狙われ続ける韓国 またしてもサイバー攻撃の標的に

江添 佳代子

March 8, 2017 08:00
by 江添 佳代子

韓国を狙った新たなサイバー攻撃活動

韓国公共部門の機関を標的とした新たなサイバー攻撃の活動が、Ciscoのセキュリティ研究チーム「Talos」によって報告された。同チームの2月23日のブログ記事によると、その攻撃活動は2016年11月から2017年1月の間、潤沢な資金を持つグループによって実行されたものであり、標的を明確に絞り込んだ高度な攻撃であったという。

韓国の政府機関や公共機関がサイバー攻撃作戦の標的となったのは、もちろん今回が初めてのことではない。同国は、もう何年も前から熾烈なサイバー攻撃の脅威に晒されている。2009年と2011年にも複数の政府機関や韓米軍のサイトが広範な攻撃の被害を受けたが、特に知られているのは2013年3月の「ダークソウル」とも呼ばれているインシデントだろう。

この一連の攻撃活動では、韓国の複数の放送局、銀行などの金融機関のウェブサイトやネットワークが派手にシャットダウンさせられる事態となった。その攻撃の容疑者として最有力候補となる北朝鮮政府には当時、少なくとも3000人のサイバー部隊がいると考えられており(5800人以上との説もある)、一方の韓国には「政府が求めているレベルのセキュリティ専門家」が200人しかいなかった。事態を重く見た同国の未来創造科学部は同年、国内でセキュリティ専門家を鍛え上げるための計画を発表している。

それから約4年が経過した2017年2月、韓国が受けた攻撃活動とはどのようなものだったのだろうか? Talosの報告によれば、それは「狙った人々だけをマルウェアに感染させる」という典型的な標的型攻撃だった。その攻撃ベクトルとなったファイルは、ワープロソフト「Hangul Word Processor」フォーマットのファイル(.hwp)である。

狙われるワープロソフト「Hangul Word Processor」

Hangul Word Processorは、ほとんど韓国でしか目にする機会のないワープロソフトなので、そのフォーマットのファイルが攻撃ベクトルとして選ばれることは珍しい。しかし韓国ではMicrosoft Wordと同様に広く利用されているソフトウェアであり、とりわけ国内の政府機関や公的機関では頻繁に用いられている。

Talosの指摘によれば、多くのセキュリティ製品は「.hwp」フォーマットのファイルに対応していないという。なにしろ韓国以外の国では利用されていないからだ。したがって、そのフォーマットを利用したサイバー攻撃は検出されるリスクも低い。おそらく攻撃者は、それらの事情を知り尽くしたうえで「韓国の公的部門の組織だけを狙った攻撃には最適なソフトウェア」を利用したのだろう。

実は2年前の2015年にも、FireEye のセキュリティ研究者が、Hangul Word Processorに存在していた脆弱性(CVE-2015-6585)が悪用されていることを報告していた(参考:The ZERO/ONE『北朝鮮が韓国の人気ワープロソフト「Hangul Word Processor」をゼロデイ攻撃』)。このときFireEyeの研究者は「最終的な結論ではないものの」と但し書きをしたうえで、これは北朝鮮政府が韓国への攻撃を仕掛けるために利用しているゼロデイであろうと推察した。なお、このCVE-2015-6585はすでに修復されている。

囮のファイル

今回、Talosが報告した活動の攻撃ベクトルとなった文書ファイルは、「5170101-17년_북한_신년사_분석.hwp」という名前だった(日本語訳すると、5170101-17 _北朝鮮の分析_新年.hwp)。ご覧の通り、ファイル名にも韓国語が利用されている。文書の作成者は「韓国統一省(Ministry of Unification、南北統一に関連した業務を担当する韓国政府の執行部)」となっており、また文書のフッターにも同省のロゴが利用されている。

送られてきた文書ファイル(Talosのブログより)

文書の内容は、北朝鮮の新年の祝い事に関する情報で、もちろんすべてが韓国語で書かれた文章となっている。「受信者の関心を引くタイトルでクリックを促し、信憑性の高い内容を表示することで不信感を与えないようにする」というのは、典型的な標的型攻撃の手口だ。

この悪意を持った文書ファイルは、政府機関Korean Government Legal Serviceの公式ウェブサイト「kgls.or.kr」から、JPEGファイルを装ったバイナリファイルをダウンロードしようと試みる。つまり攻撃者は、事前にkgls.or.krの侵害に成功したうえで、感染先のコンピューターとの新たなペイロードの確立を狙っている。このような手法で行われるダウンロードは、システム管理者に「不審な動きだ」と気づかれにくくなる効果が見込まれる。

Talosは次のように述べている。「我々は、今回の攻撃が『韓国語のネイティブスピーカーを確保した、洗練された攻撃者』によって行われたものであり、韓国の公共部門のユーザーを狙った標的型攻撃だと確信している。それらの人々を標的とした攻撃は、非常に価値のあるものとなりえる『資産』への足がかりを得るための試みであった可能性がある」

北朝鮮の脅威とタイミング

先に政府公式サイトを侵害するという念入りな手法や、韓国語に精通していなければ作成できない囮の文書、韓国のみで利用されているソフトウェアに関する知識、そして韓国を攻撃する動機などから考えれば、今回のサイバー攻撃活動が「北朝鮮発」であることに、ほとんど疑いの余地はなさそうだ。それは活動のタイミングという要素から考えても妥当かと思われる。

これまで「北朝鮮による韓国へのサイバー攻撃活動」と考えられてきたインシデントの多くは、米軍と韓国軍による合同軍事演習(もちろん北朝鮮は、これに強く反発している)に合わせたかのようなタイミングで行われており、それ以外のインシデントは北朝鮮のロケット打ち上げなどの時期と一致する傾向にある。たとえば2011年3月には米韓合同軍事演習が行われている最中に、韓国のGPS信号に対する妨害が行われた。

そして今回の活動報告も、やはり2017年の米韓軍合同軍事演習が行われる直前であり、さらに今年2月には日本海に向けて北朝鮮の弾道ミサイルが発射されたばかりだ。英国のITメディア『The Register』による2月24日の記事は、北朝鮮だけではなく米NSAもまた「北朝鮮への諜報活動を主な目的として」韓国のネットワークに侵入したことがある、という過去について僅かに言及した。しかし今回の攻撃活動に関しては、やはり北朝鮮以外の国や組織を疑うほうが難しいだろう。




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…