第68号コラム:名和 利男 氏 (株式会社サイバーディフェンス研究所)
題:「韓国サイバー攻撃対応に見るフォレンジック」

2009年7月上旬、韓国において大規模なサイバー攻撃が発生しました。各所で大きな話題となりましたが、日本国内に、この攻撃の全体像を説明するような情報が少なく、そこから得られたことなどが、今後に活かされないのではないかと危惧しています。

そこで、今回の私のコラムでは、この攻撃の全体像と、そこから得られたことをご紹介するとともに、デジタル・フォレンジックがどのような関わりを持つのかをお伝えしたいと思います。

先月(7月)7日の深夜、韓国の複数のレスポンスチーム(*1)から電話とメールが届きました。その内容は「日本国内の主要なサイトにDDoS攻撃は発生していないか?」というものでした。それから5日間程、複数の国や民間のレスポンスチームとともに、入手できた検体(*2)及びその解析レポート、過去の大規模サイバー攻撃対応に関する検証データの共有をなどをしつつ、実態の解明や取るべき対応の支援活動を実施しました。

その支援活動の中で、今回の韓国におけるサイバー攻撃が、次の3つの大きな特徴を持つことを見出しました。それぞれをご紹介したいと思います。

・DDoS攻撃
・大量メール送信
・データ破壊

(1) DDoS攻撃

日本国内において、韓国と米国の主要サイトをターゲットにしたDDoS攻撃に関する報道が比較的多いので、このコラムにおいては、既知の情報を割愛しますが、この攻撃に関与した検体の解析から判明していることをお伝えします。

・検体の内部に “_MUTEX_AHN_V3PRO_”(韓国大手のセキュリティベンダーの製品名を類推させるもの)という文字列がある
・Windowsファイアウォール機能を無効にさせる
・Windowsシステムサービスに自動実行のためのタイマー機能を不正登録する
・一部に、攻撃対象サイトに対して、ハングル言語のMozilla系ブラウザで通常アクセスしたように見せかけるものも存在する

(2) 大量メール送信

あるマルウェア(wmcfg.exe)に感染した PCが発症する現象で、PC内部にあるメールアドレスをリスト化し、それらに対して、次のようなメールを一斉に送信するものがありました。

差出人: Independence
件名: Memory of…
本文: last
添付ファイル: memory.rar (22バイト)

差出人(From:)は存在しないメールアドレスであり、添付ファイルは、意味のないrarファイルであったため、通常の攻撃手法から考えると、不完全なものであったということができます。

(3) データ破壊

今回の韓国におけるサイバー攻撃で最もクリティカルだったのは、データ破壊です。少し詳しく説明したいと思います。

上述の(1) においてWindowsシステムサービスに不正登録されたmstimer.dllにより、特定のサーバにアクセスし、flash.gifファイルがダウンロードされます。このgifファイルが開かれると、データ破壊機能を有するwversion.exeを生成するとともに、win.ini にデータ破壊を開始する時刻値を含んだ、次のテキストデータの書き込みがされます。

[MSSOFT]
LastName=40004
FirstName=3
Loation=Y

このテキストデータのうち、ある値が、日付を示すシリアル値となっています。

※ここで簡単なクイズです。
問題: このマルウェアの攻撃開始日時を見出してください。
ヒント: スプレッドシートに、ある数字を入力し、その表示形式を“yyyy/m/d hh:mm” にする。
*答えは、このコラムの最後に示します。(*3)

攻撃開始時刻になると、wversion.exeは、A~Zドライブ中の次の拡張子を見つけて、任意の8桁のパスワードで、zip, zoo, zrc, lzh, arj, gz, tgzのいずれかで圧縮し、圧縮に成功したファイルの0x0000から0xA000間をNull(00)値に書き換えることで、ファイル破壊を実施します。

gz, zip, pas, c, cpp, java, jsp, aspx, asp, php, rar, gho, alz, xml,
pst, eml, kwp, gul, hna, hwp, txt, rtf, dbf, db, accdb, pdf, pptx,
ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc

ここで注目すべきことは、上記のいくつかの拡張子が、韓国における行政電算ネットワークのみで流通しているものや、軍用ワープロソフトで使用されるものが含まれていることです。さらに、10年前に使用が終了しているMS-DOS上で動作するワープロソフト用の拡張子が含まれています。

またwversion.exeは、ディスクのMBR(マスターブートレコード)領域の一部を‘Memory of the Independence Day’という文字列で書き換え、PC単独での再起動を不能にさせます。

そして、このような悪事を働いたwversion.exeは、バッチファイル(筆者が確認した限りではSDSTY.bat)を作成し、自分自身を削除させます。

今回の韓国サイバー攻撃に関与したマルウェアの機能構成の概要図を添付していますので、ご参考までにご覧ください。

(補足資料)韓国サイバー攻撃におけるマルウェア機能構成の概要図.pdf

ここまで読まれた皆様の中には、いろいろな予測をされはじめているのではないかと思いますが、どうか思いとどまり、もう少しお付き合いください。

上記の分析活動は、CSIRT(*1) におけるArtifact Analysisといい、不明な攻撃の仕組みや不審な活動をする検体(マルウェア等)をさまざまな手法で解明する活動のことで、被害の局限や迅速な復旧活動を支援する目的で実施されます。これは、
デジタル・フォレンジックのコア技術と共通するものであると、筆者は考えています。

もし、上記の分析活動の目的を、「攻撃者を見出すため」として、デジタルデバイスに対する本格的なフォレンジックやネットワーク・フォレンジックなどと組み合わせると、ある程度、攻撃者を絞り込むことが可能になっていくと思われます。

大規模なサイバー攻撃は、もはや身近なものとなってきています。対処がある程度可能なものもありますが、防ぐこと自体が難しいものもあります。そのため、自組織の初動の対応能力を適切なレベルに向上させおくことがとても重要です。外部の
脅威(現状)と内部の対処レベルの正しい把握、それに伴うリスク(危険度)や影響(問題)の見積もり、そして、それに相応しい技術的及び体制的な実力をつけておくことを強くお勧めいたします。

デジタル・フォレンジックのコア技術は、この対応能力をつける一つの手段になると考えています。

*1:Computer Security Incident Response Teamといい、発生したインシデントに対し、迅速かつ適切に被害の局限及び復旧のための対応(Respond)や調整活動(Handling/Coordination)を実施するチーム或いは(その機能 を持つ)体制のこと

*2:分析目的のために入手した不審或いは不正なプログラムのこと(マルウェアであることが多い)

*3:2009/7/10 00:00(クイズの答え)

【著作権は、名和氏に属します。】