韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
投稿者: admin, カテゴリ: セキュリティー, ニュース, プログラム, 事件・事故, 情報関連, tags: 韓国大手企業不正OS使用が引き金
2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。
あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。
その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。だが、それはあくまでクライアントレベルであり、Windows Server Update Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。
こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。
このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。
このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。
マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。
実際にファイルの提供そのものはAkamaiのネットワークを経由している。 そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。
そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。
すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。
Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。
このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。
このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。
このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。ということらしいです。 要は国家ぐるみで割れ(不正コピー品 -中国の ブランドコピー品みたいなもの)OS使用を容認していたのでしょうか? DNAがずるいとこういうこと平気なんでしゅうね。 まあ姦国パプなども油断すっとすぐボッタクるしズルいことするの平気なんでしょう。 国家ぐるみでこういうこと平気でやれるってのはもう個人的な事情云々でなく民族DNAのせいでしょうw
小説風に書くと、CIAまたはFBI(米国)とMSが不正コピーOSになんらかの操作ができるようにアクティベーションを不正にできるようにしてあり(大国の好きなハニーポットですな)、定期的にアップデートできるセキュリティーパッチにウィルスを仕込ませその情報を漏らし3・20に実行コードが稼働した。ってな感じですかね。 アメリカはまさかハニーポットに入ったのが韓国とは思ってなかったでしょうねww。それも銀行、TV局とは。
内容紹介
「韓国は民主共和国ではなくサムスン共和国だ」 監視、尾行、そして盗聴。退職後も続いたサムスンによるあらゆる圧力。政治権力からは敵視され、マスコミからは無視されるという四面楚歌の中、かつてサムスンに法務スタッフとして従事した元特捜検事は、裏切り者といわれながらも敢えて良心に従って不正に対する内部告発を行った。刊行されるやいなや韓国国内を騒然とさせた大ベストセラー!内容(「BOOK」データベースより)
監視、尾行、そして盗聴。退職後も続いたサムスンによるあらゆる圧力。政治権力からは敵視され、マスコミからは無視されるという四面楚歌の中、かつてサムスンに法務スタッフとして従事した元特捜検事は、裏切り者といわれながらも敢えて良心に従って不正に対する内部告発を行った。刊行されるやいなや韓国国内を騒然とさせた大ベストセラー。
「ウリ」と「ナム」、(文化的側面としての)「サボタージュ」や「たかり」、「小中華思想」等の記述については、仕事上接した彼らの行動原理を解釈する上で非常に納得できるものであった。彼らの仕事を行う習慣を、今までは漠然とした文化の差異として受け止めつつもその差異に戸惑いを感じていた。しかしこの本によりその背景や彼らの意図(意識)が完全ではないにせよある程度理解することができたように感じた。
韓国では相手に徹底的に迷惑をかけるということが、友人関係を保つ秘訣だ。
しかし迷惑というのは日本的な発想なのである。彼らの側からいえば、本当に迷惑なら友人ではない、という論理になる。
したがって真の友人にはいっさい遠慮しないことが愛情だ、となる。突然来訪するなどというのは最も良い愛情の示し方である。
ある日突然、韓国の親友から電話が入る。いま東京に着いた、君もすぐ来い、案内せよと。当地から東京まで新幹線で六時間かかることを彼は考慮しない。知人や親戚を引き連れて団体で訪れるものもいる。当地はふぐが名産だそうだな、皆にふぐを食べさせてやってほしいと気軽にやって来るのである。
韓国では互いの甘えだけが信頼なのだ。
したがって、大勢知らないものを連れてやってくるなどというのは、先方がよほどこちらを信頼していなければできない。犯罪すれすれの無理な頼まれ事もあるそうだ。頼み事を断ると関係が途切れてしまう。
このような韓国人と顔色を変えずにつきあえるか、ここが分かれ目だと学生に話して聞かせるそうだ。
韓国人とつきあうのは彼らの極端な甘えを許さなければならない。その甘えの世界は際限がなく、受け入れられぬ場合の亀裂には底がない。