2018年冬季オリンピック(平昌大会)に関連するサイバー空間上で起きた出来事をまとめます。
1.平昌大会に関連する不審な文書ファイル付きメール/Gold Dragon
(1) McAfeeが報告した不審メール
- McAfee Malicious Document Targets Pyeongchang Olympics
- CyberInt Winter Olympics Threats Snowballing?
- VOLON Power Shell Malware: Winter Olympics Organizers targeted in latest Spear Phishing Spam Campaign using Power Shell Malware
時期 | 件名 | 送信先 | 送信先 | 送信元FROM | 実際の送信元 | |
---|---|---|---|---|---|---|
2017年12月22日 | 위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docx | HTAファイル埋め込み | 情報なし | 情報なし | 情報なし | |
2017年12月28日 | 농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc | マクロ埋め込み | yj.kim@pyeongchang2018.com ticketeting@pongchang2018.com yeongseong.choi@pyeongchang2018.com sanghee.cho@pyeongchang2018.com icehockey@pyeongchang2018.com |
info@nctc.go.kr | ospf1-apac-sg.stickyadstv.com 43.249.39.152(シンガポール) |
- 添付されていた文書ファイルの動き
- 添付されていたファイルはマクロコンテンツが含まれたWordファイル。
c388b693d10e2b84af52ab2c29eb9328e47c3c16
-
- マクロは難読化されている。
- マクロを実行するとPowerShellスクリプトが起動する。
- この文書ファイルは12月27日15時52分にJohnという作成者が作成したもの。
- スクリプトファイルはリモートで画像ファイルをダウンロードして読み込みをする。
- 画像ファイルはステガノグラフィとしてさらn実行用のPowerShellスクリプトを抽出する。
- 12月20日にリリースされたInvoke-PSIMageというオープンソースツールを利用していたとみられる。
- 実行時の接続先は「www.thlsystems.forfirst.cz:443」
(2) 警察庁が報告した不審メール
- 2018年2月6日 평창 동계올림픽 관련, '경찰청 사칭 악성코드 이메일' 피싱 피해 주의
- 警察庁を詐称したメールが不特定多数に配布された。
- 脅迫電話テロ予防という件名でのメールが確認されている。*2
時期 | 件名 | 件名 | 送信先 | 送信元FROM | 実際の送信元 | |
---|---|---|---|---|---|---|
2018年2月6日 | 협박전화테러 예방.doc | 협박전화테러 예방 | sungwon.kim@kt.com | info.kr@nctc.go.kr (表示:경찰청) | 情報なし |
(3) Hauriが報告した不審メール
(4) Gold Dragon
- McAfeeは先のメールで確認された五輪を標的とする第二段階のペイロードであると評価。
- GoldDragonの由来はサンプル全体を通して確認されたドメイン「www.golddragon.com」にちなむ。
- GoldDragonは五輪を標的とするキャンペーンが始まった人同じ日に再度登場した。
- GoldDragonキャンペーン
- コントロールサーバーから実行可能ファイルをダウンロードする。
- スクリプトがシステムから取得するデータを暗号化するためのカギを生成する。
- 暗号化されたデータは「ink.inkboom.co.kr」に送信される。これは2017年6月に使用されたスクリプトと同じサーバー。
- Ghost419、Brave Prince等のスクリプトに類似した要素、コード、挙動が含まれる。
- 2017年12月21日に確認されたDLLベースのスクリプトはGoldDragonの亜種によりダウンロードされたものである。
- 「nid-help-pchange.atwebpages.com」がコントロールサーバで利用されていた。これはBrave Princeでも使用されていたサーバー。
- マルウェア GoldDragonは次のような挙動をする。
- HWPのプロセスを探索する。
