海の向こうの“セキュリティ”

　7月のセキュリティの話題と言えば、何と言っても韓国と米国で同時に発生した大規模DDoS攻撃でしょう。米国では7月4日から、韓国では7月7日から数日間にわたり、それぞれの国の政府や銀行、メディアのサイトをはじめ、ポータルサイトなどが断続的に攻撃を受け、アクセス不能またはアクセスしづらい状態になりました。当初は、そのタイミングや規模の大きさなどから北朝鮮の関与が疑われましたが、これは具体的な根拠のない噂に過ぎず、当時の情報の錯綜ぶりを示すエピソードと言えるかもしれません。

　さて、このDDoS攻撃は、攻撃元の多くがマルウェアに感染した韓国内のPCであったこともあり、今回は韓国側でどのような対応や動きがあったかを紹介します。

●攻撃の技術的側面

　まず、7月8日付で韓国KrCERTが公開した「国内主要サイト対象分散サービス拒否攻撃分析報告書」を紹介します。

　この文書の「3.攻撃トラフィック分析」によると、今回の攻撃には次のような特徴が見られたそうです。

1）攻撃元PC1台あたりの全攻撃トラフィックは54.2kbpsに過ぎない。

2）HTTP GETリクエストで発生するトラフィックの割合は全攻撃トラフィックの92.4％。
　 UDPとICMP Pingはそれぞれ3.7％と3.9％。

3）HTTPヘッダのUser-Agentを以下の5種類の文字列に変更しながらリクエストを実行。

User-Agent: Mozilla/4.0（compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729）

User-Agent: Mozilla/4.0（compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729）

User-Agent: Mozilla/5.0（Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20）Gecko/20081217 Firefox/2.0.0.20（.NET CLR 3.5.30729）

User-Agent: Mozilla/4.0（compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; MAXTHON 2.0）

User-Agent: Mozilla/4.0（compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729）

　この分析結果によれば、サーバー側から見ると、一見、単にアクセスが集中しているだけに見えること、また、攻撃元PCのユーザーは自分のPCが攻撃に使われていることにほとんど気が付かないであろうことがわかります。

　さて、今回のDDoS攻撃で特徴的と言えるのが、攻撃に使われたマルウェアがいわゆる「ボット」であるにもかかわらず、通常の「ボットネット」によるDDoS攻撃とは異なる形態の攻撃だったという点でしょう。

　通常、ボットネットによるDDoS攻撃と言えば、C&Cサーバーからの攻撃命令に基づいてボットが一斉に攻撃を行なうというものですが、今回はそのようなC&Cサーバーからの攻撃命令ではなく、特定の時間になると自動的に攻撃を行なうようにプログラムされていたようです。

　この点については、7月27日に韓国警察庁サイバーテロ対応センターが発表した分析結果に基づいて詳細を紹介します。

◆NATEニュース（2009年7月27日付記事）
実体あらわれる「DDoS」……警察、FBI TFチームと共助捜査
http://news.nate.com/view/20090727n08118

◆国民日報（2009年7月27日付記事）
DDoS「7・7大乱」ゾンビPCウェブハードサイトで感染
http://news.kukinews.com/article/view.asp?arcid=0921367094

　この分析は、今回の攻撃に使われたボット感染PCのうち、警察が入手した27台を詳細に分析したことによって判明したものに過ぎず、これが今回の大規模攻撃のすべてであるとは限らないことに注意する必要があります。

　分析によってわかったことは、まずボットの感染源が韓国で「ウェブハード」と呼ばれているオンラインファイル保存・共有サービスのサーバーであるということです。このサーバーはソウルと釜山のウェブハードサイト2カ所で、分析対象の27台のうち21台がこのサーバーからボットに感染したそうです。

　感染に悪用されたのは、ウェブハードを利用するための専用ソフトウェアの自動アップデート機能。

　まず攻撃者は、ウェブハードサイトに侵入し、アップデートプログラムを改ざん。これによりウェブハード利用者のPCが起動する度に自動的に実行されるアップデート処理によって、PCがボットに感染してしまったのです。

　次に特徴的なのは、このボットを制御するC&Cサーバーが4種類あり、ボットはそれぞれのサーバーと順繰りに通信を行なっていたという点です。

　4種類のサーバーは、接続順に「ゾンビコンピュータ管理サーバー」「ファイル情報収集サーバー」「悪性コード供給サーバー」「ゾンビコンピュータ破壊サーバー」となっています。

1）ゾンビコンピュータ管理サーバー

・感染PCのIPアドレスを抽出してPCの場所を把握
・次に接続する「ファイル情報収集サーバー」に誘導
・計9台
　（ドイツ3台、米国2台、タイ1台、カナダ1台、中国1台、オーストリア1台）
　・ドイツのサーバーのうち、ある1台が管理していた5万5596台のPCのうち98％にあたる5万4628台が韓国国内に

