2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。

で、韓国のサイバー攻撃ってつまるところ何だったの？

という方は既に素晴らしく整理された情報が沢山あるのでそちらを読めば万事解決になると思います。

ここではいくつかトピックを絞って報道や政府、セキュリティベンダから発表されている情報をまとめています。また、まとめるにあたり多数の韓国語記事をインプット対象としていますが、piyokangoに韓国語力がないため翻訳サイトを通して内容を確認しています。元の記事の意味と異なる可能性があり、その際はご指摘いただけると大変ありがたいです。

尚、このサイバー攻撃と関連性が不明な下記情報についてはここでは割愛しました。

LG U+の改ざん
ウリィ銀行へDDoS
KBS HPの改ざん疑惑
朝鮮通信へのネットワーク不正アクセス疑惑

他、まだ載せきれていない情報があるので適宜更新していく予定です。

１．サイバー攻撃を受けた組織の被害情報

ここではサイバー攻撃を受けた6つの組織に関する被害の情報をまとめます。韓国放送通信委員会(KCC)によれば6組織あわせたPC、サーバー等の被害総台数は当初約32,000台と発表されていますが、その後の報道によれば詳細な調査結果から約4万8700台が被害を受けたとも報じられています。

農協銀行
- 詳細被害台数不明
- 西大門農協本店で少なくとも2000台が被害 (サムスンの緊急修復サービス台数より) *1
- 30店舗で被害 *2
- 全従業員用端末の1割程度が使用不可能な状況
- ATMでは約半数(47.7%)が被害(農協ATMは全台で約4500台) *3
- グループ企業の被害 *4
  - 農協生命保険：72台が被害
  - 農協損害保険：50台が被害
- 中央本部と一部の営業店の従業員の端末を中心とした被害 *5
- Ahnlabのセキュリティソリューションを利用。
新韓銀行
- 詳細被害台数不明
- 57店舗と営業店で被害
- メインサーバーがダウン
- DBに関連するネットワークトラブルを中心とした被害 *6
- Ahnlabのセキュリティソリューションを利用。
済州銀行(新韓銀行の子会社)
- 詳細被害台数不明
- 支店従業員の端末を中心とした被害
KBS
- 職員PC約5000台が被害、基幹業務システムへの影響も *7
- Ahnlab,hauri両社のセキュリティソリューションを利用。
MBC
- 約800台(全社台数の半数程度)が被害
- Ahnlabのセキュリティソリューションを利用。
YTN
- PC約500台、サーバー5，6台が被害
- hauriのViRobotを利用。

各組織のセキュリティソリューション利用状況の参照元 *8 *9

２．被害直後の各組織の対応・状況

被害後の組織の状況、及びその対応をまとめます。

農協銀行、及びその関連組織
- サイバー攻撃発生後、営業店舗の窓口業務が麻痺。
- 農協生命、農協損保でも同様の被害が発生した。
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。

新韓銀行
- 金融取引に用いられる取引総合電算システムで障害が発生。
- 1時間半程度、57店舗と営業店の窓口業務、インターネットバンキング、スマートバンキング、CD/ATMの利用に支障が生じた。*10 *11
- サムスンカードが利用不可(新韓銀行口座と連携) *12
- ロッテカード、新韓カードのデビットカードが利用不可(新韓銀行口座と連携) *13
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。
- セキュリティ担当者は20日から25日までの24時間体制で対応。
- 14時過ぎに被害を確認してからおよそ1時間半で復旧完了。*14

済州銀行
- 支店の端末内のファイルが削除された。
- ATM利用に支障が生じた。
- 当日の業務時間を18時まで延長する措置。
- 金銭被害は報告されていない。

