3月20日午後2時ころ、韓国の放送局や金融機関でコンピュータシステムが一斉にダウンした。パソコンや一部のサーバーの電源が落ち、再起動できない状態に陥ったのだ。

 ネットワークに異常は見られなかったため、当初から組織的なマルウエアやハッキングによる攻撃---「サイバー戦争」や「サイバーテロ」---が疑われた。

 北朝鮮との関係に緊張感が高まっている背景もあり、韓国国防部は軍の情報作戦防護体制を「4」(軍事警戒)から「3」(準備態勢の引き上げ)に1段階上げた。

 その後の調査で、パソコンのハードディスクを壊す動作をするマルウエアが発見された。具体的には、コンピュータの起動時に最初に読み込まれるハードディスクの領域「マスターブートレコード」(MBR)をゴミデータで書きつぶしたり、全ドライブを列挙してディスク内容を消去したりした。

 さらに、マルウエアに感染したWindowsパソコンを使って、Linux系OSが動作するサーバーのデータを消去する挙動も確認された。

 韓国インターネット振興院(KISA)は2013年3月21日、その時点で判明した被害の全容を発表した。これによると、放送局や金融機関6社が被害に遭い、パソコンとサーバーの合計で3万2000台が影響を受けたという。完全な正常化には少なくとも4~5日掛かると予想している。

 セキュリティ対策を実施しているはずの大手企業が被害を受けたのは、企業内でセキュリティパッチを一括管理する更新管理サーバーがハッキングされたのが原因と発表している。これにより、マルウエアの企業内への侵入を許した。

 日本国内のセキュリティ専門家である片山昌樹氏は、「非正規のWindowsサーバーをWindows Server Update Services(WSUS)を使っているケースで、セキュリティパッチを装ったマルウエアが紛れ込んだ」というハッキングの手口の可能性を指摘している。

 今回のサイバー攻撃は韓国に限定されたものだったが、同様の攻撃が日本を襲った場合はどうなるのであろうか。ラックの西本逸郎セキュリティ技術統括 専務理事は「日本でも、今後この種のことは起こり得る」と指摘する。すでに攻撃を発動させるためのマルウエアの仕込みが終わっており、“時限爆弾”のタイマーを待つだけ、という状況の可能性すらあり得るという。

 ただし、韓国でも基幹系システムに影響はあまりなかった。情報系と基幹系の分離がより明確と思われる日本では、基幹システムを堅く守れる可能性も同時に指摘している。とはいえ、昨今は基幹系とそれ以外のシステムの接続が増えており、そのことが弱点を生む恐れもあるとしている。利便性を保ちつつセキュリティを向上させるか、いったんは利便性を損なうと割り切ってもセキュリティの堅牢さを取るのか決断する時期を迎えているという。

マルウエアはどうやってパソコンを壊したのか

 マルウエアが攻撃した「マスターブートレコード」(MBR)について興味がある読者は、以下の記事を参考にしてほしい。「Windowsはどうやって起動しているのか?」は初出が2003年と古い記事だが、Windowsの起動方法を段階を追って詳細に解説している。

 この記事では、今回のサイバー攻撃のように、マルウエアでMBRが破壊されたケースやその対処方法も例に挙げている。10年前からMBRを破壊するマルウエアは存在していたのだ。