2013年3月20日14時ごろ、韓国の放送局や金融機関でコンピューターシステムが一斉にダウンし、大きな被害をもたらした。原因は、ウイルス(マルウエア)を使ったサイバー攻撃とみられている。事件後、韓国の政府組織である韓国インターネット振興院(KISA、Korea Internet&Security Agency)や、海外のセキュリティ企業は、今回の攻撃を分析し、その結果を公表した。現時点(2013年3月22日正午)までに公開された情報を基に、今回の事件の概要をまとめた。

パッチ管理システム経由でウイルスを配布

 KISAによれば、ウイルスは「パッチ管理システム(Patch Management System)」を経由して、各企業のサーバーやパソコンに配布されたという。ここでのパッチ管理システムとは、パッチ(セキュリティ更新)をパソコンなどに自動的に配布するシステム(サーバー)のこと。米マイクロソフトが提供する「WSUS(Windows Server Update Services)」が有名。ただしKISAでは、パッチ管理システムの名前は明らかにしていない。

 攻撃者は、標的とした企業・組織のパッチ管理システムに不正侵入。パッチに見せかけたウイルスを置き、パッチ管理システムを使って社内のサーバーやパソコンに配布したと考えられる。

 ウイルスには、3月20日14時に動き出す仕掛けが施されていたため、同時刻に一斉に起動。サーバーやパソコンを使用不能に追い込み、業務を行えないようにした。例えば、銀行ではATMが利用できなくなったり、放送局では記者が記事を送れなくなったりしたと伝えられる。

 韓国政府では、放送局や金融など6社において、合計で3万2000台のコンピューター(サーバーやパソコン)が被害に遭ったことを確認したとしている(3月21日時点)。

 KISAでは、パッチ管理システムにアクセスしてウイルスを置いたとされるIPアドレスの一つを公開。IPアドレスは「101.106.25.105」で、中国のISP「Beijing Teletron Telecom Engineering」が管理している(図1)。

図1 IPアドレスを管理するISPなどの所在地を調べる「utrace」での結果
[画像のクリックで拡大表示]

【2013年3月24日追記】韓国政府は2013年3月22日、当初、攻撃の一部は、中国のISPが管理するIPアドレスから行われたと発表していたが、実際は、攻撃を受けた組織の別のパソコンから行われていたことが判明したという。該当のIPアドレスを、プライベートIPアドレスとして使用していたことが誤認の原因とみられる。

関連記事:「中国のIPアドレス」は誤り、接続元は組織内――韓国サイバー攻撃

【以上、2013年3月24日追記】

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら