韓国サイバー攻撃事件、企業向けのPC管理システム経由での攻撃か 77
他人事として見てはいけない 部門より
既に各所で既報であるが、3月20日に発生した韓国の大規模サイバー攻撃事件は、KBSテレビ、MBCテレビ、新韓銀行など韓国の複数の放送局や銀行に影響を及ぼした(日経ITpro)。各社のサーバーが一斉にダウンし、イントラネット上にあるクライアントも多くが被害を受けた。新韓銀行ではATMが利用不能になるなどの被害も受け、市民生活にも影響が及んでいる。
それに対し、セキュリティソフトメーカーAhnLabは事件に関する中間分析結果を明らかにした( 韓国AhnLabのリリース:韓国語)。当初韓国内ではAhnLabのセキュリティソフトのアップデートサーバーが感染源であるというような報道もあったが、それに対してAhnLabは「IDC内にあるアップデートサーバーがハッキングされたというのは事実ではない」「攻撃に使用されたのは、企業のイントラネット内における『資産管理サーバー』(AhnLabの場合APCサーバー)である」としている。
APCサーバーとは「AhnLab Policy Center」と呼ばれる製品で、イントラネット内にある「AhnLab V3 アンチウイルス製品」をアップデートするサーバであるが、AhnLab製品だけでなく、「CPU、メモリなどハードウェアの資産情報、各PCのソフトウェアインストール状況」といった企業の資産管理や、リモートコントロール機能、ソフトウェア配布、ファイル転送、未登録のクライアントの検索機能といった管理者による集中管理に利用されるサーバである(なお、ここではAhnLabに従い「資産管理」と呼称しているが、これはつまり「Resource management」であり、日本語では「資源管理」と呼ぶのがより一般的であろう)。
現状の分析結果としてAhnLabは「一部でアカウント奪取の痕跡が見られるが、正確な原因は分析中である」「APT攻撃(Advanced Persistent Threat)によりAPCサーバーの管理者アカウント(IDとパスワード)が奪取されたものと推定する」「資産管理サーバー(AhnLabの場合APCサーバー)の弱点のためではない」として、「もし管理者アカウントが奪取されたとすれば正常な権限によるアクセスであるから、脆弱性の有無に関わらず多くのソフトウェアが悪用される」としている。
また、セキュリティソフト各社はこの攻撃に利用されたマルウェアについて分析を開始している。Symantecはブログにて「韓国の銀行と放送局に、大規模なサイバー攻撃」という記事を公表。それによれば、クライアントを攻撃したマルウェアは、AhnLab製品や代表的な韓国のアンチウイルスメーカーであるHAURI製のアンチウイルスソフトのプロセスを停止、感染したPCの全てのドライブのデータを「PRINCPES」または「HASTATI.」という文字列で上書きするとしている。また、AhnLabは今回狙われたのはWindowsだけではなく、SolarisやAIX、HP-UX、およびLinuxを対象とした攻撃コードも含まれているとした上で、さらに、「現在把握されているのは特定のターゲットを狙った攻撃だが、既に変種が発見されているため、不特定多数を対象にした攻撃の危険がある。企業以外の一般の使用者もアンチウイルスソフトのパターンを最新バージョンにするように」と呼びかけている。AhnLabはさらなる調査を通じて、早急に明確な原因を発表する予定である。
この件では、「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」という考察や、一部では「単にMSのパッチで海賊版がシャットダウンされただけでは」などという見方もあったが、どうやら今回の件は、少なくとも直接的には海賊版Windowsの使用によるセキュリティパッチの不備でなどではなさそうである。逆にいえば、資源管理サーバやデプロイシステムなどを利用している多くの大企業において「APT攻撃によるソフトウェア配信システムを利用した、イントラ内大規模感染への対策」という大きな課題が示されたといえるのではないだろうか。
詳しい解説 (スコア:4, 参考になる)
セキュリティ専門家の徳丸氏がTwitterで紹介してたので。
3/20 韓国同時多発サイバー攻撃について [hatenablog.com]
ファイルシステム破壊は痛いなぁ・・・しかしまあ、大被害といや大被害なんだけど、なんでこっそりデータ盗んだりせず、こんな大々的に壊しちゃったんだろ?せっかくゲットした侵入経路台無しだよな?
