ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2018-03-03

平昌五輪のサイバー関連の出来事をまとめてみた

| 01:19 |  平昌五輪のサイバー関連の出来事をまとめてみたを含むブックマーク

2018年冬季オリンピック平昌大会)に関連するサイバー空間上で起きた出来事をまとめます。

1.平昌大会に関連する不審文書ファイル付きメール/Gold Dragon

(1) McAfeeが報告した不審メール
時期件名送信先送信先送信元FROM実際の送信
2017年12月22日위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docxHTAファイル埋め込み情報なし情報なし情報なし
2017年12月28日농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.docマクロ埋め込みyj.kim@pyeongchang2018.com
ticketeting@pongchang2018.com
yeongseong.choi@pyeongchang2018.com
sanghee.cho@pyeongchang2018.com
icehockey@pyeongchang2018.com
info@nctc.go.krospf1-apac-sg.stickyadstv.com
43.249.39.152(シンガポール
  • 添付されていた文書ファイルの動き
    • 添付されていたファイルはマクロコンテンツが含まれたWordファイル。
c388b693d10e2b84af52ab2c29eb9328e47c3c16
  • 実行時の接続先は「www.thlsystems.forfirst.cz:443」
    • タスクのスケジュール機能を用いて毎日午前2時にHTAファイル「view.hta」を実行する。
    • このHTAファイルは「200.122.181.63:443」に接続する。
(2) 警察庁が報告した不審メール
時期件名件名送信先送信元FROM実際の送信
2018年2月6日협박전화테러 예방.doc협박전화테러 예방sungwon.kim@kt.cominfo.kr@nctc.go.kr (表示:경찰청)情報なし
(3) Hauriが報告した不審メール
(4) Gold Dragon
  • McAfeeは先のメールで確認された五輪を標的とする第二段階のペイロードであると評価
  • GoldDragonの由来はサンプル全体を通して確認されたドメイン「www.golddragon.com」にちなむ。
  • GoldDragonは五輪を標的とするキャンペーンが始まった人同じ日に再度登場した。
  • マルウェア GoldDragonは次のような挙動をする。
    • HWPのプロセスを探索する。
    • HWP.exeの実行が確認された場合、HWP上で開かれているファイルを検出する。
    • コピーしたHWPファイルを読み取り、「JOYBERTM」という文字列でファイル中の「MZ magic marker」を検出する。
    • HWPファイル内の暗号化されたMZマーカーを確認し、マルウェアにより復号されStartupフォルダに配置される。
    • これは再起動後も永続的な持続性を確立するため。
    • 本格的な限られた偵察、データ収集の機能を備えてはいるが本格的なスパイウェアではない。
    • ファイルに収集した情報を格納し、コントロールサーバー送信する。
    • v3、cleanerといったプロセス名を確認した場合回避行動を実行する。
  • GoldDragonとの関連が疑われるキャンペーン
    • Brave Prince
    • Ghost419
    • RunningRat

2.Adobe Flash Palyer 0day

(1) KrCERT
(2) Adobeセキュリティ情報
(3) セキュリティベンダの分析情報
(4) 攻撃の流れ概要
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
hxxp://www.1588-2040[.]co.kr/conf/product_old.jpg
hxxp://www.1588-2040[.]co.kr/design/m/images/image/image.php
hxxp://www.korea-tax[.]info/main/local.php
hxxp://www.dylboiler[.]co.kr/admincenter/files/board/4/manager.php
(5) APT37が悪用した脆弱性

3.平昌五輪のイベントプログラムを偽装したマルウェア

OlympicGame.exe:d1ae2012fdbdbe9d8246d23f2fe4efa6865689d44cb7c7d7664366b2934f7e14

4.チケットに関連する事象

(1) 平昌五輪に乗じた詐欺行為
(2) チケット転売サイトのダフ行為

5.ロシア平昌大会へのサイバー攻撃を行うとの疑念

(1) Fancy Bears'HTの動向
  • FancyBears'HTが大会直前の2018年1月から4回のリークを行っている。
  • リーク行為は2017年8月ぶりとなる。
  • 冬季五輪競技リュージュ国際連盟が対象に含まれていた。
  • 関係者内で取り交わされたメールなどの情報がリークされた。

