韓国の大規模なシステム障害、攻撃者の目的は「システムダウン騒ぎ」か

韓国のメディアや金融機関のシステムが相次いでダウンした問題で、セキュリティ企業各社がこの攻撃に使われたとみられるマルウェアの解析作業を進めている。

[ITmedia]

　3月20日に韓国のメディアや金融機関などで大規模なシステム障害が発生した事件について、セキュリティ企業各社が、この原因になったみられるマルウェアの解析作業を進めている。各社の見解によれば、攻撃者は少なくともシステムダウンを狙った可能性が高いという。

　事件に使われたとみられるマルウェアを解析したシマンテックやフォティーンフォティ技術研究所（FFR）によると、このマルウェアは、韓国のセキュリティベンダーのアンラボやハウリの製品の「pasvc.exe」「clisvc.exe」というタスクを強制終了させる。

　また、感染したコンピュータのマスターブートレコード（MBR）とそこのデータに対して、「PRINCPES」もしくは「HASTATI.」という文字列を7万回以上も上書きする。さらにコンピュータを強制的に再起動させるが、MBRの情報が失われているために、起動できなくなってしまう。攻撃を受けたコンピュータに接続されたり、マップされたりしている別のドライブに同様の処理を行う場合もあるという。

　このほかに、別のプログラムなどを呼び込む「ドロッパ」機能を備えるが、このドロッパはLinuxのコンピュータを遠隔で攻撃する機能を備えていた。ネットワーク上にあるLinuxのコンピュータを探し出し、見つけ出したコンピュータのディレクトリの一部「/kernel」「/usr」「/etc」「/home」を、SolarisやAIX、HP-UXのコマンドを使って消去してしまう。

　マカフィーやFFRによれば、現時点でこのマルウェアが標的のコンピュータを起動不能にさせる以外の攻撃は行わず、外部の攻撃者のコマンド＆コントロールサーバとの通信も確認されていない。

　こうした特徴からセキュリティ各社は、この攻撃が韓国のシステムに標的を絞り、システムダウンを目的としている可能性が高いとの見解を発表。シマンテックは米韓軍事演習による政治的緊張の高まりを背景に、「不法な攻撃の一環か、民族主義的なハクティビストによる悪用と考えられる」と予想する。現時点で攻撃の発生源や感染ルートなどの詳細は分かっていない。

　20日にはシステム障害と同時に、一部のインターネットサービスプロバイダーや企業のWebサイトも改ざんされる事件も発生。攻撃を受けたWebサイトには、閲覧者の端末をバックドア型のマルウェアに感染させるためのコードが埋め込まれていたが、トレンドマイクロによれば、システム障害事件との関連性は現時点で認められず、「同時期に発生したのは単なる偶然の可能性もある」としている。