Re:詳しい解説 (スコア:2)
>>こんな大々的に壊しちゃったんだろ?せっかくゲットした侵入経路台無しだよな?
今回の事件事態は陽動で、裏でもっとコソコソとやってるとか。
株とか相場の動きは追いかけてないけど何か有っても不思議は無いな。
まぁ単に愉快犯とか、データ抜いた後のド派手な証拠隠滅って可能性も有るけど。
#株とか相場狙いの犯行ならタイマーで一斉にやるより、時間をずらして
#数段階に分けたほうが効果的な気もするけれど・・・
Re: (スコア:0)
十分データを入手し、ウイルスも拡散しまくって、もう用済みだったのかもしれない
Re:詳しい解説 (スコア:1)
Re:詳しい解説 (スコア:1)
いまさらどうしようもないので無法地帯です。
SBがデータセンタ移したがるのも、LINEやカカオトークが韓国企業なのも偶然では無いです。個人情報を悪用するつもりなら日本の司法の手が及ばない修羅の国と言って間違いないです。
Re: (スコア:0)
最後に自爆したってことはやっぱり中国製?
いや、狙い通りに爆発したなら違うか…
Re: (スコア:0)
何となく中国海軍艦艇が海自護衛艦に射撃管制レーダーを照射した一件を思い出した
海の向こうの国の方々はわざわざ手の内を開かすようなことをするのが好きなのかな...... やっぱり何かの病気なのかな.......
Re:詳しい解説 (スコア:1)
中国に海軍があると思ってはいけない。
他国並みに、これから海軍を充実させなくては競争に勝てないという思いだけで中古空母を買ったりするようなレベル。実戦経験はほとんどない。
まぁ、海上自衛隊も実戦ないけどね。練度で勝負です。
資産管理でしょ? (スコア:2, すばらしい洞察)
そうですか? 「資源管理」といわれると、個人ベースのPC上でメモリ管理やハードウェアの管理を行うユーティリティ程度の代物を思い浮かべてしまいますが。
企業内のソフトウェアライセンスやハードウェア管理を一括して行うソフトは、国内でも規模の大きな企業を中心にして導入が進んでいます。
たとえば「QAW/QND [quality.co.jp]」や、「Asset View [hammock.jp]」などがけっこう有名どころではないかと思います。あとはこんな記事 [nikkeibp.co.jp]も。
いずれもこの種のシステムやサービスは「IT資産管理ソフト」と呼ばれていて、今回の韓国のソフトもこの種のものではないかと思います。
そもそもPCやアプリケーションという会社資産を管理するためのソフトなわけですから、日本語でも「資産管理」でいいのでは?
Re:資産管理でしょ? (スコア:1)
「資産管理」ソフトって、経理ソフトの一種って取っちゃうのだが。
Re:資産管理でしょ? (スコア:4, 参考になる)
いや、まさしくこの手のソフトは経理ソフトの一種です。
まぁたしかに単に「資産管理ソフト」と言っちゃうとオービックあたりが売ってる経理ソフトが思い浮かんじゃうので、頭に「IT」をつけて「IT資産管理ソフト」というジャンルで売ってるんですけどね。
日頃システム管理ばかりやってるとつい、コンピュータ管理者としての見方をしてしまうのかもしれませんが、この種のソフトはそういった管理よりもむしろ、社内で使用するコンピュータ一覧を調べることで固定資産の管理を行ったり、どこかの部署が勝手にIT機器を購入していないかどうかチェックしたり、使われているソフトウェアの一覧を取得することで購入するライセンス数が適正かどうかを判断する材料に使ったりといった、お金の管理に関わる機能がかなり多いんですよ。
Re:資産管理でしょ? (スコア:1)
然り、ですね。
ソフトウェア資産管理コンソーシアム [microsoft.com]のページによると、
いまや、国際的にソフトウェア資産管理が要求される時代ともいえます。「ISO/IEC 19770」の基準は、ISO20000をサポートするもので、パート1(lSO/IEC 19770-1)が既に発行されていてパート2(IlSO/IEC 19770-2)が策定中
との由。
他人事じゃないだろうなぁ (スコア:1)
なんというか、他人事と考えるには怖かったのでたとえば職場を思い浮かべながら、攻撃されうるポイントを考えてみた。
