【今、知っておくべき危機】韓国へのサイバー攻撃は、対岸の火事ではない。忍び寄るサイバー攻撃から日本企業の情報資産を守れ! ~前編~
「サイバー攻撃とその兆候」についてトレンドマイクロがレポート
サイバー攻撃はもはや、日常的な出来事となってしまった。先日話題となった韓国主大企業へのサイバー攻撃のニュースはその一例だ。今後も間違いなくサイバー攻撃は増加すると思われる。この状況を受け、大手情報セキュリティ会社のトレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長兼CEO:エバ・チェン、東証一部:4704 以下、トレンドマイクロ)は、「サイバー攻撃とその兆候」について、以下のようにまとめた。
■「われわれは今、いつサイバー攻撃を受けてもおかしくない状況にある」という事実
韓国へのサイバー攻撃事件は海外の話だが、当然我々が被害に遭う可能性も十分にある。決して他人ごとではない。
2013年になってからも、日本国内での企業や政府機関への攻撃があったとされ、海外においても、大手IT企業や有名ニュースメディアサイトへの攻撃が報道された。
では、具体的にどのように攻撃が進んでいくのか?
以下、今回発生した韓国での事例に関する考察は、あくまでもトレンドマイクロが独自に収集した情報に基づく「推測」である。この推測が外れたり、また、今後さらに明らかになる事実もあるであろうことを前提にお読みいただきたい。
■韓国でのサイバー攻撃被害:偽装添付ファイルとダウンローダを使った、典型的なサイバー攻撃
事の発端は、ターゲットを絞ったスパムメールであったと思われる。クレジットカード会社を騙ったメールには、利用明細を装ったPDFファイルが添付されており、これが攻撃の発端となったようだ。このファイルを開くとダウンローダ TRJ_DLDR.HB に感染し、さらに別の不正プログラムをダウンロードする。
多くのシステムを再機能不能に陥らせたのは、マスターブートレコード(Master Boot Record/MBR) を上書きすることで、通常の再起動をできなくする複数の不正プログラムと推測される。今回被害を大規模にしたのは、これらの不正プログラムが多くのPCやUNIXシステムに配布されてしまったことにある。そのために利用されたのが、プログラムの配信などを行う集中管理ツールサーバだった。
攻撃者は、何らかの方法で集中管理ツールサーバにTROJ_KILLMBR.SMを送り、そこから多数のPCへ配布を行った。TROJ_KILLMBR.SM は、PC上の全ファイルを削除した上、MBR をゴミデータで上書きし、復旧を困難にしたと思われる。
さらに、侵入したPCにUNIX系サーバへアクセスするためのID/パスワードが格納されていた場合、不正プログラム UNIX_KILLMBR.Aを送信。侵入したPCから取得したID/パスワード情報を組み合わせ、TROJ_KILLMBR.SMよりドロップされた正規のSSHクライアントによってUNIX_KILLMBR.Aを実行するコマンドが発行される。同不正プログラムは、環境毎に異なる動きをする。AIX、Solaris、HP-UX を見つけると MBR情報をゴミデータで上書きし、また Linux, Solaris の場合、重要なディレクトリを削除。いずれもその作用はUNIXシステムの起動を困難にするものであった。
このように、まず、偽装メールと添付ファイルで第一次感染を引き起こすのがサイバー攻撃でよく使われる手法だといわれている。そして、第一次感染では大きな被害を生まないが、次々と不正ファイルをダウンロードすることで攻撃を「深化」させていく。この「深化」のプロセスが、ユーザにはなかなか気付きづらいものなのだということも、昨今のサイバー攻撃の大きな特徴の一つだ。
トレンドマイクロは継続してサイバー攻撃の「巧妙化」への注意を呼びかけている。あまりにも巧妙化しているため、被害者は被害にあっていることにすら気付かない。そういう意味で、サイバー攻撃は「症状のない病気」に似ている。咳は出ない、熱もない、痛みもないが、極めて密かに悪化していく。昨今のサイバー攻撃は目に見える明確な症状(兆候・痕跡)をもたらさないため、今攻撃を受けているのか、どのような対策をする必要があるのか判断できないのだ。
サイバー攻撃被害報道でよく見られるような「何年も前から被害を受けていた」という表現は、サイバー攻撃が「気づきづらい」攻撃であることも要因の一つとなっている。先だっての遠隔操作ウイルス犯のように、犯行声明が出される事件では被害を受けたことが認識できるが、プロのサイバー犯罪者が企業の機密情報を奪う際、犯行声明はまず出さない。遠隔操作ウイルス犯や一昔前の愉快犯的ウイルスなどの、自己顕示を目的とした攻撃とは全く異質のものだからだ。Low profile (身をひそめる)という英語表現に代表されるように、彼らは、攻撃の存在そのものをできるだけ隠すため、被害者側も最後まで被害にあったことに気づかないこともありうる。情報の盗難は物理的盗難と違って、本体(情報)が残っていることも被害を分かりにくくする要因の一つかもしれない。さらに攻撃の痕跡も消し去ってしまうため、気づくことがきわめて困難なのだ。
■セキュリティ対策のプロが気づく、サイバー攻撃の兆候とは?
