韓国の主要放送局や金融機関が受けた、大規模なサイバー攻撃の波紋が広がっている。日本の企業や官公庁が、同様のサイバー攻撃を受けることは十分に考えられるほか、既に何らかのマルウエアが仕込まれている可能性もゼロではない。サイバー攻撃対策の見直しが急務だ。
韓国で問題が発生したのは、2013年3月20日14時ごろ。KBSテレビ、MBCテレビ、YTNテレビ、新韓銀行などの社内システムが一斉にダウンし、合計で約3万2000台のPCやサーバーが再起動できないなどの被害を受けた。
テレビ局の放送が止まる事態は避けられたが、銀行のATM(現金自動預け払い機)が一部使えなくなるなどの被害が出た。韓国国防省はサイバー防衛の警戒レベルを示す情報作戦防護態勢を、5段階中のレベル4からレベル3へ引き上げるなど緊張が走った。
このサイバー攻撃では、ある日時になるとシステムの破壊活動を開始するマルウエアが使われた。今回の場合、3月20日14時になるとマルウエアが起動し、特定のウイルス対策ソフトを停止。その後、PCやサーバーのハードディスクに無意味なデータを繰り返し上書きしたり消去したりして、データを破壊した。
なぜ、特定企業に限って多数のPCやサーバーが攻撃を受けたのか。その理由は、更新プログラムを配布する「パッチ管理システム(PMS)」が乗っ取られたことにある(図)。社内のPMSから配布するパッチプログラムにマルウエアを混入させておけば、あとは自動的かつ強制的に、その管理配下にあるPCやサーバーにマルウエアをばらまくことができる。
韓国セキュリティソフト大手のアンラボは、「攻撃を受けた企業が導入していた、アンラボのPMSが乗っ取られたことを確認した」と表明した。犯人によってPMSの管理者IDとパスワードが何らかの形で盗まれた結果、その権限を使ってPMSにマルウエアが仕掛けられたとみられる。
企業として今すぐできる対策は、PMSなどのシステム管理ソフトの管理者権限を再設定したり、不正な利用の有無を確認したりすることだ。併せて、サイバー攻撃を受けたときの連絡体制や指揮命令系統、復旧プロセスなども再確認しておこう。
