隣国のセキュリティ事案を教訓とするために


隣国、韓国で3月20に起きたセキュリティ事案は、日本でも大きく取り上げられ注目されている。

この事案について、一部でWindows Updateが利用された可能性が指摘されているが、Windows Updateでは各モジュールのコード署名を確認しているため、このような単純な手法では悪用することはできない。また、関連するセキュリティベンダーが公表した資料を見ると、そのベンダーが提供している資産管理サーバーが利用されたもので、Windows Updateが利用されたわけではないようだ[1]

 

韓国の事案とFlameの相違

Windows Updateを悪用した攻撃としては、2012年5-6月にかけて話題となったFlameが思い起こされる[2]。Flameはマイクロソフトの証明書を偽造し、自身のモジュールにマイクロソフトのコード署名することで、イントラネット内でのWindows Updateを悪用したと考えられている。悪用を避けるためのコード署名が、逆手に取られた格好である。なお、研究者の発表によれば、Flameの証明書偽造は”世界トップクラスの暗号解析技術使われた”と分析している[3]

 

高度で執拗な攻撃(APT)事案としての側面

この事件をいわゆる高度で執拗な攻撃(APT)として捉えると違った側面が見えてくる。報告書によれば、資産管理サーバーの管理者権限が盗られ、この権限を使ってマルウェアの配布が行われたと推定している。一歩踏み込んで考えると、2011年に大きな話題となった、日本における政府機関や防衛産業の攻撃のように、アカウント管理サーバーが侵害を受けている可能性が高い。つまり、今回は特定の製品が利用されたが、その他の攻撃方法を使う選択肢も持っていたと考えた方が自然である。

 

今回の事案を教訓とする

今回の事件を教訓として捉えると、標的型攻撃などによる社内ネットワークに侵入への対策実施されている事に加え、万一、侵入を許してしまった場合でも、重要なサーバーが保護されることを確認する、ということだと思う。特に、重要サーバーの対策の重要性が、あまり認識されていないようにも感じることがある。

 

マイクロソフトでは、高度で執拗な攻撃(APT)などの現在の攻撃手法の分析と必要とされる対策について、以下のホワイトペーパーをまとめている。参考にしていただければ幸いである。

 

 

 




[1]방송사 및 금융사 공격 관련 중간 분석 결과 발표(放送会社および金融会社攻撃関連中間分析結果発表)
http://blog.ahnlab.com/ahnlab/1728

[2]  セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化
http://blogs.technet.com/b/jpsecurity/archive/2012/06/11/3503098.aspx

[3] Windows Update」をハッキングする「Flame」マルウェア、制作には世界トップクラスの暗号解析技術が必要と研究者
Flameに未知のMD5衝突攻撃亜種が用いられていたことが明るみに
http://www.computerworld.jp/topics/666/203423
CWI cryptanalyst discovers new cryptographic attack variant in Flame spy malware
http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware

 

 


Skip to main content