Walk in the Spirit

韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因 2013/03/21　片山　昌樹

　3月20日に韓国で発生した大規模サイバー攻撃（関連記事1、関連記事2）。

同時多発的に発生していることから、ウィルスを用いたサイバーテロ（サイバー戦争）という話が最も有力になっている。

　筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。

　まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった（関連記事3、関連記事4）。

　その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。

　こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。

非正規ライセンスのWindowsサーバーが残ったままかーー

　だが、それはあくまでクライアントレベルであり、Windows Server Update Services（WSUS）という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。

　マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。

　そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。

　マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。実際にファイルの提供そのものはAkamaiのネットワークを経由している。

　そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま（正規のWindowsと思い込んで）使い続けていた可能性が高い。そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。

筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。 すると、まさに今回示した挙動と瓜二つな挙動（ただしクライアントが直接ファイルを取りに行く）を示していた。

　Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。

　このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。

　今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。

　このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ（3月20日）にMBRを破壊するウィルスが活動を開始したと推測される。

記者の海賊版XPの実験は興味深い、

でも、韓国は沽券に賭けて、認めないだろうね、
あくまでサイバーテロ攻撃路線でーー、

［続報］韓国への大規模サイバー攻撃、攻撃内容はハードディスクの破壊 　2013/03/21　白井良

　韓国で2013年3月20日に発生した大規模なサイバー攻撃について、韓国のセキュリティベンダーであるアンラボや米シマンテックといったセキュリティベンダーが相次いで情報を公開している（関連記事：韓国で大規模サイバー攻撃か、放送局や銀行のシステムがダウン）

　アンラボは現地時間3月20日午後6時に同社Webサイト上で専用のワクチンソフトの提供を開始して、検査、治療を実施できる体制を整えている。同社Webサイトによると、今回のサイバー攻撃はマルウエアを利用したもので、感染するとハードディスクが破壊される。

　Windows XPおよび同 2003 Serverでは、物理ディスクのMBR（マスターブートレコード）とVBR（ボリュームブートレコード）にゴミデータを書き込んでハードディスクを破壊する。Windows Vistaと同 7では、論理ドライブのすべてのファイル内容を削除してハードディスクを破壊する。

　マルウエアによる攻撃では、まず自身を参照するファイル・マッピング・オブジェクトを作成する。続いて、「pasvc.exe」と「clisvc.exe」という、セキュリティソフトに関する2つのプロセスを停止させる。最終的にハードディスクを破壊する。破壊に使われるゴミデータとしては、「PRINCPES」や「HASTATI」といった文字列の書き込みが確認されているという。

　今回の攻撃内容は目新しいものではなく、2012年8月に中東でも同様の被害を受けた組織が多くあったとしている。

HD破壊されたら、
コピーOSの証拠が残らなくていいけど、
銀行なんか、預金者の残高記録も吹っ飛んじゃうゼ？？

アッ、いいのか、

非正規OSをダシにして、
究極的には、そっちが目的だったり！？