654033caa707a59f | 18/45(2013-06-26 06:14:05 UTC) |
| 8 | ~ER(ランダムな数字).tmp | 64bitWindowsにおいてUAC機能を無効化する。 | N/A | 215,048 | N/A | N/A |
| 9 | ~DR(ランダムな数字).tmp | ole(Windowsサービス名).dllを作成し、Windowsサービスとして登録する。 | N/A | 1,995,776(32bit) 146,170(64bit) | 0ff67e022fa9ce7056316ceff82a80a8(32bit) | 12/46(2013-06-26 05:38:09 UTC)(32bit) |
| 10 | up.bat | ~DR7.tmpが正常に実行された後に作成され2つの.tmpを削除する。 | N/A | N/A | N/A | N/A |
| 11 | ole(Windowsサービス名).dll*8 | 通信先No.3のサーバーよりCT.jpgを取得し、特定の条件後wuauieop.exeを作成し実行する。 | N/A | 936,448 | 13b4617013f22f9eba25be0b6ab2a7a8 | 13/46(2013-06-27 05:10:19 UTC) |
| 12 | CT.jpg | DoS攻撃のタイムスタンプとなるデータ。 | N/A | N/A | N/A | N/A |
| 13 | wuauieop.exe | 大量のDNSリクエストを送出し、DNSサーバーへDoS攻撃を行う。 | ○ | 847,872 | f60935e852d0c7bcffaa54dda15d009a | 26/47(2013-06-26 05:42:17 UTC) |
DoSマルウェアの配布元・通信先
- マルウェアの通信先
DoSマルウェアの特徴
マルウェアを分析している組織による情報
- TrendMicro
- AhnLab
- nProtect
- FireEye
この件を受けて韓国政府の対応
- サイバー危機警報のレベルを「注意」に変更。
- 政府合同調査チームによる被害組織を対象にした不正アクセスの原因、経路を調査するため、マルウェアを分析。
- 継続的なサイバー攻撃に備え、民間、政府組織に対し、インターネットに設置されたサーバーの脆弱性チェック、セキュリティ対策強化並びに被害発生時の速やかな通報を要請。
- マルウェアの通信先をを遮断。
- 個人情報が掲載されていた3か所のWebサイトを遮断。
時系列まとめ
| 06/25 | 9時10分頃 | 大統領府や国務調整室のサイトがサイバー攻撃を受け、トップ画面が改ざんされた。 |
| 10時頃 | 大統領府サイトで金正恩の要求に関するメッセージが10分間表示された。 | |
| 10時頃 | 大統領府サイトがシステム緊急点検が始まりアクセス不可になった。 | |
| 10時45分 | 政府はサイバー危機「関心」警報(5段階中2段階目)を発令*11 *12 | |
| 10時45分 | 軍は情報作戦防護体制(INFOCON)を準備体制段階である4へ一段階格上げ。*13 | |
| 11時半 | セヌリ党のサイトがサイバー攻撃を受けアクセス不可になった。 | |
| 11時50分頃 | 政府合同調査チームが被害組織を対象にした原因調査に着手。メディア・放送局へセキュリティ強化を要請。 | |
| 午前中 | 毎日新聞、大邱日報の新聞二社の記事作成・送信システムが接続不可能に。 | |
| 午前中 | 大統領府サイトが掲示板や会員向け機能等部分的停止をした上で再開。 | |
| 午前中 | 警察がサイバー攻撃を受けた新聞社へ捜査員を派遣。*14 | |
| 14時41分 | 保健福祉部のWebサイトがサービス停止した。*15 | |
| 15時半頃 | 大統領府サイトで緊急復旧作業が行われ正常状態に復旧。 | |
| 午後? | 未来創造科学部、安全行政部、国防部、国家情報院等参加によるサイバー危機評価会が開催された。 | |
| 15時40分 | 政府はサイバー危機を「注意」(5段階中3段階目)へ警報段階を格上げ。*16 | |
| 15時40分 | 保健福祉部のWebサイトがお詫びする内容へ表示へ変更された。 | |
| 16時頃 | 日刊ベストストアで不正アクセスが行われ約1時間程度サイト上で障害が発生した。 | |
| 17時30分 | 未来創造科学部戦略局長が単一組織による犯行の可能性を示唆。*17 | |
| 18時頃 | 日刊ベストストアでデータ改ざんが確認され、サービスを中断。 | |
| 20時半 | SimDiskのWebサイトが障害発生のためサービスを停止。*18 | |
| 22時頃 | 一部サイトを除き接続障害が出ていたWebサイトが復旧。 | |
| 6/26 | 未明 | 日刊ベストストアでサービス開始後からDoS攻撃が開始された。 |
| 9時頃 | 日刊ベストストアでサービスが再開。DoS攻撃は継続中。 | |
| 17:26 | KISAが今回のサイバー攻撃に使われたマルウェア専用のワクチンソフトを配布開始。*19 *20 |
Anonymousとの関連
一連の改ざん行為の中で次のような内容が今回のサイバー攻撃では見受けられており、Anonymousとして活動している人間の関与も疑われています。ただし、改ざん画像にも名前が掲載されていたOpNorthKoreaを主導していた@Anonsjは韓国で発生したサイバー攻撃への関与は否定するつぶやきをしています。また韓国では6月25日に行われることが予告されていたOpNorthKoreaに対する報復攻撃ではないかと推定しているようです。*23