KBS
- ネットワーク異常が確認されてすぐに「マシン電源をオフし、作業を中断せよ」という社内放送が流れた。
- 当該原因が把握されるまでの間社内業務が全て中断となった。
- 放送システムには異常は見られなかった。
- KBSラジオでは放送業務に支障が生じており、リスナーや文字情報が放送できなかった。*15
- KBSラジオで使用する音楽について、普段はネット経由で取得しているためCDを探すのに苦慮した。*16
- 自社HPのアクセスを遮断した。
- 報道情報の作成、資料検索に支障が生じた。
- 釜山の放送局は接続が出来ないため21時からのニュースに続き放送予定だったコンテンツをカットした。*17

MBC
- 全ての従業員に対し、コンピュータの電源を強制的に終了するよう社内放送で指示。
- 放送システムには異常は見られなかった。
- 記事の出力や外部制作された映像記事を内部ネットワークを介して送受信することが難しく、報道制作に影響が生じた。
- 個人のノートPCや携帯電話で緊急業務を処理した。*18

YTN
- 放送編集機器、及び報道情報用のシステムが使用不可となったため、生放送形式での進行となった。*19 *20

３．一連のタイムライン

韓国

日付	時刻	分類	出来事	ソース
3/20	14時頃	3.20大乱	金融・放送6組織のコンピュータで突如停止した後起動できなくなる状況が多発。
	14:25	3.20大乱	KCCが事故報告を受け調査開始。	*21
	14:35	3.20大乱	KCCとインターネット振興院(KISA)が放送局や農協などの金融機関でネットワーク停止の発生を確認したと報告。	*22
	14:40	3.20大乱	国内の複数の金融機関、放送局でシステム障害が発生したとYTNが速報。
	14:50	3.20大乱	大統領へ状況報告、徹底した原因把握を指示。	*23
	15:00	3.20大乱	KISAを通じてサイバー危機警報レベルを「関心」から「注意」に引き上げると発表。	24 25
	15:05	3.20大乱	農業銀行で全支店のネットワーク遮断措置。	*26
	15時頃	3.20大乱	新韓銀行関係者が中央サーバーが丸ごとダウンしたとコメント。
	15時頃	3.20大乱	警察がサイバーテロによる攻撃の可能性を念頭に置き、捜査に着手。	*27
	15:10	3.20大乱	軍が情報作戦態勢(INFOCON)を「4（軍事警戒）」から「3（準備態勢の引き上げ）」へ格上げ。	*28
	15:50	3.20大乱	新韓銀行が業務復旧。	*29
	16:20	3.20大乱	農協銀行が業務復旧。
	16時頃	3.20大乱	MBCが内部ネットワークが使えないため放送業務に支障が出ていると報告。
	16時頃	3.20大乱	各銀行が窓口営業時間を18時まで延長する措置。	*30
	16時頃	3.20大乱	政府が政府省庁のネットワーク、システムには異常が出ていないことを報告。	*31
	17:49	3.20大乱	AhnLabがV3エンジンの緊急アップデート
	18:40	3.20大乱	AhnLabが専用ワクチンの配布を開始
	21時頃	3.20大乱	KBSがデジタルニュース室の機器を使い内部の報道情報システムを限定復旧。	*32
	−	3.20大乱	ハウリがサイバー攻撃に用いられたマルウェアに対応したパターンファイル、復旧ツールを公開。
3/21	6:30	3.20大乱	MBC慶南の内部ネットワークが停止していると発表。	*33
	7:25	3.20大乱	KBSがPCを除く業務用ネットワークが復旧したことを報告。
	11:30	3.20大乱	KCC委員長がKISAを訪問し、サイバー攻撃の対応について協議。	*34
	17時頃	3.20大乱	農協では16か所がまだ復旧できていないという報道。	*35
3/22	6時頃	3.20大乱	農協が従業員用端末の87%、ATMの78%が復旧したと報道。	*36
	15時頃	3.20大乱	KCCが下記の内容を報告。 6組織で被害が報告されて以降、他追加で被害報告は入っていない。農協システムへのアクセスIPが中国で在ったとの情報が誤りであった。金融機関は復旧を完了し正常化。放送局は10%レベルの復旧率である。必要に応じて海外の関係機関から協力を得て対応する。	*37