以下はリーク先に示されたページの表題

  • 2018年1月10日 WADA vs. IOC: Fight for Clean Sport or Fight for Power?
  • 2018年1月24日 The FIL Files: Scandinavian Asthmatics, Missed Athletes and Berlinger Bottles
  • 2018年1月31日 Sports in Canada: Sex, Drugs and National Interests
  • 2018年2月7日 Canada Uses Every Trick in the Book to Own the Podium
(2) ThreatConnectが発見したなりすましドメイン
インシデントNo
(疑わしいドメイン等)
詳細
Incident 20180122A: Berlinger Group Spoofed Domains
berlingergroup.com
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
89.33.246.121の専用サーバでホストされている。
vahmudzoltev@mail.comを利用して登録されており、同じアドレスで「berlinqer.com」が登録されている。
「berlinqer.com」は「91.205.149.202」でホストされている。これは正当なドメインのホスト先と同じ。
ただしmail.berlinqer.comは、berlingergroup.comをホストする同じ89.33.246.121が示されている。
berlinger.cloudは同じvahmudzoltev@protonmail.comを利用して登録されている。
このドメインが攻撃に利用されていたことは示していない。
Incident 20180119A: UKAD Spoofed Domain
login-ukad.org.uk
英国アンチドーピング機関のドメインに類似。
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
ホストされたIPは「185.189.112.191」である。
米国のアンチドーピング機関の偽装ドメインがホストされていたIPアドレスと同じブロックである。
SOAはluciyvarn@protonmail.comが登録されている。
同じメールアドレスで他にもukad.cloudが登録されている。
adfs-ukad.org.ukはlogin-ukad.org.ukと同じ組織名「Zender inc、同じアドレスの文字列「Vapaudenkatu 57」が利用されていた。
このドメインが攻撃に利用されていたことは示していない。
Incident 20180110B: Olympic Council of Asia Spoofed Domain
ocaia.org]
12月25日にTHCServersで登録された。
このサービスは過去に使用されたものと同じである。
アジアオリンピック評議会「ocasia.org」のドメインに類似。
このドメインにホストされたIP「193.29.187.143」はほかに6つのドメイン共存している。
FancyBearは専用サーバーを用いることが多いが、登録時期と内容から精査する価値がある。
Incident 20180103C: Domains Registered by wadison@tuta.io
networksolutions.pw
23.227.207.182
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
専用サーバーの登録は過去にWADAの偽装ドメインの登録に使用されたメールアドレス「wadison@tuta.io」が使われている。
このドメインは現在利用されていない。
同じ電話番号で登録されたドメイン「spiderclix.com」、アドレス「spider.worker163@yandex.com」を確認したが不確実性がありより低い脅威評価を行っている。
Incident 20180103B: USADA Spoofed Domains
webmail-usada.org
米国のアンチドーピング機関 USADAのなりすまし偽装の疑念があるドメイン
185.189.112.242がホストされていた。
ドメインのSOAレコードとしてjeryfisk@tuta.ioが使用されていた。
別のUSADAをなりすます「usada.eu」にも使用されていたメールアドレスであった。
このドメインは運用に使用されていると評価はしていない。また必ずしもFancyBearに帰属しているものでもない。
(3) ワシントンポスト報道
(4) ロシア外務省の声明

6.米国関連組織の動き

(1) 平昌大会観光客へUS-CERTの注意喚起
(2) NCFTAのサイバーセキュリティ上の脅威に関する言及
  • 平昌大会に参加する選手、観客、スポンサーらを対象としたレポート。
  • NCFTAではDarkhotelの脅威が継続していると警告。
  • NCFTAはJC3とだけ情報共有する。*8

7.開会式中のシステム障害Olympic Destroyer

以下にまとめている。

8.炎上誹謗中傷

(1) 平昌五輪公式サイトで日本列島の表記消滅
(2) ナ・ギョンウォン議員平昌オリンピック委員職を罷免
(3) 国際放送センターのカフェテリア食事写真炎上
(4) 韓国鉄道公社KORAIL)への不満多数
(5) NBC解説者の開会式発言炎上
  • NBCの開会式番組中、解説者として参加していたジョシュア・クーパー・ラモ氏のコメントに対し、韓国国内外で批判
  • 「日本は韓国1910年〜45年まで植民地支配した。韓国人は日本が韓国の経済発展へ大きな影響を及ぼした文化・技術・経済的モデルであると言う」といったコメント。
  • 炎上後にInstgramのNBC公式アカウント(nbcolympics)へ韓国国内から接続できなくなったとの情報がある。*15
  • 平昌組織委員会は抗議を行い、NBCから謝罪書簡を受け取ったことを明らかにした。*16
  • NBCはラモ氏の発言に対し朝の番組で謝罪するとともに、同氏を降板とさせる措置を取った。*17
  • ラモ氏が取締役を務めるスターバックスコーヒー不買運動とみられる動きも出た。*18
  • ラモ氏本人はTwitter謝罪文を掲載した。

