韓国同時多発サイバーテロについてセキュリティベンダーのブログなどを元に情報を整理します。

3月20日午後、韓国の３つの放送局と３つの金融機関で社内ネットワークがダウンし、PCが起動し
なくなる障害が発生しました。
放送局では幸い放送停止などの重度の事案までには発展しなかったそうですが、６社あわせて
4万8700台のPCが被害にあったそうです。
（韓国政府の調査結果によると北朝鮮の偵察総局が主導して犯行が行われたとの事です。）

この原因は、マルウェアによる攻撃が原因である事が分かりました。
このマルウェアに感染した場合、ハードディスクの起動時に必要なマスターブートレコード(MBR)が
書き換えられ、端末が起動できなくなります。
またシステム内部のファイルを破壊したり、韓国のセキュリティベンダーが提供するセキュリティ対
策ソフトを停止する機能も含まれていました。
このマルウェア自体はWindows PCにしか感染しませんがUnix系のOSにSSHで接続し、ハードディス
クの内容を破壊するスクリプトも含まれていたそうです。
外部ホストとの通信機能がなくシステム内にファイルをダウンロードしたり、レジストリを変更する
ような機能もないため、「ターゲットとしたコンピュータを使用不可能にすることのみ」を目的とし
たマルウェアのようです。

マルウェアに攻撃を許した原因は、アンチウィルスの更新プログラムを配布する「パッチ管理システ
ム」が乗っ取られ、マルウェア配布に利用され、パッチを受け取ったPCがマルウェアに感染した事です。
犯人によってユーザIDとパスワードが盗まれパッチ管理システムにマルウェアが仕掛けられたと考え
られます。
対策としてシステム管理ソフトの管理者権限を再設定したり不正な利用の有無を確認する事が考えら
れます。

私の勤務する会社の主要顧客は今回のサイバーテロで攻撃を受けた韓国企業と同様、放送局という事
もあり決して対岸の火事ではないと感じました。
以前、私が管理する放送局のポータルサイトのサーバーに対してDOS攻撃とおぼしき履歴がアクセス
ログに残っていた事もありました。

お客様や関係企業様にご迷惑をおかけする事のないように、日頃から基本対策をしっかり行う必要が
あると感じました。