3/24	18時頃	3.20大乱	農協銀行がFW設定(不要ポートの遮断)の見直し等、セキュリティ対策を強化
	−	3.20大乱	農協銀行が障害発生前の水準まで復旧。	*38
3/25	6時頃	3.20大乱	農協銀行が内部と外部のネットワークの完全分離を実施。
	10:30〜13:45	3.20大乱	AhnLabによる不特定多数を対象にした攻撃が推定された時間帯
	−	3.20大乱	セキュリティベンダが亜種による不特定多数を対象とした攻撃兆候が見られるとして注意喚起。
	−	3.20大乱	警察が6組織にアクセスしていた一部に欧米四か国(詳細不明、TBSでは6か国との報道も)のIPアドレスが確認されたことを明らかに。	39 40
3/26	9:21	3.20大乱	AhnLabが3.20大乱を受けて保護施策を発表	*41
	10:40	行政ネット障害	自治体のネットワーク接続機器(スイッチ)に過負荷がかかり、障害が発生。
	10:50	行政ネット障害	8つの自治体(ソウル、京畿、仁川、光州、全南、全北、江原、済州)の行政ネットで接続できない障害が発生。	*42
	9:40	HP閲覧障害	YTNグループ6社含むYTNのHPでトラフィックが急増。
	11:37	HP閲覧障害	YTN関係のHPで閲覧障害が発生。
	11:50	HP閲覧障害	官民軍合同対策チームがYTNへ派遣。	*43
	11:22	行政ネット障害	全南を除く7つの地域のネットワーク障害が回復。
	12:04	行政ネット障害	全南のネットワーク障害が復旧。原因はネットワーク機器故障。
	14:00〜14:15	HP閲覧障害	中央省庁の企画財政部HPで閲覧障害が発生。	*44
	18:03	HP閲覧障害行政ネット障害	YTNと自治体で発生した障害について、接続されるインターネット網が異なるため無関係であると政府が明らかに。	*45
	13:40〜14:30	HP閲覧障害	デイリーNKのHPで閲覧障害が発生。投稿記事が削除され、バックアップより復旧。	*46
	13:40〜14:30	HP閲覧障害	自由北朝鮮放送のHPで閲覧障害が発生。同社がサーバーが不正アクセスを受けたと発表。
	14:30〜15:00	HP閲覧障害	北朝鮮改革放送のHPで閲覧障害が発生。データが削除され、AM2時以降に更新された記事が消失。
	〜16時頃	HP閲覧障害	NK知識人連帯のHPで閲覧障害が発生。	*47
	−	HP閲覧障害	北朝鮮民主化ネットワークのHPで閲覧障害が発生。
	−	HP閲覧障害	KCCがYTNへの問い合わせに対して内部システムエラーが原因である(暫定結論)と回答うけたことを報告。	*48
3/27	−	3.20大乱	3.20の件を受け、金融監督院が農協銀行/生命/損保、新韓銀行、済州銀行に対し、翌月9日までの10日間特別検査を実施することを発表	*49
3/28	−	HP閲覧障害	YTNのHPが復旧。
3/29	11:09	3.20大乱	AhnLabが農協の中間調査結果を発表。納品したAPCサーバーに認証バイパスの脆弱性がありこれを突かれて攻撃が行われたことが原因と報告。	*50
	正午	3.20大乱	3月20日に被害を受けたシステムが全て正常化したことを合同対策チームが発表。	*51
4/9	−	3.20大乱	IssueMakersLabが一連の攻撃キャンペーン「Operation 1Mission」であるとし、侵入経路について独自の調査結果を報告。	*52
4/10	14:00	3.20大乱 HP閲覧障害	一連のサイバー攻撃について、政府合同対策チームが中間調査結果を発表。3.20大乱以降に発生した一部のインシデントでも関連性が認められたことを報告。
	17:30	HP閲覧障害	KBSのHPで閲覧障害が発生。20分後復旧。
	18:20	HP閲覧障害	農協、及び農協関連グループ(銀行等)でインターネットバンキングが中断。
	18:45	HP閲覧障害	復旧後、KBSのHPで再度閲覧障害が発生。
	20:00	HP閲覧障害	さらに復旧後、KBSのHPで再度閲覧障害が発生。
	21:50	HP閲覧障害	農協、及び農協関連グループ(銀行等)で発生していたトラブルから完全に復旧。