- HWP.exeの実行が確認された場合、HWP上で開かれているファイルを検出する。
- コピーしたHWPファイルを読み取り、「JOYBERTM」という文字列でファイル中の「MZ magic marker」を検出する。
- HWPファイル内の暗号化されたMZマーカーを確認し、マルウェアにより復号されStartupフォルダに配置される。
- これは再起動後も永続的な持続性を確立するため。
- 本格的な限られた偵察、データ収集の機能を備えてはいるが本格的なスパイウェアではない。
- ファイルに収集した情報を格納し、コントロールサーバーへ送信する。
- v3、cleanerといったプロセス名を確認した場合回避行動を実行する。
- GoldDragonとの関連が疑われるキャンペーン
- Brave Prince
- Ghost419
- RunningRat
2.Adobe Flash Palyer 0day
(1) KrCERT
- Adobe Flash Player 신규 취약점 주의 권고
- 2018年1月31日に韓国ナショナルCERT(KrCERT)がFlashPlayerの脆弱性が確認され、悪用されていることを報告。
- 脆弱性はCVE-2018-4878が採番されている。
(2) Adobe のセキュリティ情報
(3) セキュリティベンダの分析情報
(4) 攻撃の流れ概要
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0 3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
- Talosは2017年11月頃からこの活動が行われていたと分析。
- FireEyeは平壌のIPアドレスからコマンドの送信等を観測したことから、攻撃のアクターはTEMP.Reaper(北朝鮮のグループ)と評価。
- ROKRATの亜種とみられるマルウェアに感染する。
- 以下の侵害されたサーバーがC2として機能していた。
hxxp://www.1588-2040[.]co.kr/conf/product_old.jpg hxxp://www.1588-2040[.]co.kr/design/m/images/image/image.php hxxp://www.korea-tax[.]info/main/local.php hxxp://www.dylboiler[.]co.kr/admincenter/files/board/4/manager.php
3.平昌五輪のイベントプログラムを偽装したマルウェア
- 「OlympicGame.exe」という名称のアプリケーションファイル。
OlympicGame.exe:d1ae2012fdbdbe9d8246d23f2fe4efa6865689d44cb7c7d7664366b2934f7e14
- 偽のイベントプログラムを実行すると偽の平昌五輪の宝くじ申請書が表示される。
- 名前やメールアドレスの入力が要求され、入力後に送信される。
- 宝くじの参加申込書では平昌大会に直接関係のないNBCのロゴなどが使われている。
4.チケットに関連する事象
(1) 平昌五輪に乗じた詐欺行為
- インターネットカフェで大会の入場券や宿泊券の販売をするとして代金を横取りする事件が発生した。
- 女子アイスホッケー韓日戦のチケットを入手しようとして詐欺にあった。紙のチケットは時間がかかるためモバイル版を送る、職場のサーバーが不安定である等と言い訳し連絡が取れなくなった。*4
- 中古品取引サイトで五輪チケットを販売すると偽って約120万円をだまし取った。詐欺の被害は韓国国内の約30人。*5
(2) チケット転売サイトのダフ行為
- スイス戦A席入場券6万ウォンが12万ウォンで取引されていたと報道。*6
- 大会関係のチケットは定価での取引が原則であり、平昌五輪特別法でも入場券を購入価格より高額で転売することを禁止している。
- 違反行為を行った場合、500万ウォン以下の罰金が科される。
5.ロシアが平昌大会へのサイバー攻撃を行うとの疑念
(1) Fancy Bears'HTの動向
- FancyBears'HTが大会直前の2018年1月から4回のリークを行っている。
- リーク行為は2017年8月ぶりとなる。
- 冬季五輪競技のリュージュ国際連盟が対象に含まれていた。
- 関係者内で取り交わされたメールなどの情報がリークされた。
以下はリーク先に示されたページの表題
(2) ThreatConnectが発見したなりすましドメイン
- TrreatConnectが過去の活動で見られた情報から以下組織に偽装したドメインが確認されたと報告した。
- 米国アンチドーピング機関
- 英国アンチドーピング機関
- アジアオリンピック評議会
- Berlinger Group(アンチドーピング機関が利用するキットの製造元)
