■先日、韓国のサーバーがシステムダウンし、えっと金融機関のシステムもダウンして、相当なデータが失われたようだ。
このダウンの原因だが、どうも、韓国の私企業(かなりの大手も)は、非正規のウインドウズを利用していたためらしい。
正規のものであれば、マイクロソフトからアップデートしてそれなりに「保護」されるのだが、os
が非正規のものであるため、マイクロソフトからパッチ(傷口をふさぐ包帯のような意味)を受け取れない。
そこで、非正規のそういうアップデートをするようなサイトがあり、その非正規のos
のバッチにウイルスがしこまれたためのようだ。
知的財産に価値を認めない、韓国という国の特徴が、自ら招いたシステムダウンといえそうだ。
以下、新聞から抜粋。
韓国インターネット振興院(KISA)は2013年3月21日、民・官・軍合同対策チームの調査で判明した被害の全容を発表した。
これによると、放送局や金融機関6社が被害に遭い、パソコンとサーバーの合計で3万2000台が影響を受けたという。
攻撃の実態調査は現在も継続しており、完全な正常化には少なくとも4~5日掛かると予想している。
マルウエア対策を実施しているはずの大手企業が被害を受けたのは、企業内でセキュリティパッチを一括管理する更新管理サーバーがハッキングされたのが原因と発表した。
これにより、マルウエアの企業内への侵入を許してしまったとしている。
農協銀行のシステムを分析したところ、中国のIPアドレス(101.106.25.105)がパッチ更新管理サーバーに接続して、悪意あるファイルを作成していたことが確認されたという。
韓国のセキュリティベンダーであるアンラボ、ハウリと協力して、緊急の専用ワクチンソフトの無料配布を開始している。
被害拡大を防ぐため、政府、公共機関、交通・電力などのインフラ企業、病院などは、コンピュータのBIOSの時間設定を一時的に2013年3月20日午後2時以前に変更している。
今回のサイバー攻撃ではWindowsの自動更新のタイミングで一斉に被害が発生したため、当面は自動更新を回避するという手当てだ。
■補足、感想など
上記がシステムダウンを報じる記事だが、日本の技術者がこの原因を推定している。
それをご紹介したい。
--ここから--
3月20日に韓国で発生した大規模サイバー攻撃。
同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。
筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測。
なぜ、そのように判断したか、順を追って解説してきたい。
まず、2003年に大流行したSQL
Server 2000に感染するSQL
Slammerというウィルスの存在を思い出してほしい。
あのときは、韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった。
その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、
そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。
これにより、同様の状況が発生しにくくなったのは事実である。
だが、それはあくまでクライアントレベルであり、Windows
Server Update
Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。
こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。
このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。
このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。
だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。
マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。
実際にファイルの提供そのものはAkamaiのネットワークを経由している。
そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。
そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows
XPを所有しており、そのWindows
Updateの仕組みを調査していた。
すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。
Windows
Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。
このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。
このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。
このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。
--ここまで--
別データとして、掲示板の書き込みから、原因を推定してみよう。
--ここから--
◇正規のアップデートは拒否されるから、別のアップデート鯖を参照する設定。
その鯖にウィルスが仕掛けられてた可能性。
なんのために正規認証させないかと言うと…以下略w
◇Win7だけじゃなくて、VistaもXPも一斉に逝ったらしいな
Win7SP1に時期を合わせたのは、起動に時間が掛かっても(実際は起動じゃなくてHDD上書きなのだが) 「ああ、アプデを適用してるニダ」ってのんびりHDD消去を待ってくれるからだとか。
◇Stuxnet、Duqu、Flameクラスのマルウェア<悪意ある不正ソフトウェアのこと>だろうから国家主導じゃないと開発は無理
立派なサイバー兵器だよね、悪質なのはどの国家が攻撃してるかわからないとこでしょ
ここまで技術があるのは中国、ロシア、イラン、アメリカの4国家くらいしか思いつかない
北朝鮮だとしたらマジで見直しちゃうわ
--ここまで--
で、結果として、韓国は国家レベルで隠蔽を図り始めた。
--ここから--
チェ・ムンギ未来創造科学部長官内定者は'3・20サイバーテロ
"と関連した調査の結果には慎重な発表を注文したことが分かった。
チェ氏は23日午前放送通信委員会から、今回のハッキング事件と関連した業務報告を受けて、"今後100%確実なものだけを発表してください"と注文したことが分かった。
彼は
"国民が気にするだろうが、信頼性確保のために発表に慎重を期さなければならない"と述べた。
チェ氏の今回のご注文は、最近官民軍サイバー脅威の合同対策チームが農協の内部IPアドレスを、中国のIPアドレスと誤認して発表することで、混乱を招いたことによるものと思われる。
これにより、今後の対応チームのハッキング関連の発表が
"慎重モード"に変わると予想される。
--ここまで--
要するに、正規品であれば、そもそも問題も発生しなかった。
非正規品を使い続けたことによる「不都合」ということだろう。
明らかにされると、放送局レベルまで非正規品を使っていたことが明らかになるので、それは不味いと隠蔽を図ったということのようだ。
※追記。
上で、非正規品のOSを使って--と書いた。
この非正規品のOSのパッチを、サムスンが供給していたらしい。
まとまった文章がないので、掲示板から書き込みを転記したい。
--ここから--
◇韓国、なんとマイクロソフトを「人権侵害」で訴えていた→! 「割れOSに『あなたの使用しているソフトは不正です』とメッセージを出すのは脅迫罪に該当する」とサムスンや韓国政府が提訴 ⇒ 韓国製PCだけメッセージなしの特別仕様に改造させる → 嫌気が差したMSはWindows販売に限り韓国から撤退
◇サムチョンは南鮮向けに割れOSをインストールしたPCを販売してるのか
◇韓国の報道、北朝鮮の「サイバー攻撃を受けたニダ!」から判断すると、3万台とか売ってるぞ。
止まった数がそれくらいだと言われてるから。
◇SAMSUNG製のパソコンを、韓国内で買って北朝鮮は持ち帰ったんだろうな。
だから北朝鮮も今回、被害を受けた。
◇SAMSUNGが組織的にやってたんだろうよ。
納入や販売も割れOSのプリインストールも、おそらくは「Microsoftを回避して」パッチを当てる自動システム、専用サーバーの準備も。だから「韓国だけで」異様な被害が起こった。
◇でもさすがに非正規OSがこれだけあるってのが不可解すぎる
システム納入の業者も含めて組織的にやらないとなぁ それとも、自分だけは・・・
という意識がみんなあってこんな数になったのかね・・・
◇OSのなんと8割から9割が 偽物とか割れ物って言われてる。
不正品を使ってると「あなたの使ってるOSは不正品ですよ」って メッセージが出るだろ?
あれが韓国製PCだけ一切出ないんだぞ。
韓国政府、SAMSUNGや裁判所が「人権侵害、脅迫罪だ!」って訴えて、表示させないようにしたから。
嫌気が差してMicrosoftは「韓国での」OS販売から撤退してる。
韓国国内に正規代理店とか直営店がなーい。
先進諸国を名乗る国で、世界初の快挙だよ。
◇テレビ局や銀行のPCで割れなんて、 さすがの韓国でもあり得ないと思ってた
自分が恥ずかしい(´;ω;`)
--ここまで--
う~ん、つまり、サムスンを中心にして、国ぐるみでマイクロソフトの非正規品を使い、サムスンが非正規品のOSのパッチを恒常的に供給していたということだろう。
そのサムスンのサーバーにどこからか、ウイルスを仕込まれて、今度のサーバーダウンの現象が発生したということか。<かなりの重要なデータが無くなってしまったらしい>
まぁ、自業自得というところかな。
