韓国で発生した大規模なサイバー攻撃が話題に：セキュリティクラスタ まとめのまとめ 2013年3月版

　3月のセキュリティクラスタでは、遠隔操作ウイルス事件の容疑者の起訴が、引き続き最も大きな話題となりました。新たな証拠が公表されていないことに加え、「ハイジャック防止法」という、そもそもネットとはあまり関係のない罪状で起訴されたため、さまざまな憶測を呼んでいます。

　他に国内の出来事としては、多数のWebサーバがDarkleech Rogue Apacheモジュールに感染した一件に加え、いくつかのWebサイトがGoogleにアクセスブロックされたこと、必要以上の個人情報を収集するのではないかと疑惑を持たれたNTTのモニター調査などが話題になりました。一方、海外の出来事では、韓国での大規模なサイバー攻撃やスパム対策組織が大規模なDDoS攻撃を受けた事件が話題となりました。

遠隔操作ウイルス事件容疑者、「ハイジャック犯」として起訴

　2月10日に新たな5人目の容疑者が逮捕された遠隔操作ウイルス事件ですが、容疑者はいったん3月3日に処分保留で釈放となりました。しかし釈放後すぐに「ハイジャック防止法」など別容疑で再逮捕されます。そして再勾留の後、3月22日に威力業務妨害、偽計業務妨害、ハイジャック防止法違反の3つの罪で東京地裁に起訴されました。

　起訴につながるような決定的な新証拠が公表されていない中での起訴を不思議に思ったり、憤りを示すツイートがたくさんありました。一方で、マスコミにはまだ公表されていない、捜査陣だけがつかんでいる新証拠が明らかになる可能性を期待する人も見られました。

　現在のところ検察側は、

• 容疑者が会社で使っていたPCからウイルスが保管されていたサーバへのアクセスが行われていた
• Dropboxサーバに作成途中と見られる遠隔操作ウイルスのプログラムが置かれていたのが見つかった
• 会社で使用していたPCに、「C♯」を使って遠隔操作ウイルスを試作していたとみられる痕跡があった

など、間接的な証拠をマスコミに公表しています。

　一方、弁護側は、

• 容疑者はJavaは使えるがC♯は使えない
• 容疑者のPCにC♯の開発環境が入っていたことはない

と主張しており、どのように遠隔操作ウイルスの開発が行われたのかが争点になりそうです。

　事件関連の他の話題としては、

• 2月10日の容疑者逮捕以降、犯人が使用していたと見られるメールアカウントでのメールチェックが途絶えていたことが分かった
• 首輪が付けられる前後に、江ノ島の猫の写真を撮っていたブログが発見された。首輪が付けられた時間がかなり限定される証拠となる可能性がある
• 一時、容疑者ではないかと騒がれていた江ノ島で猫の世話をしていた人物は、容疑者とは別人だった

といった事柄があります。また、サイバー犯罪担当審議官に起用された元高知県警本部長の経歴や「iesys.exe」の呼び方なども話題になっていました。裁判が進むなかれこれらの事柄が明らかになるのかもしれません。

　なお3月19日には、軽い気持ちで、2月に「名古屋駅で殺人を行う」という予告をTwitterでつぶやいた（その日のうちに削除した）ユーザーが逮捕されました。警察は、Twitterを含むネットでの行動に過剰なまでに敏感になっているようです。

2度に渡る大規模なサイバー攻撃、韓国で発生

　3月20日、韓国の大手テレビ局3社と銀行3社がサイバー攻撃を受け、6社合わせて3万2000台ものPCが被害に遭いました。

　この件に関しては、複数の海外情報ウォッチャーが情報を素早く翻訳し、ツイートしていました。中には、情報をまとめてブログやWeb媒体で発表されていた方もあり、状況の把握に役立ったのではないでしょうか。

