2013年3月20日春分の日、例年より早い桜を楽しんでいた暖かい昼過ぎ、韓国で銀行や放送局のコンピュータシステムが大規模な障害に見舞われているとのニュースが駆け巡った。

 韓国では、過去に似たような事件が何度か発生している。2009年7月には韓国全土のインターネットを麻痺させ国民生活に大きな影響が出た攻撃が行われた。そのときには企業や社会サービスへの妨害が行われ大きな被害が出た。さらにウイルスに感染することで攻撃に加担させられた一般のパソコンのハードディスクが、時限爆弾型の機能によりデータが破壊され使用不能に陥る事件も併発した。

 2011年3月東日本大震災の一週間前にも、2009年と同様な妨害攻撃が再度行われた。しかし、それ自体は、事前に対応していたこともあり大きな影響は受けなかった。ところが、2011年4月に入り、韓国の農協銀行で業者が持ち込んだノートパソコンを媒介として内部に侵入された。そして、内部のシステムを操作された結果、システムのハードディスク内のデータが破壊され、一切の業務が停止してしまうという事件が発生した。一連の事件に対して北朝鮮の仕業ではないかとの報道がなされたが、真実は明らかになっていない。

時限爆弾型で多くのパソコンが起動不能にする攻撃が発生

 そして、今回の事件である。

 いったい何が起きたのだろうか。現段階での報道内容や現地のセキュリティ関係者への聞き込みを元に鳥瞰してみる。まずは、報道などから、今回の事件で発生したと推測される事象を列挙してみよう。

  • パソコンが起動しなくなった:再起動をするように促されたり、おかしな文字が現れ動作しなくなり再起動すると、その後、一切の起動ができなくなってしまったパソコンが続出。ハードディスクの起動エリアが破壊され、機種によってはそれだけではなく、ハードディスクの中身を丸ごときれいさっぱり削除されたものも存在したようだ。また、パソコンが重度のエラーを検出しての緊急停止(通称、ブルースクリーン)状態になったものあると報道されていた。恐らくは、データを削除する際に、動作状況によって、このような事態になるケースも出たのではないかと推測する。
  • 外部からのDDoSではない:前述したように韓国ではこれまで2009年と2011年の2回に渡りDDoSによる妨害攻撃を受けたが、それとは手口が異なると言われている。以前に感染したのは韓国国内の一般の人たちのパソコンであり、その大量の感染パソコンから一斉に攻撃がなされたために、ネットワークやサーバーがパンクして利用することができなくなる事態に陥った。だが、今回は企業内部のパソコンが感染し、感染したパソコンが動作しなくなったようである。つまり、2009年に発生した感染パソコンのハードディスクが破壊された部分や、2011年4月に発生した農協銀行のシステムが破壊された事件と似ている。
  • 時限爆弾方式での攻撃:今回の攻撃は14時に動作するように仕掛けられていたようである。世界で発生しているこの種の事件で、これまでにこのような時限装置が組み込まれていたケースは少ない。数少ない事例に2009年に韓国で発生した事件が含まれている。時限装置が組み込まれている言う発想は過去の韓国の事件の犯人を彷彿させるものである。
  • 犯行声明らしきWeb:LG U+(キャリア)のホームページにアクセスすると、「Whois」と名乗るハッカー集団が実行したとの犯行をほのめかす内容が表示された(写真1)。今回の攻撃との明確な関係は不明である。
  • 写真1●LG U+のホームページではWhoisと名乗るハッカー集団の犯行声明が表示された
    写真1●LG U+のホームページではWhoisと名乗るハッカー集団の犯行声明が表示された
    [画像のクリックで拡大表示]
  • ATMが停止:銀行の決済やATMが2時間あまりに渡り停止し、業務時間を延長して対応にあたった。実際はシステムに異常はなかったが、安全を確認するために緊急に停止したのが停止の原因のようである。つまり、基幹システムにまでは影響はあまり出なかったのではないか。
  • 放送局では放送停止などの重度の事案までには発展しなかった:放送局は、パソコン側のシステムが動かないので、通常コンピューターで表示させるアナウンサーの原稿などは紙で運用した。ラジオなどでも使用する音楽もデジタル音源からではなくCDを探してかけたなど、代替え策で乗り切ったようである。
  • 14時に作動する仕掛けをされたウイルス:韓国の韓国インターネット振興院(KISA)によると、事件を引き起こしたウイルスは特定できており、解析した結果、14時にハードディスクを破壊するように仕掛けがなされたものだったという。
  • 株価の動き:実際に今回の事件と関係しているかは不明であるが、関連しそうな企業の株価の動きは写真2写真9のとおりである(いずれもNAVERのファイナンスサイトから引用)。これを見ると、市場が閉まる14時45分の直前に何らかの影響が出ているように感じる。
  • 写真2●iMBCの株価推移
    写真2●iMBCの株価推移
    [画像のクリックで拡大表示]
    写真3●KB金融の株価推移
    写真3●KB金融の株価推移
    [画像のクリックで拡大表示]
    写真4●KTの株価推移
    写真4●KTの株価推移
    [画像のクリックで拡大表示]
    写真5●LG U+の株価推移
    写真5●LG U+の株価推移
    [画像のクリックで拡大表示]
    写真6●SBSの株価推移
    写真6●SBSの株価推移
    [画像のクリックで拡大表示]
    写真7●SK Telecomの株価推移
    写真7●SK Telecomの株価推移
    [画像のクリックで拡大表示]
    写真8●アンラボの株価推移
    写真8●アンラボの株価推移
    [画像のクリックで拡大表示]
    写真9●新韓銀行の株価推移
    写真9●新韓銀行の株価推移
    [画像のクリックで拡大表示]
  • Windowsのアップデートに関係しているのではないかという説:韓国では多くの海賊版のWindowsを使用しており、その影響でWindowsの更新プログラムの発動時に、再起動が不能になったのではないかとの推測記事もみられた。技術的には十分に考えられることであるが、14時に一斉に動作しなくなったという現象を説明することができない。併発している可能性は現状では否定できないが、直接的な原因ではないのではないかと私は推測する。
  • ウイルス対策ソフトは無反応:今回も、ウイルス対策ソフトでは事件当初は検出できなかったようである。事件後、前述のKISAとウイルス対策ベンバーが協力し、今回のウイルスを検出し駆除できるように急きょ対応したようである。