(6) 五輪参加選手への誹謗中傷
誹謗中傷を受けた選手概要
김보름選手(韓国)スピードスケートパシュート女子準々決勝
同試合ゴールで同選手は一緒に出場した他2選手を大きく引き離しゴール。
準決勝進出を逃した19日のパシュート試合後、仲間の遅れが原因ともとれる発言をした。
SNSに中傷が殺到し、非公開となった。
大統領府ホームページで国家代表資格の剥奪を求める請願に35万人以上が賛同を示した。
翌20日の記者会見で涙ながらに謝罪した。
Kim Boutin選手(カナダ)スピードスケート ショートトラック女子
500メートル決勝で同選手を押したとして韓国のチェ・ミンジョン選手が失格
Facebookなどに「殺してやる」との殺害予告等中傷する投稿が1万件確認された。*19
カナダ当局が選手保護に乗り出したとの報道
韓国当局も捜査を行い、繰り返し投稿している1名を聴取すると報道*20
ブタン選手のSNSには「ブタンも崔選手を押した」「反則でメダルを取った。恥を知れ」との韓国語や英語の非難が殺到、コメントは1万件を超えた
COCはこの事案についての声明を発表。
COC statement regarding Kim Boutin
최민정選手(韓国)スピードスケート ショートトラック女子3000mリレー決勝
2位でゴールした中国代表チームが失格
3週を残してアウトからインコースに入ってこようとしその際に韓国選手に反則行為をしたため。
中国代表は自国のインタビューに試合結果を受け入れるのは難しいとコメント
失格を通じ韓国の選手のSNS(Instagram)に中国語で書かれた悪質な書き込みが殺到
韓国がどれほど卑劣か分かった」「韓国中国属国だ」等。*21
Jan Blokhuijsen選手(オランダスピードスケート 男子パシュート
競技後の記者会見で「Please treat dogs better in this country」と発言。*22
当初中央日報電子版が「犬を食用にしないでください」と誤訳した。*23
犬肉食用文化を批判するものとして炎上
メディアFacebookページに発言に対する批判書き込みが複数。
同選手はTwitter謝罪コメントを掲載したがその後そのツイートは削除された。*24

9.平昌オリンピックに関係する数字

数字内容
20万ウォン〜200万ウォン平昌大会に関連する詐欺事件の被害金額
16件平昌」、「オリンピック」で検索された結果2月11日報道時点で確認されたチケットの詐欺件数
25サイト監視が行われていたWebサイトの数。公式サイト、チケット購入、聖火リレー等。
2万7000件2月14日にシステムに対して行われた攻撃を検出した件数
4500件2月18日にシステムに対して行われた攻撃を検出した件数
  • システムへの攻撃の大半はコマンドインジェクションであった。*25

