Skip to main content
MSRC

隣国のセキュリティ事案を教訓とするために

Japan Security Team
/ By Japan Security Team / / 5 min read

隣国、韓国で 3 月 20 に起きたセキュリティ事案は、日本でも大きく取り上げられ注目されている。

この事案について、一部で Windows Update が利用された可能性が指摘されているが、Windows Update では各モジュールのコード署名を確認しているため、このような単純な手法では悪用することはできない。また、関連するセキュリティベンダーが公表した資料を見ると、そのベンダーが提供している資産管理サーバーが利用されたもので、Windows Update が利用されたわけではないようだ[1]

韓国の事案と Flame の相違

Windows Update を悪用した攻撃としては、2012 年 5-6 月にかけて話題となった Flame が思い起こされる[2]。Flame はマイクロソフトの証明書を偽造し、自身のモジュールにマイクロソフトのコード署名することで、イントラネット内での Windows Update を悪用したと考えられている。悪用を避けるためのコード署名が、逆手に取られた格好である。なお、研究者の発表によれば、Flame の証明書偽造は”世界トップクラスの暗号解析技術使われた”と分析している[3]

高度で執拗な攻撃(APT)事案としての側面

この事件をいわゆる高度で執拗な攻撃(APT)として捉えると違った側面が見えてくる。報告書によれば、資産管理サーバーの管理者権限が盗られ、この権限を使ってマルウェアの配布が行われたと推定している。一歩踏み込んで考えると、2011 年に大きな話題となった、日本における政府機関や防衛産業の攻撃のように、アカウント管理サーバーが侵害を受けている可能性が高い。つまり、今回は特定の製品が利用されたが、その他の攻撃方法を使う選択肢も持っていたと考えた方が自然である。

今回の事案を教訓とする

今回の事件を教訓として捉えると、標的型攻撃などによる社内ネットワークに侵入への対策実施されている事に加え、万一、侵入を許してしまった場合でも、重要なサーバーが保護されることを確認する、ということだと思う。特に、重要サーバーの対策の重要性が、あまり認識されていないようにも感じることがある。

マイクロソフトでは、高度で執拗な攻撃(APT)などの現在の攻撃手法の分析と必要とされる対策について、以下のホワイトペーパーをまとめている。参考にしていただければ幸いである。

[1]방송사 및 금융사 공격 관련 중간 분석 결과 발표(放送会社および金融会社攻撃関連中間分析結果発表)
http://blog.ahnlab.com/ahnlab/1728

[2] セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化
http://blogs.technet.com/b/jpsecurity/archive/2012/06/11/3503098.aspx

[3] Windows Update」をハッキングする「Flame」マルウェア、制作には世界トップクラスの暗号解析技術が必要と研究者
Flame に未知の MD5 衝突攻撃亜種が用いられていたことが明るみに
http://www.computerworld.jp/topics/666/203423
CWI cryptanalyst discovers new cryptographic attack variant in Flame spy malware
http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware

Next Post

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.