インシデントNo (疑わしいドメイン等) |
詳細 |
---|---|
Incident 20180122A: Berlinger Group Spoofed Domains berlingergroup.com |
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン 89.33.246.121の専用サーバでホストされている。 vahmudzoltev@mail.comを利用して登録されており、同じアドレスで「berlinqer.com」が登録されている。 「berlinqer.com」は「91.205.149.202」でホストされている。これは正当なドメインのホスト先と同じ。 ただしmail.berlinqer.comは、berlingergroup.comをホストする同じ89.33.246.121が示されている。 berlinger.cloudは同じvahmudzoltev@protonmail.comを利用して登録されている。 このドメインが攻撃に利用されていたことは示していない。 |
Incident 20180119A: UKAD Spoofed Domain login-ukad.org.uk |
英国アンチドーピング機関のドメインに類似。 過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン ホストされたIPは「185.189.112.191」である。 米国のアンチドーピング機関の偽装ドメインがホストされていたIPアドレスと同じブロックである。 SOAはluciyvarn@protonmail.comが登録されている。 同じメールアドレスで他にもukad.cloudが登録されている。 adfs-ukad.org.ukはlogin-ukad.org.ukと同じ組織名「Zender inc、同じアドレスの文字列「Vapaudenkatu 57」が利用されていた。 このドメインが攻撃に利用されていたことは示していない。 |
Incident 20180110B: Olympic Council of Asia Spoofed Domain ocaia.org] |
12月25日にTHCServersで登録された。 このサービスは過去に使用されたものと同じである。 アジアのオリンピック評議会「ocasia.org」のドメインに類似。 このドメインにホストされたIP「193.29.187.143」はほかに6つのドメインを共存している。 FancyBearは専用サーバーを用いることが多いが、登録時期と内容から精査する価値がある。 |
Incident 20180103C: Domains Registered by wadison@tuta.io networksolutions.pw 23.227.207.182 |
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン 専用サーバーの登録は過去にWADAの偽装ドメインの登録に使用されたメールアドレス「wadison@tuta.io」が使われている。 このドメインは現在利用されていない。 同じ電話番号で登録されたドメイン「spiderclix.com」、アドレス「spider.worker163@yandex.com」を確認したが不確実性がありより低い脅威評価を行っている。 |
Incident 20180103B: USADA Spoofed Domains webmail-usada.org |
米国のアンチドーピング機関 USADAのなりすまし偽装の疑念があるドメイン 185.189.112.242がホストされていた。 ドメインのSOAレコードとしてjeryfisk@tuta.ioが使用されていた。 別のUSADAをなりすます「usada.eu」にも使用されていたメールアドレスであった。 このドメインは運用に使用されていると評価はしていない。また必ずしもFancyBearに帰属しているものでもない。 |
(3) ワシントンポストの報道
- 2018年2月24日 Russian spies hacked the Olympics and tried to make it look like North Korea did it, U.S. officials say
- Washington Postが大会のサイバー攻撃主体がロシア軍のスパイと報道。
6.米国関連組織の動き
(1) 平昌大会観光客へUS-CERTの注意喚起
8.炎上・誹謗中傷
(1) 平昌五輪公式サイトで日本列島の表記消滅
(2) ナ・ギョンウォン議員平昌オリンピック委員職を罷免
(3) 国際放送センターのカフェテリア食事写真炎上
(5) NBC解説者の開会式発言炎上
