韓国でのサイバー攻撃被害が話題です。ATMネットワークへの侵入方法や、その目的など不明な点があり、全容解明にはもう少し時間がかかりそうです。 特に韓国へのワイパー攻撃の歴史でも触れられた、MBR領域、ファイルシステム領域の上書き操作については非常に興味深いところです。
一見、韓国国内の混乱を狙った攻撃であるとの見方が強いようですが、本当の目的は意外なものかもしれません。そこで、このようなシステム破壊行為をする場合、その目的を3つ考えてみました。
(1)利用者への妨害のため(脅迫、愉快犯、テロ、etc)
(2)証拠を隠蔽したいため
(3)注目を集めたいため(注意を逸らしたいため)
今回のような大々的な事件となりますと、(1)のケースが思い浮かべてしまいます。しかし、(2)(3)のケースも想定すべきことのように思います。
実際に(2)はしばしば目にします。攻撃者が目的を達成し、自身の痕跡を消したい場合に行います。この場合はMBR領域の破壊くらいが一般的です。一見、OSの障害に見せかけ、利用者に復旧を促す際に行われることがあります。下図はMBR領域が破壊された端末から確認された攻撃者の操作痕跡です。
この場合はこっそりと操作しないと意味がありませんので、今回の韓国のケースには当てはまらなそうですが。。。
次に(3)ですが、注目を集めたいので派手に破壊する必要がありそうです。本来の目的が目立つものであればあるほど、注意を逸らすために大きな花火を打ち上げる必要があります。
本当のところは全く分かりませんが、何となく(3)を勘ぐってしまいます。考え過ぎでしょうかね?
しばらく、韓国のニュースから目が離せませんね!
一見、韓国国内の混乱を狙った攻撃であるとの見方が強いようですが、本当の目的は意外なものかもしれません。そこで、このようなシステム破壊行為をする場合、その目的を3つ考えてみました。
(1)利用者への妨害のため(脅迫、愉快犯、テロ、etc)
(2)証拠を隠蔽したいため
(3)注目を集めたいため(注意を逸らしたいため)
今回のような大々的な事件となりますと、(1)のケースが思い浮かべてしまいます。しかし、(2)(3)のケースも想定すべきことのように思います。
実際に(2)はしばしば目にします。攻撃者が目的を達成し、自身の痕跡を消したい場合に行います。この場合はMBR領域の破壊くらいが一般的です。一見、OSの障害に見せかけ、利用者に復旧を促す際に行われることがあります。下図はMBR領域が破壊された端末から確認された攻撃者の操作痕跡です。
この場合はこっそりと操作しないと意味がありませんので、今回の韓国のケースには当てはまらなそうですが。。。
次に(3)ですが、注目を集めたいので派手に破壊する必要がありそうです。本来の目的が目立つものであればあるほど、注意を逸らすために大きな花火を打ち上げる必要があります。
本当のところは全く分かりませんが、何となく(3)を勘ぐってしまいます。考え過ぎでしょうかね?
しばらく、韓国のニュースから目が離せませんね!
