韓国サイバー攻撃、2011年の攻撃と関連か―シマンテック


 先月、韓国で放送局や銀行のコンピューターが一斉にダウンした事件について、シマンテックが2011年の韓国と米国に対するサイバー攻撃との関連性を示唆するブログを公開した。シマンテックによると、2011年の攻撃で特定されたバックドアを修正した亜種が2013年の攻撃で使われていたという。

サイバー攻撃について報じる韓国KBSニュース=YouTubeより

サイバー攻撃について報じる韓国KBSニュース=YouTubeより

 バックドアとはつまり不正プログラムを仕掛ける「裏口」のことだ。攻撃者はまず「裏口」を確保し、そこから不正プログラムを仕掛ける。2011年3月、韓国とアメリカの政府系機関のウェブサイトは大規模なDDos攻撃に見舞われた。この攻撃は、不正プログラムに感染して攻撃者の踏み台となった10万台ものコンピューターから、攻撃対象のサーバーに一斉に負荷をかけて機能を麻痺させる攻撃が行われたのだ。この時、踏み台となったコンピューターはDDos攻撃を実行すると、特定のタイプのファイルが上書きされ、MBR(マスターブートレコード)が破壊されたという。つまり、踏み台コンピューターはDDos攻撃を実行した後、自らを破壊するように不正プログラムによって仕組まれていたのだ。

 この時、不正プログラムを仕掛けるバックドアを作るために使われた「トロイの木馬」をシマンテックではBackdoor.Prioxerとしているが、今回の攻撃からBackdoor.Prioxerを修正した亜種が検出されたという。シマンテックでは「このバックドアは一般に入手可能なコードをベースにしていますが、同じ個人がどちらの攻撃にも関与している形跡があり、2つの攻撃には何らかの関係性があるものと示唆される」としている。今回の攻撃では、感染コンピューターによるDDos攻撃は行われていないが、コンピューターはMBRとハードディスクをファイル形式に関係なく上書きし、コンピューターは再起動できなくなった。2つの攻撃の類似性は何を意味しているのか。

 韓国とアメリカでは、2009年7月にも大規模なDDos攻撃が行われており、この時、踏み台となったコンピューターに仕掛けられたマルウェアのコードには、アメリカの独立記念日に当たる7月4日にDDos攻撃を発動するよう仕込まれていた。このマルウェアは、コンピューターのハードディスクを「Memory of the independence Day(独立記念日を祝して)」という文字列で上書きし、MBRを破壊する機能も有していた。今回の攻撃においても、3月20日午後2時に破壊活動を開始するよう仕掛けられていた。

 3つの攻撃に共通する「手口」から浮かび上がってくるものは?シマンテックブログでは、Backdoor.Prioxerサンプルで使われているビルドパスから「請負業者として報酬を得ている、あるいは従業員として指示されている何者かが一連の攻撃を実行した可能性がある」としている。

■シマンテックブログ「2011年と2013年の韓国サイバー攻撃に関連性はあるか」