2013年6月25日、韓国に対してサイバー攻撃が仕掛けられ、政府関連およびニュース系の複数のWebサイトが被害を受けました。トレンドマイクロでは、この攻撃を調査し、今回の事例が以下の2つの事象から構成されていたことを把握しています。

  1. ファイル共有・オンラインストレージサービスといった正規ソフトウェアの自動更新機能を悪用している。
  2. この悪用により実行された「分散型サービス拒否(DDoS)攻撃」は、同国で3月20日に発生してマスターブートレコードを復旧不可能にした大規模サイバー攻撃と類似している。

この攻撃は、どのようにして実行されましたか

自動更新機能の悪用

今回の攻撃では、「SimDisk」というファイル共有・オンラインストレージサービスが利用されました。これは、韓国のユーザの間で使用されている正規ソフトウェアであり、今日の多くの正規ソフトウェア同様、ユーザが気にすることなくバックグランドで更新やパッチ処理が自動的に行なわれる「自動更新」の機能が搭載されています。

今回の攻撃では、この自動更新の機能が悪用されました。具体的には、自動更新に際して更新プログラムのダウンロード先となるWebサイトが改ざんされ、インストーラを不正なものに置き換える手口が施されました。改変されたインストーラは、トレンドマイクロでは「TROJ_DIDKR.A」という検出名で対応しています。このマルウェアが、「SimDisk」の「更新」を装ってユーザのコンピュータにダウンロードされてくることになります。

ダウンロードされると、このマルウェアは、「SimDisk」の正規のインストーラも作成します。これにより、正規の動作がコンピュータ上で問題なく実行されたとユーザは判断してしまいます。一方、このマルウェアに関連したコンポーネントも同時に作成され、このコンポーネントにより、別のマルウェアがダウンロードされます。ダウンロードされた別のマルウェアは、さらにコンポーネントを作成し、これにより攻撃が完全に実行されることになります。このコンポーネントは、「環境設定ファイル」や「Torクライアント」、「Torネットワークに接続する不正なファイル」の3つから構成されています。「Tor」とは、正規のオンラインサービスですが、これを利用すれば、インターネット上での交信を隠ぺい・保護することが可能になります。恐らく今回の攻撃では、検出を回避するためにこの手法が利用されたと推測されます。これらの感染フローで図示すると以下のとおりとなります。

推測される攻撃の流れ

なお、さらなる調査から上述の事例と類似した別の攻撃も確認されています。この攻撃も、ほぼ同じ動作による感染フローですが、「SimDisk」ではなく、「Songsari」という別の正規ソフトウェアが悪用されます。この攻撃で使用されるコンポーネントは、トレンドマイクロでは「TROJ_DIDKR.B」という検出名で対応しています。

分散型サービス拒否(DDoS)攻撃

今回の攻撃も、「分散型サービス拒否(DDoS)攻撃」を行使する点で、同国で3月20日に発生してマスターブートレコードを復旧不可能にした大規模サイバー攻撃を彷彿させます。ただし、今回の事例のDDoS攻撃は、マルウェアが侵入したコンピュータ内で作成するコンポーネントが駆使されるかたちで実行されます。例えば、マルウェアが作成するコンポーネントは、侵入したコンピュータのオペレーティングシステム(OS)が32ビットか64ビットによって異なり、作成されたコンポーネントは、さらにDLLファイルを作成し、以下の2つの必要事項を確認します。

  1. 侵入したコンピュータがインターネット接続中であるかを確認する。この接続は、Webサイトから事前に予定した応答を確認するために使用される。
  2. 侵入したコンピュータの日時が、ダウンロードしたファイルの日時と合致しているかを確認する。これは、あらかじめ設定した日時にDDoS攻撃を開始するために必要となる。

これら2つの必要事項を満たしていることが確認されると、このマルウェアは、DDoS攻撃に使用されるコンポーネントをコンピュータ内に作成して実行します。このコンポーネントは、トレンドマイクロでは、「DDOS_DIDKR.C」という検出名で対応しています。そして、大量のDNSパケットを繰り返し送信することで、2つのIPアドレスを標的にしてDDoS攻撃を実行します。攻撃先の2つのIPアドレスは、韓国政府関連 WebサイトのプライマリDNSサーバおよびセカンダリDNSサーバとなります。こうして、サイバー犯罪者がこれらのIPアドレスに攻撃を仕掛けるよことにより、該当の韓国政府関連 Webサイトや、さらにはこれらのIPアドレスをDNSサーバとして使用しているWebサイトへのアクセスが不能状態に陥ります。

今回の事例が注目される理由は何でしょうか。

今回の事例は、韓国の政府関連およびニュース系の複数のWebサイトへ仕掛けられた攻撃という点で要注意と見なされています。今回、サイバー犯罪者たちは、協働して異なった攻撃を行使するだけでなく、可能なかぎり大きな被害を与え得る手口を駆使した点で注目に値します。

その手口とは、コンピュータへの侵入や自身の動作の隠ぺいのために「SimDisk」や「Songsari」の自動更新機能や「Torネットワーク」等、正規ソフトウェアの機能やサービスを悪用したことであり、もう1つの手口は、DNSサーバとして機能する特定のIPアドレスを標的にしたことです。これにより、より多くのWebサイトをアクセス不能に陥れることが可能となりました。

トレンドマイクロ製品は、今回の脅威からユーザを守ることができますか。

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、これらの脅威からユーザを守り、感染被害を未然に防ぎます。トレンドマイクロ製品のユーザは、「E-mail レピュテーション」技術、「Web レピュテーション」技術、そして「ファイルレピュテーション」技術の連携により、今回の事例に関連する脅威から守られています。