初心者でも分かる韓国のサイバー攻撃でどんなことが起こったか?

cyber attack

photo credit: marsmet481 via photopin cc

韓国で大規模なサイバー攻撃の発生がニュースになっていますが、一体どんなことが起こったのか?なぜたくさんのPCが一度に被害にあったのか?自分たちは大丈夫なのか?というところを簡単に説明したいと思います。


攻撃の対象はアップデートサービス

テレビ局や銀行で使っているサーバーだけでなく、各個人が使っているPCまでもが被害にあい全てのデータが消去されるような状態が発生しています。その数は一つの企業で数百台にも及ぶようですが、攻撃者はPC一台一台をくまなく攻撃したわけではありません。

今回、攻撃者が直接攻撃したのは”アップデートサービス”と言われる機能をもったサーバーです。PCやスマートフォンを使っているとたまにOSのバージョンアップやセキュリティアップデートのお知らせが出てアップデートすることがありますよね?あれはAppleやMicrosoftから受け取っているわけですが、大企業ではこれと同じ機能のサーバーを自社内で持っていることがあるのです。

なぜ自社内で持っているのか?ということの説明は今回の話とは直接関係が無いので割愛しますが、こういった企業では各個人が使っている業務用PCはこのサーバーからバージョンアップを受け取っているのです。

普通ならこのサーバーは正しいバージョンアップを送るのですが、攻撃者がサーバーを書き換えてウィルスソフトをバージョンアップとして配信するように変更してしまったのです。これにより社内のPCがウィルスソフトを一斉に受け取り一度に多くの被害が出ました。


貯水槽が攻撃されたようなもの

マンションなんかの集合住宅には屋上に貯水槽があったりしますよね?今回のサイバー攻撃ではこの貯水槽に毒が入れられたのでそれと知らずに水道の水を飲んだ人たちがお腹をこわしたという形みたいなものなのです。


OSごと破壊、データも上書き消去

ニュースなどで流れている被害にあったPCの画面を見ていると”Operating System Not Found”みたいなメッセージが出ています。つまり、WindowsやMac OSが消えているとういう状態なのでそもそもPCが立ち上がらないのです。PCを起動しなくするのは簡単で(簡単でもないか)MBR(Master Boot Record)という起動に必要な情報が書かれているところを消すだけでPCがまったく起動しなくなります。

また一部の報道ではPC内部のデータが上書きされているという報じられています。MacやWindowsでデータを消す場合、ファイルをゴミ箱に入れて”ゴミ箱を空にする”という操作を行います。しかし、この時にはデータが完全に消えているわけではなくて、データがありましたという情報だけを消しているので復活させることが可能なのです。

しかし、今回の攻撃ではデータを消去しただけでなく別のデータを書いてしまったので完全に復活できなくしたのです。完膚なきまでに叩きのめしたって感じです。

このような動作をするウィルスソフトを、社内の”アップデートサービス”を通じて配信したのですね、とんだ毒饅頭を食べさせられたものです…


最後に

今回のケースは各企業内のアップデートサービスが攻撃対象でしたので、一般のPCが同じ攻撃を受けることはありません。しかし、AppleやMicrosoftやセキュリティソフト会社のサーバーが攻撃を受けたら…とんでもないことになります。おそらく各企業のIT部門では一斉に対策に奔走していることでしょう。