- NBCの開会式番組中、解説者として参加していたジョシュア・クーパー・ラモ氏のコメントに対し、韓国国内外で批判。
- 「日本は韓国を1910年〜45年まで植民地支配した。韓国人は日本が韓国の経済発展へ大きな影響を及ぼした文化・技術・経済的モデルであると言う」といったコメント。
- 炎上後にInstgramのNBC公式アカウント(nbcolympics)へ韓国国内から接続できなくなったとの情報がある。*15
- 平昌組織委員会は抗議を行い、NBCから謝罪の書簡を受け取ったことを明らかにした。*16
- NBCはラモ氏の発言に対し朝の番組で謝罪するとともに、同氏を降板とさせる措置を取った。*17
- ラモ氏が取締役を務めるスターバックスコーヒーの不買運動とみられる動きも出た。*18
- ラモ氏本人はTwitterに謝罪文を掲載した。
— Joshua Cooper Ramo (@jramo) 2018年2月14日
(6) 五輪参加選手への誹謗中傷
誹謗中傷を受けた選手 | 概要 |
---|---|
김보름選手(韓国) | スピードスケートパシュート女子準々決勝 同試合ゴールで同選手は一緒に出場した他2選手を大きく引き離しゴール。 準決勝進出を逃した19日のパシュート試合後、仲間の遅れが原因ともとれる発言をした。 SNSに中傷が殺到し、非公開となった。 大統領府のホームページで国家代表資格の剥奪を求める請願に35万人以上が賛同を示した。 翌20日の記者会見で涙ながらに謝罪した。 |
Kim Boutin選手(カナダ) | スピードスケート ショートトラック女子 500メートル決勝で同選手を押したとして韓国のチェ・ミンジョン選手が失格 Facebookなどに「殺してやる」との殺害予告等中傷する投稿が1万件確認された。*19 カナダ当局が選手保護に乗り出したとの報道。 韓国当局も捜査を行い、繰り返し投稿している1名を聴取すると報道。*20 ブタン選手のSNSには「ブタンも崔選手を押した」「反則でメダルを取った。恥を知れ」との韓国語や英語の非難が殺到、コメントは1万件を超えた COCはこの事案についての声明を発表。 COC statement regarding Kim Boutin |
최민정選手(韓国) | スピードスケート ショートトラック女子3000mリレー決勝 2位でゴールした中国代表チームが失格 3週を残してアウトからインコースに入ってこようとしその際に韓国選手に反則行為をしたため。 中国代表は自国のインタビューに試合結果を受け入れるのは難しいとコメント 失格を通じ韓国の選手のSNS(Instagram)に中国語で書かれた悪質な書き込みが殺到 「韓国がどれほど卑劣か分かった」「韓国は中国の属国だ」等。*21 |
Jan Blokhuijsen選手(オランダ) | スピードスケート 男子パシュート。 競技後の記者会見で「Please treat dogs better in this country」と発言。*22 当初中央日報電子版が「犬を食用にしないでください」と誤訳した。*23 犬肉食用文化を批判するものとして炎上。 メディアのFacebookページに発言に対する批判の書き込みが複数。 同選手はTwitterで謝罪コメントを掲載したがその後そのツイートは削除された。*24 |
9.平昌オリンピックに関係する数字
数字 | 内容 |
---|---|
20万ウォン〜200万ウォン | 平昌大会に関連する詐欺事件の被害金額。 |
16件 | 「平昌」、「オリンピック」で検索された結果2月11日報道時点で確認されたチケットの詐欺件数。 |
25サイト | 監視が行われていたWebサイトの数。公式サイト、チケット購入、聖火リレー等。 |
2万7000件 | 2月14日にシステムに対して行われた攻撃を検出した件数 |
4500件 | 2月18日にシステムに対して行われた攻撃を検出した件数 |
- システムへの攻撃の大半はコマンドインジェクションであった。*25
10.平昌大会中のサイバーセキュリティ対策・体制
(1) 情報保護委員会
- 情報保護員会を構成し、大会の情報システム、ネットワークに対する助言を行う。
- 情報保護委員会は順天郷ヨムフンヨル教授が委員長を担い、情報セキュリティの専門家13人で運営される。
- 高麗大ギムスンジュ教授、ジョンヒョンチョル・グォンヒョンジュン韓国インターネット振興院団長、ジョヒョンスク電子通信研究院団長、キム・ヒョンジュンKTオリンピック推進団長の民間専門家が参画。
- 政府からは未来創造科学部、文化体育観光部、行政自治部、警察庁などの国家機関の関係者らが参画。
(2) 技術分科委員会
- 技術分科委員会を構成し、五輪関連のシステム保護策を講じる。
- ハッカー連合HARU代表を委員長とし国内の専門家が参加。
(3) サイバーガーディアンズ
- 第二期サイバーガーディアンズが編成され、平昌五輪のサイバーセキュリティを担当する。