日本

2013/03/21
- 警察庁が国内の金融機関、電力会社等へ注意喚起、攻撃が確認された場合はすぐ報告するよう都道府県警察へ指示したことを記者会見で報告。*53
- 国内での被害はないことを官房長官が記者会見質疑応答にて回答。*54
2013/03/22
- 自民石破幹事長が韓国で起きたサイバー攻撃を受けて国内の法整備検討を始めると記者会見にて回答。*55

４．政府合同対策チームによる調査状況

済州銀行を除く5つの組織(農協、新韓銀行、KBS、MBC、YTN)を対象に調査・分析中。
これら組織から悪性コード14種類を確認。
農協以外の資産管理サーバーで異常な接続を試みた海外のIPアドレスを確認。
農協のシステムからは海外のIPアドレスは確認されなかった。
済州銀行は悪性コードの入手ができていない。
接続元IPアドレスに海外(欧米、中国含まず)4か国(TBS報道では6か国)を確認した。他にないかについては現在調査中。
4月10日に中間調査報告を発表。

参考元: *56 *57

５．今回のサイバー攻撃スキーム

冒頭紹介したまとめ記事でも説明ある通り、破壊被害を受けた端末にマルウェアを格納、実行させたのは各社が導入している資産管理サーバー（ウィルス対策ソフトの更新管理サーバー）であるとKCCが報告しています。この資産管理サーバーへどのように入り込んだのかについてはセキュリティベンダがメールやWebを通じた感染等様々な推測を含む解析情報を出しているものの、3月25日時点で確定的な情報は出ていませんでしたが、4月9日にIssueMakersLabが侵入経路にActiveXが悪用されたことが報告されました。攻撃をだれが行ったかについては、一時農協システムへ接続していたIPアドレスから名指しでの推測が行われていましたが、このIPアドレス情報自体が誤報であったことが改めて報告され、現在攻撃元を確定させる情報は出ていませんでした。しかし、4月10日に韓国政府の合同対策チームが中間調査報告を行い、状況証拠から北朝鮮の偵察総局が行ったと推定されることを報告しました。また3月25日に韓国警察が接続したIPに海外(欧米、中国含まれず)4か国を確認したことを明らかにしています。さらに3月29日にAhnlabが同社製品APCサーバーに認証バイパスの脆弱性があり、これを突かれて攻撃が行われたと報告しました。IssueMakersLabによるOperation 1Mission、政府合同対策チームによる中間調査報告はそれぞれ詳細を参照ください。

５．１　政府合同対策チームによる中間調査報告

4月10日午後2時に政府の合同対策チームが今回の攻撃に関する中間調査結果をまとめた報告情報を公開、発表しました。*58 この報告では北朝鮮の偵察総局が関与しているとされているものの、断定ではなくあくまでも推定という表現を使っています。これは報告で提示された情報を見れば分かる様に、状況証拠が中心となっていることが起因していると考えられます。

この中間調査報告によると今回のサイバー攻撃で関連が見られたものは4件あり、3.20大乱だけでなくその後発生した下記の3つのインシデントでも過去韓国へ行われたサイバー攻撃と手法が一致したと報告しています。

