is702

韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認― トレンドマイクロ

2013/3/21

トレンドマイクロは3月21日、同社ブログで、韓国の政府機関および主要企業が攻撃を受け、被害を受けた組織の業務に大きな障害を引き起こした大規模サイバー攻撃について説明を行っています。

ブログ記事によると、2013年3月20日に発生したこれらのサイバー攻撃は、複数のコンピュータの画面が真っ暗になる一方で、他のコンピュータでは頭蓋骨や”warning(警告)”の画像が表示されることが発端となったとのことです。

またトレンドマイクロで、今回の攻撃に関連する複数の検体(「TROJ_INJECTO.BDE」として検出)を入手。この「TROJ_INJECTO.BDE」が、今回の攻撃において、主要な不正活動を実行する役割を担っていることを確認しています。この不正プログラムは、「マスター・ブート・レコード(MBR)」を「HASTATI」や「PRINCPES」という文字列で上書きします。MBRは、通常、オペレーティングシステム(OS)を正常に起動させる際に必要な情報を保有しています。そしてこの不正プログラムは、自動的に感染コンピュータを再起動させ、コンピュータが再起動されると、破壊されたMBRが原因となり、感染コンピュータは起動できなくなるとのことです。

MBRを狙う不正活動自体は目新しいものではなく、これは、感染ユーザがサイバー犯罪者に金銭を支払うまで感染端末をロックさせる「身代金要求型不正プログラム(ランサムウェア)」という不正プログラムにはよく見られる不正活動となります。こうしたMBRへの攻撃は、感染コンピュータの復旧を困難かつ長期化させることになります。
なお、同時期に、韓国内の主要な電子機器企業のWebサイトが書き換えられる被害、複数の銀行のWebサイトも改ざんされ、閲覧者の端末にバックドア型不正プログラムを侵入させるエクスプロイトコードが挿入されている攻撃も確認されたとのことです。これら一連の攻撃の関連性を示す証拠は、現時点ではなく、同時期に発生したのは単なる偶然の可能性もあります。

トレンドマイクロでは、自社製品での今回の攻撃に関する保護状況を報告するとともに、関連する調査を継続中で、必要に応じより詳細な情報を公開するとしています。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