韓国での同時多発なサイバー攻撃についてのメモと雑感
皆さんご存知のとおり2013年3月20日に韓国の放送局や銀行で同時多発的に大規模な障害が発生しました。
それらの個々の事象やタイムラインについては既にとても素晴らしいまとめが公開されております。
以下をご覧いただくことを強くオススメします。
セキュリティは楽しいかね? Part 2 – 3/20 韓国同時多発サイバー攻撃について
piyolog – 2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。
まずは自分メモと考えの整理をする意味で
カンタンまとめ。
【標的】
韓国放送公社(KBS – Korean Broadcasting System)
株式会社YTN(YTN – Your True Network)
株式会社文化放送(MBC – Munhwa Broadcasting Corporation)
済州銀行
新韓銀行
農協銀行 + 関連機関
【事象】
・Windows PCがマルウェアに感染
・3月20日の午後2時に破壊開始するロジック。
・破壊はPCの MBR、VBRなどに対して行ないその後、強制的に再起動。
・重要な領域が破壊されているためシステムは起動しなくなる。
・6つの組織の合計被害台数PC,ATMなどを合わせは32000台 by 韓国放送通信委員会
・組織内ネットワークにある資産管理サーバを乗っ取って、そこからマルウェアを配信
(サーバ名称についてはココを参照)
資産管理サーバとはパターンファイルの配信サーバという理解でいいと思います。
・LG U+の改ざん、犯行声明を残した WHOIS TEAMとの関係性は不明。
【推測される感染・侵入経路】
※マルウェアの感染経路および、更新管理サーバへの侵入経路、方法も不明。
これを大前提として推測しています。
・添付メール
・攻撃用Webサイトへの誘導(偽サイトや正規サイトの改ざん)
・USBなどの物理メディア
・無線LAN APの利用
・外部からではなく内部犯行、内通者の存在も否定できない
【一考する価値のありそうな気になるポイント】
・どこのタイミングで検知できただろうか
・ミッションクリティカルな部分の分離、保護は充分だったか
・復旧手順は充分なものが存在していたのだろうか
【雑感】
この手の注目を集める事件が起きたときには、どうしても「ウチは大丈夫か?」という言葉が頭をよぎると思います。
特に今回のような大規模で、かつ目的や犯人、手法が不明であれば余計に不安や恐怖をかき立てるのだと思います。
PlayStation Networkの情報漏洩(not OpSONY)のときもそうでしたよね。
しかし、その不安や恐怖と向き合うことが大事なのだと思うんですよね。
その中にこそが答えがあるのではないかとボクは思います。
何故不安になるか? 何故怖いのか?
それは、分からないからですね。
何か失敗をしたときや失敗が想定されるときにそれを繰り返さない
もしくは起きないようにしようとすると思います。
対策ってやつですね。
対策は読んで字の如く原因や想定と「対」の「策」になっていないと意味がありません。
だからどのような事件、事故も原因の究明がスタートラインに立つための大事なアクションなわけです。
感染・侵入経路を推測してみたり、どこがポイントかなーと
考えてはみたものの結局のところ現段階で原因は分かりません。
もしかしたらこの先も公式に発表される保証もありません。
では、どうするのか?ということになるのですが…
この事件があったからそれに応じた対策を講じる。
というのではなく
自分たちがどこにある何を守りたいのかをはっきりさせる。
その上でそれがどこからのどのような脅威に晒されているのかを想定して
人、時間、お金などのリソースとの兼ね合いを考慮してどこまでの対策を講じるかを考える必要があると思います。
100%の「安全」は実現できっこないので、どこからは受容とするかというラインを決めて「安心」を得ようとする。
これは別に今に始まったことではなく今まで行なってきたことではないでしょうか。
普段の生活でいうなら
病気にかからないようによい習慣、体力を身につける。
病気を早期発見するために不安を感じたら診察してもらったり健康診断を受ける。
病気にかかったときのために薬を買い置きしたり掛かり付けを見つけておく。
これらと同じじゃないかなって思うわけです。
何か事件があったからあたふたするのではなく
普段からやるべきことをやる。
闇雲に不安になったり、恐怖におののいたりしないでくださいね。
間違えても、事象をしっかりと把握、分析もせず
韓国が大変なことになったから
ペネトレーションテストしましょう!とか言ってくる人を信用しないでくださいね。 ;p