金融組織、報道局でマシンのデータ削除が行われた3.20大乱
3月25日の天気予報サイトを通じたマルウェアの拡散
3月26日の対北朝鮮、脱北者向けサイトで発生したHP閲覧障害
3月26日のYTNグループのHP閲覧障害

５．２　IssueMakersLabが発表した「Operation 1Mission」

4/9にIssueMakersLab*59が今回の攻撃で不明点となっていた侵入経路について報告しています。

Operation 1Mission - IssueMakersLab

尚、上記情報を@nilnil26さんに翻訳していただきました。ありがとうございます。

Operation 1Missionとは何か

IssueMakersLabによれば、今回の3.20大乱は2012年1月頃から行われていた作戦の一部(サブミッション)であり、6年以上活動を続けている特定の組織との関連性が見られたことを報告しています。また複数のマルウェアに含まれるpdbのファイルパスに「1Mission」という文字列が含まれることから、IssueMakersLabはこの一連のキャンペーンを「Operation 1Mission」と呼んでいるようです。

2007年より活動を行っている特定組織との関連性を示す情報
- 圧縮に用いられるパスワードが同じ16桁の文字列
- 特定の組織が確保したと考えられる一次接続先のC&Cサーバーと同じプロトコルやコマンド体系が利用
- 国家機密関係の情報を暗号化するキーが同じ値
- マルウェアに残存する開発情報から見られる類似性

Operation 1Missionの攻撃スキーム

IssueMakersLabによる攻撃スキームは次の通りです。尚、組織によってこれら一連のStepの進捗には差があり、大まかには2012年6月から2013年1月末までに行われたと報告されています。

Step	スキーム
(1)	C&Cサーバーを確保、C&Cサーバーは確認できているもので56IP。一次C&Cサーバーには韓国内の掲示板の脆弱性が利用された模様。一次C&C：韓国34台、韓国外4台(4か国) 二次C&C：韓国3台、韓国外15台(7か国)
(2)	韓国内のWebサーバー(外部)をハッキングし、悪性コードを流布。悪性コードを流布するために、韓国内で利用されるソフトウェアで用いられるActiveXの脆弱性を利用。2012年6月からと2012年12月からと流布された悪性コードは二種類存在。尚、同報告では具体的なソフトウェアの名称は明らかにされていません。
(3)	悪性コード流布する外部サーバーへ組織内の人間がアクセスし感染。
(4)	一次C&Cサーバーへ接続。役割はファイルリスト等の情報収集と悪性コードのダウンロード。またその後より深度に悪用する重要端末をピックアップ。
(5)	組織内のサーバーに対して管理ポート等のポートスキャン
(6)	重要端末が二次C&Cサーバーへ接続。悪性コードのダウンロード。尚、軽量化や専用プロトコルを用いる等して隠密性を高めている模様。
(7)	資産管理サーバーの脆弱性を突き、削除マルウェアをアップロード。
(8)	アップデートを通じて組織内の端末へ削除マルウェアを配布。

Operation 1Missionの時系列まとめ

年月	概要
2007年頃	マルウェアの第1世代を確認。同一であったとされる圧縮に用いられる16桁のパスワードはこの頃より利用。
	国内掲示板の脆弱性を利用し、C&Cサーバーを設置。PHPベースのWebアプリケーションが対象になっていた模様。
2008年頃	定型化されたとして第2世代を確認。C&Cとの制御通信が暗号化。同一であったとされるRSA鍵はこの頃より利用。
2009年〜2011年頃	特定キーワードを元に収集しそれを暗号化。同一であったとされるXTEA鍵はこの頃より利用。
2012年1月〜	3.20大乱の準備が開始されたと推測される時期(ファイルパスより?)。ActiveXの脆弱性を通じてDLされる。
2012年6月〜	亜種が登場したと推測される時期(ファイルパスより?)ActiveXの脆弱性を通じてDLされる。
2012年12月〜	亜種が登場したと推測される時期(ファイルパスより?) 隠ぺい機能を持つ第3世代を確認。ActiveXの脆弱性を通じてDLされる。
2013年1月	削除マルウェアが組織内への配布が一通り済んだとされる頃。尚このマルウェアとC&C通信を行っていたマルウェアは同一のパッカーを用いている。またRC4鍵は全て同じものが利用されている。

