韓国・アメリカへのサイバー攻撃
2009年7月11日追記
10日金曜日の時点でわかっていることは以下の記事でまとめました。
犯人は? 韓国・アメリカへのDDos攻撃(読売オンライン・サイバー護身術)
mydoomが含まれていたことは確かですが、それが大きな原因ではなく、ダウンローダーによるボット(ゾンビPC)による攻撃です。タイトルと下記のメモの一部に取り消し線をいれておきます。
問題は犯人が誰かということですが、どうも韓国側の対応がパニック状態で、報道で出てくる情報も信用できない状態です。たとえば下記の記事は、韓国側のコメントによるものですが、明らかに状況を把握していません。
韓国の情報当局は、北朝鮮が韓国に対して過去に行ったサイバー攻撃で使用されたインターネット上のアドレスと今回の攻撃で使われた19か国、92か所のアドレスが一致するかどうか調べているという。
この19カ国、92か所というのは、ボットである可能性が大。ということは、これを調べても犯人には一切つながらないわけです。問題は改ざんされたサイトが韓国内にあって、その改ざん元がどこかということ。その具体的な証拠はまだわからない状態です。
北朝鮮が犯人だとする韓国国家情報院のコメントが先走っていますが、現状では状況証拠によるもの。
攻撃の解析による証拠は、今のところありません(証拠が出ているのかもしれませんが、報道では見えてきません)。また韓国の大手セキュリティ会社・アンラボによる分析でも、北朝鮮が犯人だとする証拠は出ていません。ただし状況的に見て、北朝鮮っぽい傾向はあるわけで、北朝鮮が犯人ではないとする証拠もありません。
(以上 7月11日追記)
2009年7月7日夜から、韓国・アメリカの政府機関サイトへのサイバー攻撃(DDos攻撃)が続いています。詳しくは明日アップのサイバー護身術にまとめますが、現状でわかっていることをメモ書きにしておきます。
TBSラジオさんのコメントのために作ったものなので、専門的な部分はなるべく省いています。
不思議なのは、極端に古いウイルスを使っていること。mydoomの亜種なのですが、mydoomと言えば2004年ごろに流行したもので、まだマスメーリングが中心の時代。現在のボット全盛のウイルス・サイバー攻撃とは異なるものです。なんでこんなに古い種類のウイルスを使ったのかというのが謎の一つです。ちなみにこのmydoomの亜種については、トレンドマイクロのウイルスバスターでは、7月8日の午後に対応しているとのこと。
●攻撃の内容について
・今回の攻撃は「DDos攻撃」と呼ばれるもの
・DDos攻撃 サイトに向かってデータを大量に送りつけて利用不能にするもの
・ウェブサイトを「お店」に例えると、
たくさんのロボットをお店の入り口に並ばせて、
他の人を入れなくしたり、どさくさにまぎれて情報を盗み取る行為のこと
●攻撃の方法は?
・一般ユーザーのパソコンを乗っ取り、そこから攻撃
・犯人の身元がバレないようにするため、また大量の集中攻撃をするため
・一般ユーザーのパソコンを乗っ取るには、旧型のウイルスが使われた
●そのウイルスは?
・その一般ユーザーへの攻撃は、メールで拡散する「mydoom」と呼ばれる
ウイルスの亜種を使っている
(トレンドマイクロ社の分析による)
・mydoomは無作為にメールで送られて、一般ユーザーのパソコンに感染
・感染したパソコンは、また他のメールアドレスに送信
・ウイルスのプログラム自体に、今回攻撃するサイトのリストがある
・2004年登場のウイルスで、手口が極端に古いのが特徴
●目的と犯人
・犯人の目的は、韓国の政府機関サイトにアクセスできないようにして
混乱させるのが目的ではないか
・ウイルスを分析する限りは、犯人が北朝鮮だという根拠は今のところなし
・パンダセキュリティー社のアナリスト・Luis Corrons氏によれば
「攻撃先などの状況証拠から見て、北朝鮮による攻撃ではないか」とのこと
●今後
・今のところ、他のサイトが攻撃される可能性は低い
・ただし他のウイルスを利用して、一般のパソコンをゾンビPC化させて攻撃する
場合、もっと広範囲、かつ大規模に攻撃される可能性がある
●分析
・パンダセキュリティー社が自社ブログで分析内容を簡単にアップ
http://pandalabs.pandasecurity.com/
・トレンドマイクロ社も、自社での分析を発表する予定(日本語ブログ)