　この攻撃では、DDoSやLinuxサーバへの攻撃も行われていたそうですが、やはり最も大きな影響を与えたのはPCを破壊する活動でした。PCに潜んでいたマルウェアは、3月20日14時に一斉にマシンのデータ消去や攻撃を開始するよう設定されており、そのためたくさんのPCが起動できない状態になってしまったそうです。また、破壊活動と同時にLinuxサーバへの攻撃も行われ、こちらも少なからぬ影響を与えたようです。

　当初は原因として、「ローカルに設置されていた社内向けのWSUSサーバ、またはアンチウイルスのアップデートサーバが悪用された」、あるいは「非正規Windowsのアクティベーション回避による障害でないか」との意見が出ていました。

　その後の報告書によれば、標的型攻撃によって、ベンダが提供している資産管理サーバの管理者権限が奪取され、この権限を使ってマルウェアの配布が行われたと推定されているそうです。いずれにせよ、クライアントPCに対し大きな権限を持つサーバが攻撃されたことが原因となり、大規模な障害につながったようです。

　誰が何の目的でこの攻撃を行ったかについての推測も盛んです。「Whois Team」という詳細不詳のチームが犯行声明を発表していますが、北朝鮮のサイバー攻撃だともいわれています。アクセス元は中国のサーバだったとも報道されましたが、その後、社内でグローバルIPアドレスが使用されていたため中国は関係ないとの発表もありました。結局のところ、誰がどのような目的で行ったかはまだ分かっていないようです（韓国政府は4月10日、北朝鮮によるサイバー攻撃であると結論付けています）。

　その後の3月26日にも再び、テレビ局などがサイバー攻撃に遭いました。また逆に、北朝鮮のサーバが攻撃されたという報道があったほか、Anonymousが「OpNorthKorea」として北朝鮮関連サーバへの攻撃を行っているようです。

　北朝鮮がさかんに韓国やアメリカを挑発していることもあり、朝鮮半島ではしばらくインターネットでの攻防も続くのかもしれません。

Darkleech Rogue Apacheモジュールが日本のWebサーバを侵食中

　一方日本では、3月3日に環境省の「CO2みえ〜るツール」Webサイトが改ざんされたことが15日に判明し、サービス停止したことをはじめ、「琴浦さん」「ゆかしメディア」「海外投資新聞」など、判明しているだけで300近くのWebサイトが改ざん、マルウェア感染の被害に遭っています。

　これらの改ざんはすべて、「Darkleech Rogue Apacheモジュール」という、Apache Webサーバに感染するマルウェアによるもののようです。0day.jpブログの@unixfreaxjp氏が発見して注意喚起を行ったもので、多くのユーザーがこのツイートをRTしていました。

　ただ、Darkleech Rogue Apacheモジュールは、脆弱性が残ったIEからアクセスした場合にしかマルウェア感染コードを表示せず、その他の環境では何も起こらないという、感染が見つかりにくい仕組みになっています。そのため、いまだに感染に気づいていない管理者が少なくないようで、日本のみならず世界的にも問題になっているようです。

セキュリティクラスタ、3月の小ネタ

　このほかにも、3月のセキュリティクラスタはこのような話題で盛り上がっていました。来月はどのようなことが起きるのでしょうね。

• ComputerWorldやマイナビなどのサイトがGoogleにブロックされて大騒動
• NTTグループのモニター調査、閲覧したデータを全部渡す!? と話題に（その後中止へ）
• BIND9にまたまたまたまた致命的な脆弱性
• 日テレの「NEWS ZERO」でホワイトハッカー特集行われる
• BackTrackの後継「Kali Linux」公開
• JINSでクレジットカード情報流出
• Twitter APIのコンシューマーキーが解析によって明らかに
• Pwn2OwnでJava、Flash、IE10、Chrome、Firefoxがハッキングされる
• 新たに「はえ縄型の標的型攻撃」が観測
• Evernoteに不正アクセス、全員のパスワードがリセットされる
• SpamhausがDDoS攻撃を受け、インターネットのあちこちで速度低下