たとえば、(まだ本格運用はしてないが) ChefServer が攻撃された場合容易にマルウェアをしこんだサーバーが大量発生できるなぁとか。そもそも、apt, yum などパッケージ管理システムなんかもDNSキャッシュポイゾニングで汚染されたパッケージをインストールする可能性もあるんじゃないのとか。vagrant なんかも拾ったboxは危険性があるので、veewee使うか、完全にboxを自前で作成するかはした方が良さそうだなとか。社外向けサービス、社内向けサービス、開発環境その他が、これによって汚染されうる。
今回の攻撃事例同様に、アンチウィルスやソフトウェアの構成管理、WUS なんかも当然攻撃されうるだろうから、十分に注意が必要だろうし。
github:Enterprise などのソースコードリポジトリなんかも攻撃されたりすると、gitリポジトリが何らかの形で汚染されうるのではないか?壊されるだけならば別のリポジトリでバックアップを取っておくとかの対策でなんとかなるかもしれないが。Github社のサポートしっかりしてるみたいだから、セキュリティ的には安全性が高い事を期待したいが…。
グループウェアなんかも何らかの攻撃手段はあるかもしれない。
他は何があるだろうなぁ…。
Re:他人事じゃないだろうなぁ (スコア:1)
apt/yumは署名検証があります。パッケージ作成側を乗っ取られれば、当然ヤバいですが。
gitはタグに署名を付けておきましょう。
ウィルス対策に攻撃されることは、まぁあるでしょうね。
Symantec Web Gateway 5.0.2 Remote LFI Root Exploit
http://www.exploit-db.com/exploits/18932 [exploit-db.com]
McAfee LinuxShield <= 1.5.1 Local/Remote Root Code Execution
http://www.exploit-db.com/exploits/14818 [exploit-db.com]
Re:他人事じゃないだろうなぁ (スコア:1)
WUSがWSUSの事なら、個々が電子署名されてるので検証で引っかかるような気がする。
aptとかもそもそもSSLで繋ぐとか落とした後もパッケージの電子署名の検証とかもやってたりしますね。
アンチウィルス系も昔の物は署名のチェックが甘くてMITMを許したのもあったけど今なら大丈夫だと思いたい。
Windows系でAD環境を構築してれば、グループポリシーでスタートアップスクリプトの配布が超簡単に出来るので要注意なのかな。
まぁ、そんなサーバーは管理が強固だから管理が甘い奴を狙ったのかもしれませんが。
# 自分が最近作った奴は電子署名つけてます。全くの気休めですが。
権限が集中しすぎ (スコア:1)
社内PC全ての
企業の資産管理や、リモートコントロール機能、ソフトウェア配布、ファイル転送、未登録のクライアントの検索機能
なんて権限が強すぎるように思えます。
一つのソフトの一つの脆弱性や弱いパスワード一つで社内PC全てをどうにでも出来るなんて、ルートユーザーの有無以前の単一障害点だと思うのですが、こんな馬鹿なことは日本でもよくあることなんでしょうか。
いまさら課題が示されたとかではなく、そもそも導入する時によくよく考えて却下すべき事でしょう。
今回はMBR破壊という発覚しやすくそれなりに回復できそうな問題でしたが、やろうと思えばあらゆるデータの流出・HDDのフルフォーマット・外部への攻撃・犯行予告等などなんでもで出来た筈です。
既に同様のデプロイシステムを導入している所は、そういった事が既に発生しているものとして考えるべきです。
#個人的には海賊版Windowsが原因という話ではなかったのがネタ的に面白く無いですが、そちらもまだ可能性が有るかもしれませんから期待しています。
Re:権限が集中しすぎ (スコア:1)
天安艦事件みたく、何かを隠しているかのようで非常に苦しいように見えるのですが、例えばこのRMSで WSUS設定が可能で、不行き届きな管理者が、アップデートファイルの受け取り先を信頼出来ない海賊版サイトを指定してしまった場合、簡単に毒入り餃子を配布することが可能なわけで、社内のPCすべてが正規品とは限らないという韓国型事情が被害を拡大しているんじゃないかと
Re: (スコア:0)
普通割れるにしても署名の検証ぐらいするもんだと思うんですが…
#もちろんAC
Re:権限が集中しすぎ (スコア:3, 参考になる)
で、多くの国では企業向けPCはDELL,HP,Lenovo,Acer,Toshiba,Asus,Appleといったグローバルメーカーが占めてるんですが、かの国はそうではないのです。理由は...