2）ファイル情報収集サーバー

・感染PCのファイル一覧を取り出し、カナダ、ベネズエラ、イスラエルにあるサーバーに送信
・59カ国に計416台（うち15台が韓国）

3）悪性コード供給サーバー

・DDoS攻撃実行プログラムのダウンロード元
　・ダウンロードされるファイルはXXX.jpg
　・設定された時刻に攻撃開始するプログラム
・1台のみ（米国西部の農場サイトに設置）

4）ゾンビコンピュータ破壊サーバー

・ボットにハードディスクの内容を破壊するよう命令
・計6台
　（台湾、グアテマラ、米国、パキスタン、トルコ、メキシコに1台ずつ）

　このような複数種のC&Cサーバーが役割を分担しているというのは、純粋に技術的な視点で見れば、なかなか興味深いものがあります。

●その後の影響

　韓国では今回のDDoS攻撃は「7・7大乱（テラン）」と呼ばれ、2003年1月に発生した「1・25大乱」（Slammerワームで韓国国内のインターネットが停止した事件）以来の大規模インシデントとされています。その一方で専門家の間では「1・25大乱」での教訓が活かされていなかったことが露呈した事件であると受け止められており、国全体としてセキュリティ対策を考え直すべきとの意見が出て来ているようです。

　「1・25大乱」をきっかけに韓国におけるセキュリティ意識が一時的に高まり、現在の韓国における個人向けワクチンソフトの全面無料化が進んだことは事実だが、結局はそこまで。韓国国民および企業のセキュリティ意識は相変わらず低いままで十分なセキュリティ対策が行なわれていなかったために起こったインシデントであるというのが専門家の指摘のようです。

◆アジア経済（2009年7月20日付記事）
7・7大乱その後、サイバー保安不感症治療至急
http://www.asiae.co.kr/news/view.htm?idxno=2009071714121319371

　確かにその指摘そのものは間違ってはいないと思うのですが、論点が少々ずれているような印象を受けます。

　例えば、今回のインシデントに限って言えば、個人ユーザーのボット感染には、極めて限定的な手法が使われており、どんなに意識が高く、セキュリティ対策を行なっているユーザーであっても、未然に防ぐことは難しい（ほぼ不可能）でしょう。

　また、ウェブハード側のサイト管理にも問題があったのかもしれませんが、これも（どのような原因・手法によって侵入・改ざんが行なわれたかにもよりますが）100％完全に防げるものではありません。

　他にも、攻撃対象となったサイトがDDoS攻撃に対してあまりに無防備だったという問題もありますが、そもそもDDoS攻撃は防ぎようがないため、これも意識や事前の対策だけでどうこうできる問題ではありません。

　つまり、今回のインシデントは、まさに「事後対応」としてのインシデント対応能力が問われるインシデントだったと言えるのではないでしょうか。

　この点で言えば、今回の韓国側の対応は（改善の余地はまだまだあるものの）さほど悪くなかったのではないかと思います。

　ボット感染PCのネットワーク接続を強制遮断することは法的根拠がないために行なえなかったものの（当然とも言えます）、ボット感染PCのユーザーに対して個別に電話や直接訪問するなどして、ワクチンの利用を勧めるなど、復旧を促す活動をしていたISPもあったそうです。手間のかかる方法ですが、現実的には悪くない（最善の方法であるかはわからない）対応だったのではないでしょうか。

　その一方で、KISA（韓国情報保護振興院）が提供している、ボット感染の有無をチェックするサービス「ボホナラ（保護の国）」が、今回のインシデント対応においてどれだけ有効に活用されたのかが気になるところです。

　このような中、韓国放送通信委員会は、個人ユーザのポータルサイトやオンラインゲームの利用に際して、ワクチンソフトをインストールするなどのセキュリティ対策の実施を義務化する法案を検討中との報道がありました。

◆ETNEWS（2009年7月21日付記事）
個人PCにワクチン敷かなければポータル接続できないように
http://www.etnews.co.kr/news/detail.html?id=200907200191

　セキュリティ関連の政策においては何かと「イケイケドンドン」のイメージがある韓国ですが、今回もまた極端な法案で、当然ながら韓国国内からは「個人の自由を深刻に侵害する行為」として反発の声が上がっています。

●最後に

　今回のインシデントでは、攻撃元となったボット感染PCが日本にも複数台存在しただけで、幸い日本にはほとんど影響がありませんでした。しかし、決して「対岸の火事」として無視できる話ではないと思います。改めて、事後対応としての「インシデント対応」の重要性を認識し、「いざというとき、どうするか」をあらかじめ検討しておくことが大事でしょう。