【割れ】 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
156 スノーシュー(家) 2013/03/21(木) 14:01:07.03 ID:CGAleHcH0
韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/?top_tl1
非正規Windowsって、ある意味割れOS?
↓以下引用
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/?top_tl1
非正規Windowsって、ある意味割れOS?
↓以下引用
3月20日に韓国で発生した大規模サイバー攻撃。
同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。
筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。
なぜ、そのように判断したか、順を追って解説してきたい。
まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。
あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。
その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。
非正規ライセンスのWindowsサーバーが残ったままか
だが、それはあくまでクライアントレベルであり、Windows Server Update Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。
こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。
このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。
このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。
だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。
マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。
実際にファイルの提供そのものはAkamaiのネットワークを経由している。 そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。
そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。
すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。
Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。
このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。
このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。
このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。
同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。
筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。
なぜ、そのように判断したか、順を追って解説してきたい。
まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。
あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。
その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダウンする自体に至った。
こうした事態の反省から、韓国内では正規なWindowsの導入が進んだ。これにより、同様の状況が発生しにくくなったのは事実である。
非正規ライセンスのWindowsサーバーが残ったままか
だが、それはあくまでクライアントレベルであり、Windows Server Update Services(WSUS)という社内向けのパッチ管理サーバーに関しては、非正規Windowsの導入が残ったままであった可能性が高い。
こうした非正規のWSUSでは、正規の手順でセキュリティパッチがダウンロードされない。
マイクロソフトでセキュリティパッチが公開されると、各企業内にあるWSUSサーバーは自分が保持しているリストと、マイクロソフトの提供するリストを照らし合わせ、ダウンロードすべきファイルの一覧をSSL暗号した形でダウンロードする。
このとき、実際のダウンロードを開始する前に、そのWSUSシステムが正規であるかを確認するチェックが行われる。
このチェックで非正規のWSUSサーバーとわかると、ダウンロードされるべきリストだけは取得できるものの、パッチ本体のダウンロードは行われない。
そこで、こうした非正規Windowsで構築したWSUSのために、マイクロソフトが提供しているパッチとほぼ同じものを、マイクロソフトとまったく無関係のサイトからダウンロードする仕組みが実は備わっている。
だが、このサイトはマイクロソフトによる管理の対象とはなっていないため、ここで配布するパッチにウィルスが紛れ込んでいるのだ。
マイクロソフトが配布するセキュリティパッチ本体がSSLで暗号化されていると思われがちだが、実は通信経路だけがSSLになっているだけである。
実際にファイルの提供そのものはAkamaiのネットワークを経由している。 そのため、非正規のWSUSを運用している管理者および企業は、おそらく気づかぬまま(正規のWindowsと思い込んで)使い続けていた可能性が高い。
そして、マイクロソフト以外が提供しているセキュリティパッチをWSUSに取り込み、それを正規のクライアントWindowsが定期的なアップデートで更新されている状況と考えられる。
筆者は、研究のために中国製の海賊版Windows XPを所有しており、そのWindows Updateの仕組みを調査していた。
すると、まさに今回示した挙動と瓜二つな挙動(ただしクライアントが直接ファイルを取りに行く)を示していた。
Windows Updateを実行した際に、ダウンロードリストはマイクロソフトに問い合わせるが、実際のパッチファイルは非正規のサイトからダウンロードしていることを確認している。
このときに、ダウンロードされたファイルを分析してみたところ、通常のパッチ以外、いくつかのウィルスが仕込まれていることも確認している。
このことから、韓国におけるサイバーテロについても、同様のことが行われたのではないかと推測している。
今回の場合は、非正規のWSUSに情報を提供しているサーバーに、今回ターゲットにされた企業からアクセスがあった時だけダウンロードするように、あらかじめ標的型ウィルスが仕込まれていた可能性が高い。
このため、企業の管理者はWSUSの管理を信じ、誤って標的型ウィルスをクライアントWindowsに配って、Xデイ(3月20日)にMBRを破壊するウィルスが活動を開始したと推測される。
161 エジプシャン・マウ(兵庫県) 2013/03/21(木) 14:02:39.71 ID:kv2qFxPw0
>>156
その意味で割れOS
その意味で割れOS
166 ●大義私 ◆aWfrM7UWWY (新潟・東北) 2013/03/21(木) 14:04:26.52 ID:I056DHlO0
>>156
んだ
んだ
177 スナネコ(SB-iPhone) 2013/03/21(木) 14:09:58.04 ID:QvvDKw4xi
>>156
あらー、これ詰んだんじゃね?
あらー、これ詰んだんじゃね?
187 スナネコ(dion軍) 2013/03/21(木) 14:16:52.41 ID:VXOXioT+0
>>156
自業自得じゃん
自業自得じゃん
198 トンキニーズ(四国地方) 2013/03/21(木) 14:19:16.95 ID:5rwoGvxVP
>>156
「斜め上」でMSに謝罪と賠償を求めたら歴史に残る騒動になるなw
「斜め上」でMSに謝罪と賠償を求めたら歴史に残る騒動になるなw
229 クロアシネコ(catv?) 2013/03/21(木) 14:44:01.29 ID:pXZ2MGBo0
>>156の件は興味深い推測だ。
287 ペルシャ(芋) 2013/03/21(木) 15:26:11.70 ID:Es8r1zO70
>>156
ある意味じゃなく非正規ってばっちり書いてたら割れそのものだと思われ…
ある意味じゃなく非正規ってばっちり書いてたら割れそのものだと思われ…
159 スフィンクス(千葉県) 2013/03/21(木) 14:01:51.09 ID:sCKm5aWQ0
結局ウイルス入りのニセWindows Updateを拾わされたみたいだね
マイクロソフトに謝罪と賠償要求する予感
マイクロソフトに謝罪と賠償要求する予感
- 関連記事
-
- 100時間以上遊んだゲームってある?
- 日本ハム・大谷 開幕スタメンが確実…高卒新人の開幕先発出場は54年ぶり
- 日本代表の香川 うどん県“入閣”へ!香川県が観光PRのため食指
- イケメンは就活余裕とか言ってた奴出て来い
- 【画像】アメリカ女性アーチスト コンドーム1万7千個でベネディクト16世の肖像画作成
- こんだけ科学が発達してるのにそろそろ出来ないの?って思うもの
- 今 思 え ば 狂 っ て た ブ ー ム
- 【割れ】 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因
- 『サイコパス』22話感想 朱の出した答えとは・・・
- 「磯野~、野球しようぜ!」←だんだんDQNにしてけ
- 橋上戦略コーチが振り返る 8回の重盗失敗「データ上100%走れた」
- 春アニメ「ハヤテのごとく! Cuties」PV公開!桂ヒナギクの歌うOPも聴けるぞ!
- 【悲報】統一球の意味
- ちょwwwTENGAがお詫びしとるwww
- 行動力が半端ない嫁と離婚したい
▼フリメで無料登録OK!お試しポイント大量!
コメント
コメントの投稿
トラックバック