Re:権限が集中しすぎ (スコア:1)
>で、多くの国では企業向けPCはDELL,HP,Lenovo,Acer,Toshiba,Asus,Appleといったグローバルメーカーが占めてるんですが、かの国はそうではないのです。理由は...
わっふるわっふる
Re:権限が集中しすぎ (スコア:1)
>今回はMBR破壊という発覚しやすくそれなりに回復できそうな問題でしたが
「感染したPCの全てのドライブのデータを「PRINCPES」または「HASTATI.」という文字列で上書きするとしている」
と上では書いてあるけれど、これは間違い?
Re:権限が集中しすぎ (スコア:2)
タレこみでも挙げたSymantecのブログでは「ドライブをすべて列挙し、MBR とそこに保存されているデータを "PRINCPES" または "HASTATI."(末尾にピリオドが付きます)という文字列で上書きする。これによって、ハードディスクの内容がすべて消去されます」としています。
AhnLabなど他メーカの解析結果でも似たような話になってますから、基本的にデータは破壊されると考えて良いのではないでしょうか。
Re: (スコア:0)
海賊版だとすると、7に限定されるみたいですから、ここまで被害が広がらなかったのでは
と思います。
#個人的には海賊版Windowsが原因という話に期待しています。
Re: (スコア:0)
むしろ海賊版だからこそ、7てんこ盛りの可能性が。
なにせ無料ですから。
普通にライセンス買ってる企業だと、予算の関係で混在も出ちゃいますけどね。
Re: (スコア:0)
つActive Directory
ああ、あのAhnLabね (スコア:1)
なぜ手の内を見せるようなことを? (スコア:0)
ただの挑発行為で、北朝鮮は本気じゃないって印なんですかねえ。
Re:なぜ手の内を見せるようなことを? (スコア:1)
まあ本気だったら、
「敵に対して無慈悲で容赦ない攻撃を行った」とかなんとか声明出すでしょ。
Re: (スコア:0)
今はこれが精一杯(山田声)
Re: (スコア:0)
まああれだ、無慈悲な挑発ってやつですよ。
Internet Explorer 依存の韓国 (スコア:0)
韓国では Internet Explorer のシェアが多い(2010年で98%)のが影響してるんじゃないかと思ったけどどうなんだろ。
Re: (スコア:0)
今回はそれは関係ないみたい. ところで韓国は今でもActiveXバリバリなんやろか?
Re:Internet Explorer 依存の韓国 (スコア:2, 参考になる)
うちにもActiveXを埋め込もうとする攻撃があったから、韓国限定ではないみたい。たぶん、3週間ぐらい前から来た。
Re: (スコア:0)
>たぶん、3週間ぐらい前から来た。
自動更新がかからないようにPCの内蔵時計を20日以前にして急場を凌いでるらしいけど、もしかして来たのは韓国から?
考察がひどすぎる (スコア:0)
まるでakamaiが悪いような、もっというとWSUSが信頼できないもののような言い方をしてるのはまずいでしょ。
関係ないところを巻き込む低質すぎる考察で反吐が出るわ
Re:考察がひどすぎる (スコア:1)
個人的には中国産のコピーOS使ってて、それが中国のアップデートサーバーを使うけど、途中にWSUSかませたのかなぁと思ったり。
#中国のIPアドレスが出てきたけど、偶然同じIPアドレスでした、なんてアホなこと言ってるからねぇ。
Re: (スコア:0)
国語を小学校から勉強しなおせ。
実にわかりやすい考察 (スコア:0)
WSUSには非正規の信頼できないパッチをダウンロードする機能が備わっていて、不正なパッチはAkamaiを通して提供されているんですね。
Re:実にわかりやすい考察 (スコア:1)
「火の病の国では」が冒頭に抜けてるよ
Xday ではなかったのか (スコア:0)
軍事的効果を得るために同時に物理攻撃もするべきと思ったのですが、
やるきあんのかな。
Re:Xday ではなかったのか (スコア:1)
Re:Xday ではなかったのか (スコア:1)
自宅でできる仕事が増えたことで,今後は自宅警備員の担い手不足が懸念されますな.