- 今回の改ざん行為を行ったと主張するTwitterアカウント(@hacktivist_kor)がAnonymousの活動を行っているとも主張してた。(現在アカウントは凍結中)
- @hacktivist_korはインターネット規制や大統領選挙に関して非難するつぶやきをしていた。*24
- ガイフォークスのマスクが改ざんされたトップページの画像の中にガイフォークスのマスクをかぶった人間が行進しているシーンが埋め込まれていた。
- 大統領府のサイトに「Hacked by Anonymous」と画像やカテゴリ名が改ざんされた。
- 個人情報が掲載された先に#OPKOREAとAnonymousによるOperationを想像させる名称がつけられていた。
韓国で発生したサイバー攻撃の関与を否定するつぶやき
NOTICE: WE DID NOT HACKED 'BLUE HOUSE' #Anonymous
2013-06-25 11:04:30 via web
I Didn't hack any South Korea websites. #Anonymous
2013-06-25 11:41:28 via web
We didn't Hack any #SouthKorea websites. #Anonymous
URL #hacked , but i didn't hack. #Anonymous
2013-06-25 18:53:48 via web
その他
「Bondra James」といったユーザーが一連の改ざん行為を紹介する動画として、2分間の映像「Processing about attacking the ChongWaDae site.」を公開しました。ただし、この動画は運営元によりポリシー違反としてすぐ削除されたようで現在閲覧することは出来ません。また映像中で改ざん行為が紹介されていた日付は6月24日でした。*25
未来創造科学部は6月26日時点において当該動画を解析中であることを報告しています。
更新履歴
*1:청와대 홈피에 "김정은 만세" … 6·25 사이버 전쟁,Jcube,2013/06/26アクセス:魚拓
*2:[단독] 어나니머스 사칭, 청와대 홈페이지 해킹 인증 '어나니머스 이름 남겨' 북한 추정,Jcube,2013/06/26アクセス:魚拓
*3:[단독] 6.25날 해킹 된 20만명 명단 '단독입수',Jcube,2013/06/26アクセス:魚拓
*4:逭 해킹 정보 ‘로그파일’에 기록 남은 듯,ソウル新聞,2013/06/27アクセス:魚拓
*5:'일베'도 해킹, 어나니머스는 "우리가 안 했다",朝鮮日報,2013/06/27アクセス:魚拓
*6:過去にも2011年韓国で発生したSKコムズの情報漏えいではイースソフト社のALzipがマルウェアに置き換えられていました。
*7:報道によれば国家情報院はアクセス過多による接続不可であったとも報じられていました。
*8:ファイル名の一部はWindowsのサービス名から作成される。
*9:미래부, 청와대 홈페이지 및 언론사 해킹 관련, 사이버위기 경보‘관심’단계 발령,KISA,2013/06/26アクセス:魚拓
*10:미래부, 정부기관 및 언론·방송사 해킹 관련, 사이버위기 경보 단계를 관심에서 주의로...,KISA,2013/06/26アクセス:魚拓
*11:サイバー危機警報の段階は正常・関心・注意・警戒・深刻の順にレベルが上がる。
*12:사이버공격 가능성이 높아짐에 따른 사전대비차원의 ‘관심’ 경보 발령 ,KISA,2013/06/27アクセス:魚拓
*13:[속보] 청와대 등 곳곳 해킹... 합참까지 초비상 걸렸으면?,Jcube,2013/06/26アクセス:魚拓
*14:경찰, 해킹 피해 언론사에 수사관 급파,聯合,2013/06/27アクセス:魚拓
*15:보건복지부 홈페이지도 다운,Jcube,2013/06/26アクセス:魚拓
*16:사이버공격이 지속됨에 따라 사이버위기 경보 단계를 ‘관심’ -> '주의' 경보로 상향 조정,KISA,2013/06/27アクセス:魚拓
*17:<"한 조직의 소행 의심"…해킹관련 미래부 일문일답>,聯合ニュース,2013/06/26アクセス:魚拓
*18:심디스크 서비스 장애 안내,SimDisk,2013/06/27アクセス:魚拓
*19:본 프로그램은 DDoS 악성코드를 검사/치료할 수 있는 전용백신입니다,KISA,2013/06/27アクセス
*20:인터넷진흥원, 악성코드 전용백신 배포,聯合ニュース,2013/06/27アクセス:魚拓
*21:大統領府HPに「偉大な金正恩首領」の書き込み、北の攻撃か,朝鮮日報,2013/06/26アクセス:魚拓
*22:大統領府HPがハッキング、「偉大なる金正恩首領」の書き込み,東亜日報,2013/06/26アクセス:魚拓
*23:어나니머스의 북한 공격 예고에 대한 보복성 해킹 추정,boannews,2013/06/26アクセス:魚拓
*24:‘어나니머스가 정부기관·언론사 해킹’ 진실공방,CHANNEL A,2013/06/26アクセス:魚拓
*25:청와대 해킹과정 추정 동영상 유튜브 공개, 2분만에 청와대 다운.. "어나니머스 소행?",朝鮮日報,2013/06/27アクセス:魚拓