海外における個人情報流出事件とその対応 第202回 政府サイトへのDDoS攻撃で露見した脆弱性 (1)7月4日から始まったDDoS攻撃 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.05.26(土)

海外における個人情報流出事件とその対応 第202回 政府サイトへのDDoS攻撃で露見した脆弱性 (1)7月4日から始まったDDoS攻撃

国際 海外情報

 7月7日に韓国や米国の政府サイトやポータルサイトなどに、大規模なDDoS攻撃が行われたとして、IT関連のメディアサイトを中心に『New York Times』など大手メディアも報じている。セキュリティ。DDoS攻撃とはDistributed Denial of Services(分散型サービス拒否攻撃)の略で、ネットワークを通じた攻撃の1つだ。

 インターネット経由で、複数のネットワークに分散する大量のコンピュータが、データやパケットを送信して、相手のネットワークを麻痺させる。DDoS攻撃はDoS攻撃の手段の一つで、一般にDoSは単一ホストからの攻撃だが、DDoSは複数箇所から攻撃を行う。lenovoのWebサイトでは、「実際に攻撃を実行するコンピュータの管理者や利用者に攻撃の意図はなく、外部の悪意ある第三者(クラッカー)にコンピュータを操られて、気づかないうちに攻撃に参加させられてしまうという特徴があります」となっている。

 今回の攻撃は、トレンドマイクロのセキュリティブログでは、「(この攻撃では)メールを介して感染活動を行うワームが、攻撃の主役となりました」と解説している。ワームは特定メールの添付ファイルとして、コンピュータに侵入。ユーザが添付ファイルをダブルクリックすると、ワームは自身をシステムサービスとして登録して、正規のファイルであるように装っている。

 そして、「ワームは、ネットワーク分析ツールに関連したファイルを削除します」というからPCのデータを攻撃する。その結果、「感染ユーザに気づかれることなく、DDoS攻撃ツールとして活動でき、標的とするWebサイトへのDDoS攻撃が可能となります」という。

 また、シマンテックのセキュリティブログによると、使用されたワームはW32.Dozer、Trojan.Dozer、W32.Mydoom.A@mm、W32.Mytob!genだ。W32.Dozerはドロップ型で添付書類として送られてくる。ユーザが添付を実行すると、Trojan.Dozer、W32.Mydoom.A@mmがダウンロードされ、次にW32.Mydoom.A@mmがW32.Mytob!gen をドロップする。DDoS攻撃を行うのは、バックドアとして機能するTrojan.Dozerだ。

 7月9日付の『The Washington Post』のBrian Krebsのセキュリティブログは、セキュリティ企業SecureWorksのJoe Stewartが、「感染したPCに付随したハードドライブのデータを上書きして消去するように作られていた」とのコメントをしたと紹介している。Stewartは"自己破壊"を行うトロイの木馬を研究所で調べ、感染したシステムのハードドライブを確かに削除することを確認している。ただし、Mydoomの"自己破壊"コンポーネントはインタビューした時点では実行されていない。

 その理由については、「コードにバグがあり、実行されるはずが実行されていないのか、時間要因があって、特定の時間までハードドライブが削除されないのかが考えられる」とする。Krebsが話したセキュリティ専門家たちの間では、感染したPC数は6万台から10万台だ。"自己破壊"が行われると、大きな影響を受けると予測されていた。ただし、その後の調査でStewartは、ハードドライブのデータの一部だけが破壊されると、被害予測を縮小。現在のところ、大きな騒ぎにはなっていない。

●ホワイトハウスや韓国大統領府が攻撃対象

 米国で攻撃対象となったのは、ホワイトハウス、国土安全保障省や国防総省、連邦航空局、国務省、運輸省、連邦取引委員会をはじめ、主要な政府機関のWebサイトだ。民間ではアマゾン、US Bank、ニューヨーク証券取引所、NASDAQ、そして報道機関、Washington Postのサイトも影響を受けた。

 韓国も大統領府、外交通産部、国防部、韓国国会など政府関係サイトが攻撃された。ほかには韓国の政党ハンナラ党、駐韓米軍に加え、農協や外換銀行、新韓銀行のネットバンキングのサイト、朝鮮日報だ。

 事件後、『聯合ニュース』が「韓国情報保護振興院(KISA)では、韓国国内インターネットサービス事業者と協力し、DDoS攻撃を誘発する中間命令制御サーバの把握を進めている」と、報じている。韓国では1月25日にもインターネットの接続障害があり、インターネットへのアクセスそのものが不可能になった。今回は、政府系Webサイトなど特定サイトのアクセスだけが困難になっていることが注目されている。

 攻撃は北朝鮮が日本海に向けて弾道ミサイル計7発を断続的に発射した7月4日から始まっている。また、4日は米国の独立記念日でもあること、攻撃対象が米国、韓国の政府機関が中心であったことなどから、北朝鮮の関与が事件当初から取りざたされてきた。

 一方、『North Korea Today』では、詳しく攻撃対象一覧を出し、「即座に『こ、これは北朝鮮の仕業だっ!』と考えるとしたら、よほどの単純思考の持ち主か、あるいはこれにかこつけて…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

人気過去記事

もっと見る

人気過去記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×