- メンバーは以下の7名から構成される。
名前 | 主な業績 |
---|---|
シムジュンボ(심준보이사)代表(ハッカー連合HARU) | ハッキングコミュニティ連合会長として活動中 |
ギムジングク(김진국 대표)代表(プレーンビット) | デジタルフォレンジック分野専門家 |
イ・ジョンホ(심준보이사)研究員(ラオンセキュア) | DEFCON、SECCONなど多数のサイバーセキュリティの国際大会で1位を収めた |
河東州(최상명)最高技術責任者(NSHC) | DEFCON出場4回の実績 |
ムンジョンヒョン(심준보이사)部長(イーストソフト) | 民・軍・警察のサイバー侵害事故防止の専門家 |
チェサンミョン(최상명 실장)室長(ハウリ) | 3.20サイバーテロを初めて認知。IssueMakersLabリーダー |
ギムギョンゴン(김경곤)教授(高麗大) | セキュリティコンサルティングとセキュリティ診断の専門家 |
(4) Ahnlab
- Ahblabが公式スポンサーとしてセキュリティソフトウェアを担当。
(6) オリンピックCERT
- 2017年12月1日から大会期間中のインシデント対処をする「平昌冬季五輪サイバー侵害対応チーム(CERT)」を構成される。*28
- チームは700人余りから構成される。(政府500人以上、民間150名以上)
- 関係者は迅速な情報共有を目的に江陵のオリンピック情報通信状況室(TOC)で合同で勤務に従事。
- FIRST、APCERTと連携し、国際的な協力体制で進める。
参加組織 | 役割 |
---|---|
青瓦台国家安保室 サイバー安保秘書官室 | CERTの主導を担う。 |
国家情報院 国家サイバー安全センター | |
文化体育観光部 サイバー安全センター | |
科学技術情報通信部 インターネット侵害対応本部 | 利用者情報保護のヒントを配布する等して適切な情報保護措置を取るように要請。 |
韓国インターネット振興院(KISA) | DDoS攻撃のモニタリング、サイバー攻撃兆候の24時間体制での監視。(5名) |
警察庁 サイバー安全局 | KISAと連携し、脅威の拡散行為などの遮断措置を担当。 |
国防省 サイバー司令部 | 五輪関連ホームページの運営を支援。(4人(五輪)、3人(パラ)) |
Ahnlab | PCなどのエンドポイントセキュリティを担当 |
IGLOO SECURTIY | 侵害への対応、セキュリティコンサルティングの提供。 |
サイバーガーディアンズ | 国内最高の民間セキュリティ技術の専門家らで構成。公式サイトの脆弱性検査を行う。 |
AtoS | 開発、及びセキュリティ監視 |
KT | データセンターの運用、セキュリティ監視 |
双竜情報通信 | 開発・個人情報保護 |
アカマイ | 主要な五輪のサービスの保護 |
(7) 脆弱性分析チーム
(8) 科学技術情報通信部
- 同部が配布した利用者情報保護のヒント *30
ヒント | 主な内容 |
---|---|
知らない人からの電子メール、ファイルは開いて見ていない | ・メールを送信した送信者(送信者)の名前とメールアドレスは、もう一度確認 ・知らない人からのイベント当選文字、宅配便米受領文字などに含まれているリンクは、添付ファイルなどは、ダウンロードして実行していないことが最善 ・添付ファイルをダウンロード受けたり関連リンクをクリックした場合には、必ずワクチンで検査して悪性コードの有無を確認し、必要な信頼できないWebサイトは、訪問していない. |
P2P、トレントなどのセキュリティが脆弱なファイル共有サイトは訪問を自制 | ・共有サイト訪問が避けられない場合には、必ず対策プログラムの最新の更新プログラムと有効 |
公式マーケットからアプリをダウンロードする | ・公式マーケット(アプリストア、Googleのプレイストア)とキャリアマーケット(ウォンストア)内の認証されたエプマン使用 ・ワクチンプログラムをインストールしてウイルススキャンする ・使用するPCとスマートフォンでは、ワクチンプログラムのインストール ・定期的なワクチンプログラムの更新や検査などの安全なPCとスマートフォンを維持 |
オペレーティングシステムおよびソフトウェアは、自動更新の設定 | ・利用者が使用しているオペレーティングシステムとソフトウェアは、新規セキュリティパッチが自動的に更新されるように設定する必要 ・メーカーが定期的にセキュリティ更新プログラムをサポートしている本物のプログラムの使用をお勧めし重要データは、別の記憶媒体に保存 ・ランサムウェアなどの被害を最小化するために重要なデータは必ず別に分離された媒体(USB、外付けハードなど)にバックアップして管理 |
PC内の共有フォルダは、外部からの不正なアクセスが可能なので、使用を控える | ・共有フォルダを使用する場合には、アルファベット、数字、特殊文字などの3つのタイプを使用して、ハッカーが類推しにくいパスワードを作成して使用 |
