6月25日に韓国政府の複数の機関やニュース系サイトがサイバー攻撃を受けた。ウェブサイトが改ざんされたりサーバが停止したりといった被害が明らかになっている。この事態を受けて、サイバーセキュリティ警報が5段階中の1から3に引き上げられた。
トレンドマイクロは、今回のサイバー攻撃の手口を分析。分析によると、今回のサイバー攻撃の一つとしてインストラーファイル「SimDisk.exe」の改変が関与していることを明らかにした。
SimDisk.exeは、ファイル共有やオンラインストレージを提供するネットサービス「SimDisk」のインストーラファイル。改変されたインストーラは、SimDisk用ソフトウェアの自動更新機能を悪用するという。トレンドマイクロでは、不正なSimDisk.exeを入手しており、現在解析調査している。
ソフトウェアベンダーの自動更新機能の大半は、ソフトウェアにセキュリティ更新プログラムを適用したり、最新版を使い続けられるようにしたりする上で、ユーザーに煩わしくないように設計されている。自動更新機能は、ソフトウェアの脆弱性を悪用するサイバー攻撃から防御するために極めて重要と同社は説明している。
正規のソフトウェアは当然、正規のウェブサイトから自動的に更新プログラムをダウンロードするように設計されている。今回のSimDiskの事例では、正規ソフトウェアのダウンロード元であるウェブサイトが攻撃を受けた結果、不正に改変されたSimDisk.exeに置き換えられていた(同社は「TROJ_DIDKR.A」として検出する)。
不正なインストーラは、通常のダウンロードを装うために正規のインストーラのコピーを作成する。同時にもうひとつの不正なファイル「SimDiskup.exe」も作成する。SimDiskup.exeは、感染の連鎖が目的通りに実行されるように不正なウェブサイトにアクセスする。
推測される攻撃の流れ(出典:トレンドマイクロ)
トレンドマイクロでは、SimDiskup.exeをTROJ_DIDKR.Aとして検出し、TROJ_DIDKR.Aからサービス妨害(DoS)攻撃ツールへの脅威が連鎖することを確認している。現在、引き続き調査を進めている。
同社は今回の事例について、ソフトウェアの自動更新機能を悪用したとして、ソフトウェアベンダーは、このような領域に対する攻撃が製品を使うユーザーに与える攻撃を考慮し、製品に関連するサーバやネットワーク全体のセキュリティを優先的に確保すべきと提唱している。
