図●韓国で6月25日に発生した大規模サイバー攻撃の流れ(トレンドマイクロのブログから引用)
[画像のクリックで拡大表示]
トレンドマイクロは2013年6月27日、同25日に韓国で発生した大規模サイバー攻撃の調査経過をブログで公表した。この攻撃では韓国の複数の政府機関およびニュース系のWebサイトが改ざんされたり、サーバーを止められたりした。韓国政府はサイバーセキュリティ警報を5段階中の「1」から「3」に引き上げた。
トレンドマイクロの調査によると、攻撃の一つはインストーラファイル「SimDisk.exe」の改変が関与していた。SimDiskは韓国で運営されている正規のオンラインストレージサービスである。6月27日午前9時現在、SimDiskのWebサイトでは「6月25日午後8時30分からサービス障害が発生している」と案内している。
攻撃はSimDisk.exeが脆弱性対策に備えていた自動更新機能を悪用して、不正なWebサイトに誘導していた。具体的には以下のような流れとなる(図)。
まず、正規ソフトのダウンロードサイトが攻撃者に改ざんされた。その結果、不正に改変されたインストーラが配布される状況になった。不正なインストーラは正規のインストーラのコピー「SimDisk.exe」と、不正ファイル「SimDiskup.exe」(トレンドマイクロでは「TROJ_DIDKR.A」として検出)を作成する。後者の不正ファイルは攻撃に使われるWebサイトに接続する。
不正なWebサイトへの接続の結果、DoS(サービス拒否)攻撃を受けることをトレンドマイクロでは確認しているという。
