2013/03/22
■「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」やっぱり割れOS
韓国の大規模サーバーダウン。
発生当初から、
韓国に大量にあるといわれている
割れOS(海賊版windows)のせいじゃないかと
言われていました。
ついに記事化されてしまいました。
北朝鮮の無慈悲な攻撃ではなくて、
ヨーロッパのハッカー攻撃ですらなくて、
割れOSでインチキパッチあてて
感染した、というのが
真相かもしれません。
韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
2013/03/21
片山 昌樹
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/?top_tl1
3月20日に韓国で発生した大規模サイバー攻撃(関連記事1、関連記事2)。同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。
筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。
まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。
非正規ライセンスのWindowsサーバーが残ったままか
だが、それはあくまでクライアントレベルであり、Windows Server Update Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。実際にファイルの提供そのものはAkamaiのネットワークを経由している。
そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。
結局、きっとこんな感じ。
韓国ではチャイナ様の割れOSを横取り使用
↓
割れOSが正規サーバからパッチDL出来ない
↓
割れOSはチャイナ様のウイルス交じりの非正規パッチをDLしに行く
↓
win7の無慈悲な正規更新
↓
割れOSの不正MBRが正規MBRに修正される
↓
割れOSが動かなくなり画面に「Operating System Not found」の表示
↓
北によるサイバー攻撃ニダ
↓
ヨーロッパからのサイバー攻撃ニダ
↓
割れOSがIPアドレスがチャイナ様ニダ
(今ここ)
あくまで管理人の予想ですので、
話半分にお願いします。
中国の割れOSを使用して、
中国のウイルス交じりの非正規パッチを取りにいって、
ウイルス感染して、
「サイバー攻撃だ!中国のIPアドレスだ!!」
って叫んでいる…
韓国軍が割れOS使用で
マイクロソフトに怒られたのが
昨年5月の話。
マイクロソフト 韓国軍にソフト使用料の支払い要求
2012/05/30 17:50 KST
http://japanese.yonhapnews.co.kr/headline/2012/05/30/0200000000AJP20120530002900882.HTML
【ソウル聯合ニュース】米マイクロソフトが韓国軍にソフト使用料の支払いを求め、国防部が交渉に乗り出した。
国防部によると、同社は韓国軍のソフト使用料を2100億ウォン(約141億円)と見積もっており、これに対する協議を文書で求めたという。双方は現在、正確な使用料を協議している。
同部関係者は、陸海空軍が使用している正規のマイクロソフト・オフィス製品の数量を確認するとし、違法なソフトを使用していることが明らかになれば、適切な使用料を払うことになるだろうと話した。
マイクロソフトは、軍が使用する21万台のパソコンが全て自社のウィンドウズサーバーに接続していることから、天文学的な使用料の支払いを求めているとされる。これに対し、国防部側は「軍のパソコンは他社のサーバーにも接続されている。マイクロソフトが過度な要求をしてくるなら、サーバーを変えざるを得ない」としている。
>天文学的な使用料の支払いを求めている
韓国では軍隊が
天文学的な使用料を
ごまかして不正使用中、ってことです。
韓国は
いま、北朝鮮にアタックされたら
どうしようもないかもしれません。
それよりも韓国にとっては
マイクロソフトからの使用料請求の
アタックの方が怖いかも。
↓1日1回、クリックお願いします!↓
人気ブログランキングへ
- 関連記事
コメント