2013年6月25日、韓国で今年2度めの大規模サイバー攻撃が発生した(関連記事)。今回の攻撃は、3月に発生した1回目の攻撃で非正規Windowsによるアップデートの差し替えられたのとは異なり、正規ソフトのダウンロードサイトが攻撃者に改ざんされ、不正に改変されたインストーラをダウンロードすることにより、クライアントがウイルスに感染したと考えられている。

 前回の攻撃の後、筆者は攻撃を受けたクライアントには正規なWindowsが導入されていたが、Windows Server Update Services(WSUS)と呼ぶ社内向けのパッチ管理サーバーに非正規Windowsが残ったままで、そこからマイクロソフトが提供していないアップデートサーバーを介して、ウイルスに感染したと分析した(関連記事)。

 今回の攻撃ではオンラインストレージなどを提供するネットサービス「SimDisk」のインストーラファイルが狙われた。正規品を利用していたにもかかわらず、正規品のアップデート機能により、悪意のあるコードが埋め込まれたファイルをクライアントが取得してしまい、ウイルス感染に至った。同様の攻撃は今に始まったものではなく、これまでも数多くの製品で同様の事象が発生している。

 規模こそ韓国の攻撃と比べ小さいが、今から約10年ほど前に日本でアンチウイルスソフトに脆弱性があり、その脆弱性を突かれた例がある。そのアンチウイルスソフトを使用している組織で、大規模障害が発生し、一週間にわたって、業務が停止してしまった例もある。

 正規品からの大量配布、大量拡散、大量攻撃は今後さらに巧妙化するだろう。人知れずウイルスに感染し、あらかじめ設定された「X Day」を向かえたとたん、攻撃を始めるケースが増えてくると筆者は予測している。

 正規品を経由した攻撃の場合、ユーザーは「正規品」であることで安心してしまい、適切なアップデートを怠っていた状況が続いていた。そのため、アプリの開発ベンダーが提供しているのが、自動更新による最新版への自動アップデートサービスだ。

 各種アンチウイルス製品などを見ればわかように、ユーザーが何もしなくとも、アプリケーションがアップデートをバックグラウンドで処理して、人知れず最新バージョンにしている。今回は、こうした一連のロジックに穴があり、そこを突かれた典型例といえるだろう。