実際にどのような「症状=兆候」がサイバー攻撃となりうるのか?想定される事態をストーリー仕立てで紹介する。あなたの会社に当てはまる症状(兆候)が無いか、よく確認してみてほしい。
ケース1 :深夜にサーバアクセスをする社員、それは本当に社員だろうか?
A社のセキュリティ担当者が定期チェックでサーバのログを確認すると、半月ほど前に大量の“ログインエラー” のログが残っていた。
後編へ続く。
トレンドマイクロ株式会社では、今後もセキュリティ対策ソフトを時代の変化に合わせて開発し続けるのみならず、サイバー攻撃の最新事例やその検証情報、パソコンセキュリティ対策のアップデート情報を、積極的に発信しています。
関連リンク
韓国サイバー攻撃関連の調査
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認
http://blog.trendmicro.co.jp/archives/6911?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-001
マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?
http://blog.trendmicro.co.jp/archives/6923?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-002
あなたは、この内容でも騙されない自信がありますか?
(1) 高度に巧妙化した「メール」を起点としたサイバー攻撃の例
http://blog.trendmicro.co.jp/archives/6748?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-003
あなたは、この内容でも騙されない自信がありますか?
(2)標的型攻撃への対策について興味を持ち、その詳細を知るためにファイルを開けてしまったユーザが、被害者の一人となった例
http://blog.trendmicro.co.jp/archives/6762?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-004
その他トレンドマイクロの調査データ多数
http://inet.trendmicro.co.jp/doc_dl/select.asp?type=2&cid=38&cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-005
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-006
■「われわれは今、いつサイバー攻撃を受けてもおかしくない状況にある」という事実
韓国へのサイバー攻撃事件は海外の話だが、当然我々が被害に遭う可能性も十分にある。決して他人ごとではない。
2013年になってからも、日本国内での企業や政府機関への攻撃があったとされ、海外においても、大手IT企業や有名ニュースメディアサイトへの攻撃が報道された。
では、具体的にどのように攻撃が進んでいくのか?
以下、今回発生した韓国での事例に関する考察は、あくまでもトレンドマイクロが独自に収集した情報に基づく「推測」である。この推測が外れたり、また、今後さらに明らかになる事実もあるであろうことを前提にお読みいただきたい。
■韓国でのサイバー攻撃被害:偽装添付ファイルとダウンローダを使った、典型的なサイバー攻撃
事の発端は、ターゲットを絞ったスパムメールであったと思われる。クレジットカード会社を騙ったメールには、利用明細を装ったPDFファイルが添付されており、これが攻撃の発端となったようだ。このファイルを開くとダウンローダ TRJ_DLDR.HB に感染し、さらに別の不正プログラムをダウンロードする。
多くのシステムを再機能不能に陥らせたのは、マスターブートレコード(Master Boot Record/MBR) を上書きすることで、通常の再起動をできなくする複数の不正プログラムと推測される。今回被害を大規模にしたのは、これらの不正プログラムが多くのPCやUNIXシステムに配布されてしまったことにある。そのために利用されたのが、プログラムの配信などを行う集中管理ツールサーバだった。
攻撃者は、何らかの方法で集中管理ツールサーバにTROJ_KILLMBR.SMを送り、そこから多数のPCへ配布を行った。TROJ_KILLMBR.SM は、PC上の全ファイルを削除した上、MBR をゴミデータで上書きし、復旧を困難にしたと思われる。
さらに、侵入したPCにUNIX系サーバへアクセスするためのID/パスワードが格納されていた場合、不正プログラム UNIX_KILLMBR.Aを送信。侵入したPCから取得したID/パスワード情報を組み合わせ、TROJ_KILLMBR.SMよりドロップされた正規のSSHクライアントによってUNIX_KILLMBR.Aを実行するコマンドが発行される。同不正プログラムは、環境毎に異なる動きをする。AIX、Solaris、HP-UX を見つけると MBR情報をゴミデータで上書きし、また Linux, Solaris の場合、重要なディレクトリを削除。いずれもその作用はUNIXシステムの起動を困難にするものであった。
このように、まず、偽装メールと添付ファイルで第一次感染を引き起こすのがサイバー攻撃でよく使われる手法だといわれている。そして、第一次感染では大きな被害を生まないが、次々と不正ファイルをダウンロードすることで攻撃を「深化」させていく。この「深化」のプロセスが、ユーザにはなかなか気付きづらいものなのだということも、昨今のサイバー攻撃の大きな特徴の一つだ。