10.平昌大会中のサイバーセキュリティ対策・体制

(1) 情報保護委員会
(2) 技術分科委員会
(3) サイバーガーディアンズ
名前主な業績
シムジュンボ(심준보이사)代表(ハッカー連合HARU)ハッキングコミュニティ連合会長として活動中
ギムジングク(김진국 대표)代表(プレーンビット)デジタルフォレンジック分野専門家
イ・ジョンホ(심준보이사)研究員(ラオンセキュア)DEFCON、SECCONなど多数のサイバーセキュリティ国際大会で1位を収めた
河東州(최상명)最高技術責任者(NSHC)DEFCON出場4回の実績
ムンジョンヒョン(심준보이사)部長(イーストソフト)民・軍・警察のサイバー侵害事故防止の専門家
チェサンミョン(최상명 실장)室長(ハウリ)3.20サイバーテロを初めて認知。IssueMakersLabリーダー
ギムギョンゴン(김경곤)教授(高麗大)セキュリティコンサルティングセキュリティ診断の専門家
(4) Ahnlab
(5) サイバーセキュリティに係る予算
(6) オリンピックCERT
参加組織役割
青瓦台国家安保サイバー安保秘書官CERTの主導を担う。
国家情報院 国家サイバー安全センター 
文化体育観光部 サイバー安全センター 
科学技術情報通信インターネット侵害対応本部利用者情報保護のヒントを配布する等して適切な情報保護措置を取るように要請。
韓国インターネット振興院(KISA)DDoS攻撃モニタリングサイバー攻撃兆候の24時間体制での監視。(5名)
警察庁 サイバー安全局KISAと連携し、脅威の拡散行為などの遮断措置を担当。
国防省 サイバー司令部五輪関連ホームページの運営を支援。(4人(五輪)、3人(パラ))
AhnlabPCなどのエンドポイントセキュリティを担当
IGLOO SECURTIY侵害への対応、セキュリティコンサルティングの提供。
サイバーガーディアンズ国内最高の民間セキュリティ技術の専門家らで構成。公式サイトの脆弱性検査を行う。
AtoS開発、及びセキュリティ監視
KTデータセンターの運用、セキュリティ監視
双竜情報通信開発・個人情報保護
アカマイ主要な五輪のサービスの保護
(7) 脆弱性分析チーム
(8) 科学技術情報通信
  • 同部が配布した利用者情報保護のヒント *30
ヒント主な内容
知らない人からの電子メール、ファイルは開いて見ていない・メールを送信した送信者(送信者)の名前とメールアドレスは、もう一度確認
・知らない人からのイベント当選文字、宅配便米受領文字などに含まれているリンクは、添付ファイルなどは、ダウンロードして実行していないことが最善
・添付ファイルをダウンロード受けたり関連リンクをクリックした場合には、必ずワクチンで検査して悪性コードの有無を確認し、必要な信頼できないWebサイトは、訪問していない.
P2Pトレントなどのセキュリティが脆弱なファイル共有サイトは訪問を自制・共有サイト訪問が避けられない場合には、必ず対策プログラムの最新の更新プログラムと有効
公式マーケットからアプリダウンロードする・公式マーケット(アプリストア、Googleのプレイストア)とキャリアマーケット(ウォンストア)内の認証されたエプマン使用
ワクチンプログラムインストールしてウイルススキャンする
・使用するPCとスマートフォンでは、ワクチンプログラムインストール
・定期的なワクチンプログラムの更新や検査などの安全なPCとスマートフォンを維持
オペレーティングシステムおよびソフトウェアは、自動更新の設定・利用者が使用しているオペレーティングシステムソフトウェアは、新規セキュリティパッチが自動的に更新されるように設定する必要
・メーカーが定期的にセキュリティ更新プログラムをサポートしている本物のプログラムの使用をお勧めし重要データは、別の記憶媒体に保存
ランサムウェアなどの被害を最小化するために重要なデータは必ず別に分離された媒体(USB、外付けハードなど)にバックアップして管理
PC内の共有フォルダは、外部からの不正なアクセスが可能なので、使用を控える・共有フォルダを使用する場合には、アルファベット、数字、特殊文字などの3つのタイプを使用して、ハッカーが類推しにくいパスワードを作成して使用
パスワードを設定して定期的に変更する・利用者が使用するパスワードは、他人が類推しやすい名前、誕生日、電話番号などの個人情報と関連した内容は、使用禁止
・周期的なパスワードの変更にハッキング個人情報の流出などの利用者被害予防

更新履歴

*1http://www.dailysecu.com/?mod=news&act=articleView&idxno=29636

*2http://news.joins.com/article/22350751

*3https://vpoint.jp/world/korea/107607.html

*4http://biz.heraldcorp.com/view.php?ud=20180210000038

*5https://www.nikkansports.com/olympic/pyeongchang2018/general/news/201802210000804.html

*6http://news.joins.com/article/22339291

*7https://www.reuters.com/article/us-olympics-2018-cyber/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036

*8http://www.etnews.com/20180131000459?SNS=00002

*9http://www.sankei.com/politics/news/170927/plt1709270046-n1.html

*10http://www.sankei.com/life/news/170927/lif1709270036-n1.html

*11http://www.vop.co.kr/A00001245760.html

*12http://mnews.joins.com/article/22309070#home

*13https://www.dispatch.co.kr/1121120

*14http://www.nocutnews.co.kr/news/4919029

*15http://news.nate.com/view/20180210n11312?mid=n1007

*16http://japanese.yonhapnews.co.kr/enter/2018/02/11/1001000000AJP20180211000900882.HTML

*17https://jp.reuters.com/article/olykorea-idJPKBN1FW06C

*18http://biz-journal.jp/2018/02/post_22362.html

*19http://www.sankei.com/pyeongchang2018/news/180215/pye1802150029-n1.html

*20http://www.sportalkorea.com/general/view.php?gisa_uniq=201802151808776261&key=&field=&section_code=D1000

*21http://news.donga.com/Top/3/05/20180221/88767920/2

*22http://japanese.joins.com/article/921/238921.html

*23http://www.sankei.com/pyeongchang2018/news/180222/pye1802220052-n1.html

*24https://www.newsweekjapan.jp/stories/world/2018/02/post-9591.php

*25https://www.sportsbusinessdaily.com/Daily/Issues/2018/02/20/On-The-Ground/Cyber-attacks.aspx

*26http://www.etnews.com/20160817000138?SNS=00002

*27https://www.newsweekjapan.jp/stories/world/2017/09/80-7.php

*28http://news.inews24.com/php/news_view.php?g_serial=1072573&g_menu=020200

*29http://news.donga.com/3/01/20180121/88291861/1?

*30http://www.yonhapnews.co.kr/bulletin/2018/02/07/0200000000AKR20180207086100017.HTML