去る 6 月 25 日、朝鮮戦争の開戦からちょうど 63 年を迎えた朝鮮半島で、一連のサイバー攻撃が確認されました。複数の犯人によって複数の攻撃が実行されましたが、同日韓国政府の Web サイトに対して行われた分散サービス拒否(DDoS)攻撃は、DarkSeoul というグループと Trojan.Castov に関係しています。
25 日の攻撃だけでなく、過去 4 年間に韓国を標的にしてきた複数の大規模な攻撃も、この DarkSeoul グループの犯行であることが明らかになっています。こうした攻撃のなかでも、2013 年 3 月の Jokra 攻撃は特に破壊的で、韓国の銀行やテレビ局で膨大な数のコンピュータがハードディスクのデータを消去されました。また 2013 年 5 月には韓国の金融機関に対する攻撃も発生しています。
歴史上の記念日に DDoS 攻撃やハードディスクのデータ消去を実行するのは DarkSeoul グループの常套手段で、以前にも米国の独立記念日に DDoS とデータ消去攻撃を仕掛けたことがあります。
図 1. 4 年間の DarkSeoul の活動
DarkSeoul グループの攻撃は、実行の方法が類似する傾向にあります。攻撃の特徴は以下のとおりです。
DarkSeoul グループが実行した攻撃は、機密情報と一定の協力を必要とするもので、場合によっては高度な技術力も実証されています。国家の関与を特定することは困難ですが、韓国の報道では、攻撃者が北朝鮮のために活動していると結論づける調査があったことを指摘しています。攻撃グループの背後に北朝鮮がいるかどうかは不明ですが、その攻撃の裏には政治的な動機があり、また韓国内の組織に対するサイバーサボタージュ活動継続を支えるために必要な財政基盤もあることから、DarkSeoul の攻撃は今後も続くものとシマンテックは予測しています。国家規模のサイバーサボタージュ攻撃はあまり例がなく、このほかには Stuxnet と Shamoon(W32.Disttrack)の 2 つがよく知られていますが、何年にもわたってこれほど大規模で破壊的な攻撃を続行できているという点で、DarkSeoul グループはほぼ唯一の存在です。
図 2. Castov の DDoS 攻撃
Castov の DDoS 攻撃は、以下の手順で実行されます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。