ダイヤモンド社のビジネス情報サイト

ソニーピクチャーズへのサイバー攻撃
解析で見えた、企業が知っておくべき脅威とは
――前田典彦 カスペルスキー チーフセキュリティエヴァンゲリスト

前田典彦
2015年1月9日
著者・コラム紹介バックナンバー
previous page
2
nextpage

攻撃プログラムは
48時間前に作られた

 SPEへの攻撃には、マルウェア(悪意をもったプログラム)が使用された。カスペルスキー社が報告している分析では、マルウェアのうちの1つは、ディスク上のデータを消去する機能を主とする「Destover」と呼ばれるものの一種だった。このマルウェアは、過去に観測されている「Shamoon」および「DarkSeoul」という2つの攻撃に使用されたマルウェアと、機能面で類似点が認められる。

 Shamoonは、2012年8月に発覚した。マルウェアを構成するファイルに「Shamoon」という文字列が使用されていたことが名称の由来だ。攻撃自体は複数段階を経て実行されるが、このマルウェアの主機能(最終目的)は、ディスクデータの消去あるいは破壊することでシステムを起動できなくすることだった。具体的には、MBR(Master Boot Record=システム起動時に必要なディスク領域)を消去あるいは論理的に破壊してしまう。

 一方、DarkSeoulとは、2013年3月に発覚した攻撃で、発生した日付になぞらえて「3.20大乱」とも呼ばれる。韓国の複数の大手銀行や放送局が、攻撃の標的となった。放送局では基幹システムにまで被害が及び、業務に甚大な影響を与えたところもあった。

 標的となった銀行では、多くのATMが停止し、その影響で窓口業務が麻痺するなど、韓国国内で大きな混乱をもたらした。使用されたマルウェアは、攻撃の段階に応じて複数種確認されているが、最終動作としては、ディスクのデータ消去=システムの破壊活動だった。

 機能としては、Shamoonと同じく、MBRの内容を消去あるいは意味のない別データに上書きすることで論理的に破壊するものだった。韓国当局の当時の発表では、この攻撃に北朝鮮の関与が疑われるとしたが、特定までは至らなかった。

 実は、今回のSPEに対する攻撃で使用されたマルウェアDestoverにも、ShamoonならびにDarkSeoulと同様に、ディスクのデータとMBRを消去あるいは別のデータに上書きする機能が搭載されていた。また、DestoverがEldoS社のRawDiskという製品のドライバソフトウェアとして購入ができる点は、Shamoonとの共通項だ。

 さらに、解析の結果、Destoverの実行ファイルは、実際の攻撃実行直前約48時間の間に作成(コンパイル)されたことが判明している。これは、DarkSeoulの時との類似点だ。

 攻撃者は、攻撃対象であるSPEの社内システムとネットワークを事前に調査(諜報)することが可能な環境を手に入れており、確実に攻撃が成功するように、攻撃対象の環境に適した実行ファイル(=マルウェア)を生成し、その後、長い時間を空けずに攻撃を実行に移したものと推測できる。

次のページ>> 破壊的な攻撃は珍しい
previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

DOL特別レポート

内外の政治や経済、産業、社会問題に及ぶ幅広いテーマを斬新な視点で分析する、取材レポートおよび識者・専門家による特別寄稿。

「DOL特別レポート」

⇒バックナンバー一覧