韓国大規模サイバーテロ発生中、HDD攻撃・症状に関するデータ復旧専門企業からの見解について
2013年03月21日
リリース (リンク »)
現在、韓国では大規模サイバーテロに遭っており、症状はHDD(ハードディスク)のMBR(マスターブートレコード)破壊だけでなく、HDD全消去されている場合もあるとセキュリティ会社シマンテックが警告・発表しています。
現在、韓国の金融機関、生命保険、損害保険会社、TV放送局などが深刻なサイバー攻撃を受けているとし、シマンテックは現在、サイバーテロについて詳細な分析を行っているとの事です。
症状は、 下記の通りとの事。
・ テロでは自分自身を参照するファイルマッピングオブジェクトを作成している。
JO840112-CRAS8468-11150923-PCI8273V
・ ウイルス対策/セキュリティ製品ベンダーに関する2つのプロセスを切っている。
pasvc.exe
clisvc.exe
・すべての接続ドライブを列挙して、MBRを破壊し、文字列 "PRINCPES"もしくは "HASTATI"のいずれかを書き込むことによって、 そこに保存されているすべてのデータを物理的に上書きすることから始まる。そしてハードディスクの内容をすべて完全に消去する。
・この脅威は、侵入先のコンピュータに接続されているか、またはマップされたドライブ上でアクションを実行しようとする。
・強制的にドライブのMBRやドライブの内容などを攻撃し、システムは使用不能になります。"shutdown-r-t 0"
この攻撃は潜入の兆候を見せずに行われており、攻撃の本当の動機も不明との事。
記事元(英語)ソース シマンテック社 2013/3/20
(リンク »)
仮にMBRのみが破壊された場合は、システムが起動しません。しかし、データの復旧の可能性はございます。データ復旧業者に依頼せず、まず、ご自身で試される場合は、外付で接続できるHDD用機器などに接続し、PCに接続。データは見れませんが、専用の復旧ソフトを当該HDDへ利用することでデータが回収できる可能性があります。(ただし、データの完全クローンコピーを取り、コピーを復旧ソフトに掛けられることをお勧めします)
復旧ソフト例
(リンク ») (インターコム社)
(リンク ») (キングソフト社)
また、仮にフォーマットされた場合では、ソフトウェアで可能な場合が多くあり、不可能な場合でもデータ復旧専門業者で可能な場合がございます。
また、すべてのデータを物理的に上書きすることから始まった場合でも、今回の場合、すべてのデータに上書きされるまでには時間が掛かると想定されます(現在、HDDはデータ大容量化している)。したがって、時間的にPCなどの動作や様子がおかしい事を気づき、途中でシャットダウンする場合などが多くあると思われます。先述の上記手段では、復旧出来る可能性は低いかもしれませんが、私どもはデータを16進数化した上で、計算し、残ったデータの破片を繋ぎ合わせ、可能な限りのデータを集めることでデータ復旧の可能性はございます。
今回は記述されていませんが、仮にクラッシュさせる動作があるとし、物理的にHDDがクラッシュしているとします。その様な場合でも、弊社でのクリーンルーム内で、専用の技術者が、それぞれの原因を特定し、HDD部材や機材を用いてデータを取り出しますので、復旧出来る可能性はあります。
(リンク »)
HDDやSSDは現在、データセンターや製造工場、飛行機、電力が会社など各方面に使われており、サイバーテロに遭った場合、非常に厄介な問題です。(ただし、OSに依る)
もし何かあれば弊社の様なデータ復旧企業に気兼ねなく聞かれることをお勧めします。
<データ復旧センターや事業展開について>
株式会社データ復旧センターは誤操作によって消失したファイルを復元したり、故障した記録メディアからデータを救出するサービスを提供する国内最大のデータ復旧企業。
2002年11月に米国データリカバリーグループ社と日本における独占契約を締結。2006年7月にはニッポン新事業創出アントレプレナー大賞、中小企業庁長官賞、日本ニュービジネス協議会連合会会長賞受賞をトリプル受賞。
(リンク »)
月間300万人が使う大容量データ送信ソリューション「データ便」を展開している。
(リンク »)
近年、データ、セキュリティ、スマートフォン、クラウド事業の融合に力を入れている。
案件名:無慈悲なサイバーテロ攻撃
【本件に関するお問い合わせ先】
企業名:株式会社データ復旧センター
東京都新宿区新宿5-18-14新宿北西ビル3F
お問い合わせ窓口
(リンク »)
TEL:0120-102-994
お問い合わせにつきましては発表元企業までお願いいたします。