パスワードを設定して定期的に変更する | ・利用者が使用するパスワードは、他人が類推しやすい名前、誕生日、電話番号などの個人情報と関連した内容は、使用禁止 ・周期的なパスワードの変更にハッキング、個人情報の流出などの利用者被害予防 |
更新履歴
- 2018年3月3日 PM 新規作成
*1:http://www.dailysecu.com/?mod=news&act=articleView&idxno=29636
*2:http://news.joins.com/article/22350751
*3:https://vpoint.jp/world/korea/107607.html
*4:http://biz.heraldcorp.com/view.php?ud=20180210000038
*5:https://www.nikkansports.com/olympic/pyeongchang2018/general/news/201802210000804.html
*6:http://news.joins.com/article/22339291
*7:https://www.reuters.com/article/us-olympics-2018-cyber/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036
*8:http://www.etnews.com/20180131000459?SNS=00002
*9:http://www.sankei.com/politics/news/170927/plt1709270046-n1.html
*10:http://www.sankei.com/life/news/170927/lif1709270036-n1.html
*11:http://www.vop.co.kr/A00001245760.html
*12:http://mnews.joins.com/article/22309070#home
*13:https://www.dispatch.co.kr/1121120
*14:http://www.nocutnews.co.kr/news/4919029
*15:http://news.nate.com/view/20180210n11312?mid=n1007
*16:http://japanese.yonhapnews.co.kr/enter/2018/02/11/1001000000AJP20180211000900882.HTML
*17:https://jp.reuters.com/article/olykorea-idJPKBN1FW06C
*18:http://biz-journal.jp/2018/02/post_22362.html
*19:http://www.sankei.com/pyeongchang2018/news/180215/pye1802150029-n1.html
*20:http://www.sportalkorea.com/general/view.php?gisa_uniq=201802151808776261&key=&field=§ion_code=D1000
*21:http://news.donga.com/Top/3/05/20180221/88767920/2
*22:http://japanese.joins.com/article/921/238921.html
*23:http://www.sankei.com/pyeongchang2018/news/180222/pye1802220052-n1.html
*24:https://www.newsweekjapan.jp/stories/world/2018/02/post-9591.php
*25:https://www.sportsbusinessdaily.com/Daily/Issues/2018/02/20/On-The-Ground/Cyber-attacks.aspx
*26:http://www.etnews.com/20160817000138?SNS=00002
*27:https://www.newsweekjapan.jp/stories/world/2017/09/80-7.php
*28:http://news.inews24.com/php/news_view.php?g_serial=1072573&g_menu=020200
*29:http://news.donga.com/3/01/20180121/88291861/1?
*30:http://www.yonhapnews.co.kr/bulletin/2018/02/07/0200000000AKR20180207086100017.HTML