韓国でのサイバー攻撃、正規ソフトの自動更新機能が悪用された恐れ：ファイル共有ソフトのインストーラに改ざん

6月25日、韓国の政府機関や報道機関、放送局などのWebサイトが不正アクセスを受け、改ざんやサーバダウンの被害を受けた。トレンドマイクロは、一連の攻撃のうち少なくとも1つは、ファイル共有／オンラインストレージサービス「SimDisk」用ソフトウェアの改ざんが原因であると指摘している。

[高橋睦美，＠IT]

　6月25日、韓国の政府機関や報道機関、放送局など複数のWebサイトが不正アクセスを受け、改ざんやサーバダウンの被害を受けた。一連の事態を受けて韓国インターネット振興院（KISA）では警戒レベルを5段階のうち上から3つ目の「注意」に引き上げ、注意を呼び掛けている。

　この攻撃に関連してトレンドマイクロは、一連の攻撃のうち少なくとも1つは、ファイル共有／オンラインストレージサービス「SimDisk」用ソフトウェアの改ざんが原因であると、ブログで指摘した。

　トレンドマイクロによると、SimDiskの正規ソフトウェアを配布するWebサイトが攻撃を受け、インストーラファイル「SimDisk.exe」が改ざんされてしまった。改変版インストーラには、2つのファイルが含まれている。1つは、ユーザーの目を欺くことを目的とした、無害な正規インストーラのコピー。もう1つがトロイの木馬として動作する不正なファイル「SimDiskup.exe」で、トレンドマイクロではこれを「TROJ_DIDKR.A」として検出するという。TROJ_DIDKR.Aは、外部の不正なWebサイトへのアクセスを試み、DoS攻撃を仕掛けるツールをダウンロードするなどの挙動を示したという。

「SimDisk.exe」の改ざんによる攻撃の経路（トレンドマイクロのブログより）

　SimDiskのサービスは現在、障害のためアクセスできない状態だ。Webサイトでは、6月25日の午後8時半以降、「インターネットデータセンターのネットワーク障害のためにアクセス障害が発生している」と説明されている。

　トレンドマイクロは、本来はソフトウェアの脆弱性を狙う攻撃からユーザーを守ることを目的に、最新版へのアップデートを手助けするため実装された自動更新機能が、攻撃に悪用された事実を踏まえ、「ソフトウェアベンダは、このような領域に対する攻撃が製品を使用するユーザーに与える影響を考慮し、製品に関連するサーバやネットワーク全体のセキュリティを優先的に確保すべき」と指摘している。

　なお、同じく6月25日には、Anonymousが「OpNorthKorea」として、北朝鮮の複数のサイトに対してDoS攻撃を仕掛けている。