トレンドマイクロは継続してサイバー攻撃の「巧妙化」への注意を呼びかけている。あまりにも巧妙化しているため、被害者は被害にあっていることにすら気付かない。そういう意味で、サイバー攻撃は「症状のない病気」に似ている。咳は出ない、熱もない、痛みもないが、極めて密かに悪化していく。昨今のサイバー攻撃は目に見える明確な症状(兆候・痕跡)をもたらさないため、今攻撃を受けているのか、どのような対策をする必要があるのか判断できないのだ。
サイバー攻撃被害報道でよく見られるような「何年も前から被害を受けていた」という表現は、サイバー攻撃が「気づきづらい」攻撃であることも要因の一つとなっている。先だっての遠隔操作ウイルス犯のように、犯行声明が出される事件では被害を受けたことが認識できるが、プロのサイバー犯罪者が企業の機密情報を奪う際、犯行声明はまず出さない。遠隔操作ウイルス犯や一昔前の愉快犯的ウイルスなどの、自己顕示を目的とした攻撃とは全く異質のものだからだ。Low profile (身をひそめる)という英語表現に代表されるように、彼らは、攻撃の存在そのものをできるだけ隠すため、被害者側も最後まで被害にあったことに気づかないこともありうる。情報の盗難は物理的盗難と違って、本体(情報)が残っていることも被害を分かりにくくする要因の一つかもしれない。さらに攻撃の痕跡も消し去ってしまうため、気づくことがきわめて困難なのだ。
■セキュリティ対策のプロが気づく、サイバー攻撃の兆候とは?
実際にどのような「症状=兆候」がサイバー攻撃となりうるのか?想定される事態をストーリー仕立てで紹介する。あなたの会社に当てはまる症状(兆候)が無いか、よく確認してみてほしい。
ケース1 :深夜にサーバアクセスをする社員、それは本当に社員だろうか?
A社のセキュリティ担当者が定期チェックでサーバのログを確認すると、半月ほど前に大量の“ログインエラー” のログが残っていた。
後編へ続く。
トレンドマイクロ株式会社では、今後もセキュリティ対策ソフトを時代の変化に合わせて開発し続けるのみならず、サイバー攻撃の最新事例やその検証情報、パソコンセキュリティ対策のアップデート情報を、積極的に発信しています。
関連リンク
韓国サイバー攻撃関連の調査
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認
http://blog.trendmicro.co.jp/archives/6911?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-001
マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?
http://blog.trendmicro.co.jp/archives/6923?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-002
あなたは、この内容でも騙されない自信がありますか?
(1) 高度に巧妙化した「メール」を起点としたサイバー攻撃の例
http://blog.trendmicro.co.jp/archives/6748?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-003
あなたは、この内容でも騙されない自信がありますか?
(2)標的型攻撃への対策について興味を持ち、その詳細を知るためにファイルを開けてしまったユーザが、被害者の一人となった例
http://blog.trendmicro.co.jp/archives/6762?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-004
その他トレンドマイクロの調査データ多数
http://inet.trendmicro.co.jp/doc_dl/select.asp?type=2&cid=38&cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-005
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_8-_-Webrelease-_-006
企業情報
| 企業名 | トレンドマイクロ株式会社 |
|---|---|
| 代表者名 | エバ・チェン |
| 業種 | ネットサービス |
コラム
トレンドマイクロ株式会社の
関連プレスリリース
-
変更監視の目をすり抜ける?Apache不正モジュールを悪用した、気づきにくい「正規サイト書き換え」攻撃とは。
2013年4月18日 10時
-
【今、知っておくべき危機 】確実に忍び寄るサイバー攻撃!「症状のない病」から日本企業の情報資産を守れ! ~後編~
2013年4月9日 18時
-
【今、知っておくべき危機 第4回】韓国へのサイバー攻撃は決して「対岸の火事」などではない。これからの日本に必要なサイバー攻撃を防御する新しい考え方とは?(後編)
2013年4月4日 18時
-
【今、知っておくべき危機 第3回】韓国へのサイバー攻撃は決して「対岸の火事」などではない。これからの日本に求められるサイバー攻撃を防御する新しい考え方とは何か?
2013年3月28日 18時
トレンドマイクロ株式会社の
関連プレスリリースをもっと見る
