時限起動マルウェアがMBR破壊、トレンドマイクロの韓国サイバー攻撃調査結果

　トレンドマイクロ株式会社は、韓国の銀行や放送局で多くのPCが起動不能に陥ったサイバー攻撃について、情報収集と追跡調査から推測した攻撃の全体像を公表した。

　トレンドマイクロでは、これまでに収集した情報から、ソーシャルエンジニアリングを悪用したメールが、今回の標的となった組織への侵入のきっかけになっている可能性があると推測している。また、侵入後、ネットワーク内のコンピューターを管理するために使われる「集中管理ツール」を使ってマスターブートレコード（MBR）を上書きし、PCを起動不可能にする不正プログラム「TROJ_KILLMBR.SM」を配信したことも判明している。

　今回の攻撃の全体的な流れとしては、攻撃者はまず、なりすましメールを使って不正プログラムを送信し、これをユーザーが開くことで感染。次に、偽のサイトを表示して正規サイトにアクセスしているかのように見せかける裏で、不正なURLに接続。接続した不正URLから別の不正プログラムをダウンロードしている。

　さらに、何らかの手法を使って集中管理ツールのサーバーにアクセスし、「TROJ_KILLMBR.SM」を用意。集中管理ツールを使ってネットワーク上のWindows端末に「TROJ_KILLMBR.SM」を配布し、すべてのファイルを消去して、MBRをごみデータで上書きする。

　また、ネットワーク上のLinuxまたはUNIXサーバーを探し、AIX、Solaris、HP-UXを見つけるとMBR情報をごみデータで上書き。Linux、Solarisの場合には、重要なディレクトリを削除する。

韓国企業に対するサイバー攻撃の流れ

　今回の攻撃の特徴としては、最近よく使われている手法である「身代金要求型不正プログラム（ランサムウェア）」に似ているが、MBRを上書きして起動不可能にするという攻撃は、まだインターネットが普及していない1990年代に流行していた、システム領域感染型ウイルスを彷彿とさせると指摘。当時はフロッピーディスクを経由して感染が広がっていたが、今回の事例では大量被害を可能にする集中管理ツールを使っていることで、感染の速度と規模が格段に違うとしている。

　また、不正プログラムが3月20日の午後2時まで潜伏し、「時限爆弾」のように発症してPCを起動不能にさせる挙動も、特定の日付にハードディスク上のデータを消去し、BIOSチップを破壊しコンピューターを起動不可能にする「PE_CIH（通称：チェルノブイリ）」など、1990年代に流行していた不正プログラムのいくつかを彷彿とさせるとしている。

　大量被害を引き起こすために使われた集中管理ツールは、企業においては従業員が使う多数のコンピューターに更新プログラムを配信したり、設定を統一したりするためにIT管理者が使うもので、今回はこの集中管理ツールが何らかの形で乗っ取られ、不正プログラムの配布に使われた。こうしたケースはこれまでもセキュリティ業界ではその可能性が議論されており、トレンドマイクロでは持続的標的型攻撃などでこうした事例を確認しているという。

　今回の攻撃では、Windowsだけではなく、Linux、Solaris、HP-UX、AIXといったプラットフォームを標的とし、Windows向けの不正プログラムにそれが機能として搭載されていることも特徴的だと指摘。また、MBRの上書きなどに用いられた「HASTATI.」「PRINCPES」「PR!NCPES」といった文字列は、それぞれ古代ローマ軍制の「ハスタティ」「プリンキペス」という第一軍隊、第二軍隊を意味する単語で、現時点では推測の域を超えないものの、これらに使われている文字列には何らかの意図がある可能性も否定できないとしている。

　トレンドマイクロでは今回の攻撃から学ぶべき教訓として、一斉に大量のPCが麻痺したことによるインパクトは極めて大きく、集中管理ツールのようなものが不正プログラムの配信に悪用されたり、LinuxやUNIXも攻撃対象になるといったことは想定外と考えていた人たちもいるかもしれないと指摘。こうした攻撃は、規模だけを見て例外的な事例として捉えずに、同様の攻撃は技術的にも可能で、起こりうるものであるという前提でセキュリティ対策を行わなければならないとしている。

　また、こうした攻撃の被害に遭わないためにも、OSやアプリケーション、ウイルス対策製品などは最新の状態で使用すること、不審なウェブサイトや不審なメールを開かないといった、従来からの基本対策をしっかりと行った上で、不正プログラムの侵入を前提とした対策を行うことが重要だとしている。