尚、IssueMakersLabによって公開された情報は韓国政府による公式な調査結果ではなく、このグループの独自調査に基づいた報告です。

６．サイバー攻撃で使われたマルウェアに関する情報

セキュリティベンダ等から報告されている情報をまとめたマルウェアの活動フローは下記の通りです。赤枠がHDDの消去を行い破壊活動を行っている処理となります。報告されている解析情報を見る限りでは大枠の動きは同様と思われますが、自動実行される時刻(Symantec解析報告より)が異なっていたり等、挙動が一部異なる亜種も確認されているため、下記フローは参考程度として見るに留めて頂くことを推奨します。

入手した検体を実行してみたところ、実行後即再起動するのではなく、しばらくしてから再起動が行われました。これは上記フローでも書いている通り、改ざんをしてから再起動をするまでの間にディスクの削除処理を行っているためと考えられます。組織によりシステムトラブルが発生した時間に差が生じたのは、予めそのように仕組まれていた可能性も否定できませんが、恐らくは組織で導入されている端末のスペックによる影響を受けたためではないかと考えられます。またkbs.exe、sbs.exe、imbc.exeなど標的となる組織の名前だろうと思われるマルウェアが複数確認されていますが、その内sbs.exeは壊れているのか、動作しないといった報告があります。*60 このファイル名との関連を疑わせるSBSでは今回のサイバー攻撃による被害報告はあがっていません。

６．１　セキュリティベンダの解析情報（関連情報含む）

７．3/26に多発した障害について

3/26に韓国国内でインターネットへ接続できない、HPが閲覧できないといった障害が多発しました。一部では攻撃によるものとの報告も出ていますが、この障害と3月20日に発生したサイバー攻撃(3.20大乱)との関連性は不明でしたが、YTNや脱北者関係のサイトへで発生した閲覧障害について3.20大乱との関連性が認められたことを合同対策チームが中間調査結果として報告しました。

発生対象	障害内容	原因
広域自治体	行政ネットワークで接続障害が発生。	スイッチの故障
YTN、YTNグループ	HPが閲覧出来ない障害が発生。サーバー75台中Linuxが稼働する58台でHDDの破壊(故障?)事象が発生。*61	内部的なシステム障害によるYTNサイトへの過負荷(YTNによる暫定調査結果) *62
企画財政部	HPが閲覧出来ない障害が発生。	大田統合電算センターで作業ミス *63
デイリーNK	HPが閲覧出来ない障害が発生。	米国のIPアドレスから不正アクセスを受けたと同社が報告*64
自由北朝鮮放送	HPが閲覧出来ない障害が発生。	サーバーが破壊されたと同社が報告*65
北朝鮮改革放送	HPが閲覧出来ない障害が発生。	不明
NK知識人連帯	HPが閲覧出来ない障害が発生。	不明
北朝鮮民主化ネットワーク	HPが閲覧出来ない障害が発生。	不明

８．4/10に発生した障害について

4/10の夕方からKBS、及び農協でインターネットからの閲覧障害が発生しました。現在のところこれら障害の原因はハードウェアトラブルであり、3.20大乱のような不正アクセスによるものではないことが報じられています。農協は障害発生から3時間半程度で復旧し、またKBSは復旧後また閲覧できなくといったことが3回繰り返されました。現在のところ障害が確認されたのは農協、KBSのみであり、他組織からは報告はないようです。KBS側の障害はHP更新中に過負荷が発生したことが原因であるとしているものの、この過負荷が発生した根本的な原因については調査中とのことです。

参考：*66