編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る

韓国政府機関など狙ったサイバー攻撃、自動更新を悪用--DoS攻撃にも関連

田中好伸 (編集部)

2013-06-26 17:03

 6月25日に韓国政府の複数の機関やニュース系サイトがサイバー攻撃を受けた。ウェブサイトが改ざんされたりサーバが停止したりといった被害が明らかになっている。この事態を受けて、サイバーセキュリティ警報が5段階中の1から3に引き上げられた。

 トレンドマイクロは、今回のサイバー攻撃の手口を分析。分析によると、今回のサイバー攻撃の一つとしてインストラーファイル「SimDisk.exe」の改変が関与していることを明らかにした。

 SimDisk.exeは、ファイル共有やオンラインストレージを提供するネットサービス「SimDisk」のインストーラファイル。改変されたインストーラは、SimDisk用ソフトウェアの自動更新機能を悪用するという。トレンドマイクロでは、不正なSimDisk.exeを入手しており、現在解析調査している。

 ソフトウェアベンダーの自動更新機能の大半は、ソフトウェアにセキュリティ更新プログラムを適用したり、最新版を使い続けられるようにしたりする上で、ユーザーに煩わしくないように設計されている。自動更新機能は、ソフトウェアの脆弱性を悪用するサイバー攻撃から防御するために極めて重要と同社は説明している。

 正規のソフトウェアは当然、正規のウェブサイトから自動的に更新プログラムをダウンロードするように設計されている。今回のSimDiskの事例では、正規ソフトウェアのダウンロード元であるウェブサイトが攻撃を受けた結果、不正に改変されたSimDisk.exeに置き換えられていた(同社は「TROJ_DIDKR.A」として検出する)。

 不正なインストーラは、通常のダウンロードを装うために正規のインストーラのコピーを作成する。同時にもうひとつの不正なファイル「SimDiskup.exe」も作成する。SimDiskup.exeは、感染の連鎖が目的通りに実行されるように不正なウェブサイトにアクセスする。


推測される攻撃の流れ(出典:トレンドマイクロ)

 トレンドマイクロでは、SimDiskup.exeをTROJ_DIDKR.Aとして検出し、TROJ_DIDKR.Aからサービス妨害(DoS)攻撃ツールへの脅威が連鎖することを確認している。現在、引き続き調査を進めている。

 同社は今回の事例について、ソフトウェアの自動更新機能を悪用したとして、ソフトウェアベンダーは、このような領域に対する攻撃が製品を使うユーザーに与える攻撃を考慮し、製品に関連するサーバやネットワーク全体のセキュリティを優先的に確保すべきと提唱している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]