Re:韓国だしな (スコア:3, おもしろおかしい)
「間違い」で中国に喧嘩売ってる韓国って...
韓国へのサイバー攻撃、発信元は中国のIPアドレス
http://www.cnn.co.jp/tech/35029789.html [cnn.co.jp]
↓
「中国のIPアドレス」は間違い=サイバー攻撃で訂正-韓国
http://www.jiji.com/jc/c?g=int_30&k=2013032200781 [jiji.com]
Re:韓国だしな (スコア:1)
Re: (スコア:0)
IPアドレスが一致していたため誤認した。
何を言っているのかわからない。
Re:韓国だしな (スコア:3, おもしろおかしい)
問題のアドレスは、101.106.25.105かな。KBSが流していたアドレスだけど。
同じ画面の「当前IP:61.140.242.39」かも知れないが。
101.106.25.105は、APNICでみれば Beijing Teletron Telecom Engineering Co., Ltd.ということになってる。
61.140.242.39はChina Telecom。ここらの早とちりかも。
グローバルアドレスを自前のネットワークに使うのが流行しているのかな。 ← 問題はここだろ
開発環境が必要で、ローカルアドレスの内側にテスト用のグローバルアドレス用意したことはあるが。
Re:韓国だしな (スコア:1)
192.168.0.1さんを召還してしまいそうだ
Re: (スコア:0)
そのわりに、「資産管理サーバー(AhnLabの場合APCサーバー)の弱点のためではない」と、自分たちの運用がまずかったと言っているような気も。
Re:アンチウィルス集中管理サーバ (スコア:2, 興味深い)
せやな…。
Windowsは昔は何でもありだったが、WinXP SP2以降、さらにActiveDirectoryがまともに普及してからいろいろとセキュリティが意識されはじめ、Windows Vista移行はUnix並……って言うとちょっと怒られそうだけど、それぐらいにはセキュリティが強化されてきたじゃない。
当然セキュリティを担保するために踏まなければならない手順は増えたから面倒くさくはなった。だけどそれに呼応するような形でActiveDirectoryは強力になっていって、今じゃOSが標準で持つ管理ソリューションの中では他の追従を許さないぐらい便利になってる。(※WinRTを除く)
きちんと設計されていれば数万台レベルでもそれなりに管理が出来てしまう。
一方そんな風になってしまって困るのがセキュリティベンダーで、それに対抗するために一部セキュリティソフトウエアメーカが編み出したのが「標準ではセキュリティの懸念があり不可能な事を、セキュリティのことは目をつぶって可能にしてしまう」という方向と「独自の管理システムにすることで、乗換を難しくすしベンダーロックイン状態にする」という方向でこれはどう考えても良くない。
セキュリティに対する強度も、Windowsはよくも悪くも世界中で監視の目にさらされていて、常にクラッキングの試みがされ続けているからそれなりに高いと言うか、非公開のセキュリティホールはもちろん、余りよろしくないセキュリティ上の懸念のある機能の回避方法がノウハウとして出回ったり、あるいは機能の訂正が行われていたりする。
一方、今回のAhnLab社は韓国ではシェア7割だそうだが世界的には無名。ゆえにクラッキングのターゲットになった事も無く、そのために非公開のセキュリティホールを探すことも、セキュリティ的に望ましくない機能もそのまま残っていたのでは。
Windowsがクラッキングのターゲットになる時代は終わり、今はAcrobatやFlash、Javaといったものが狙われていた。愉快犯的なクラッキングはiOSやAndroidになっていくだろうけど、収益を目的としたクラッキングのターゲットはこういった不用意なセキュリティベンダーのソフトウエアに移っていくのでは。いや、すでに移っていて、これはその象徴的な出来事なのかも。
Re:根本原因は割れWindowsか? (スコア:1)
しかし、同様のWSUSを使った云々の可能性はまだあります。
もちろんグローバルアドレスをローカルに振るという怪しい行為をした理由は説明されていません。
割れ云々の話は今の処続報待ちといったところです。
#それからスラドはまだ民主党支持者がウヨウヨ居るような所です。そんな「ネットで有りふれた言質」のようなものには拒否反応を示す人が多いので注意してください。