大規模サイバーテロの被害を最小限に食い止めるには？　アンラボコリアの代表が韓国3・4 DDoS攻撃の事例を解説

　3月11日，アンラボは，東京・秋葉原にある同社の日本法人オフィスにて記者懇談会を開催し，3月4日に韓国で発生した大規模サイバーテロ（3・4 DDoS攻撃）に関するアンラボコリアの対応事例を解説した。
　なおアンラボは，アンチウイルスソフト「Ahnlab V3」シリーズやネットワーク/オンラインゲームのセキュリティソリューションの開発・販売などを手がける企業である。本社のアンラボコリアは，韓国で60％以上の市場シェアを占めており，とくに同国金融関連では100％のシェアを誇っているとのこと。

　アンラボコリアの代表取締役を務めるキム・ホンソン氏は，3・4 DDoS攻撃に対する同社の対応を時系列に沿って説明した。キム氏によれば，3月3日9：00に同社の「Ahnlab Smart Defence」がマルウェアと見られるファイルを検知，韓国のファイル共有サイト「sharebox」から配布されていることを突き止め，15：57までに同サイトへのアクセス遮断要請と，V3シリーズのルールセットアップデートを公開したとのこと。
　また，同日19：44には，V3シリーズを使っていないPCユーザーに向けて，専用ワクチンソフトの配布を開始した。解析の結果，このマルウェアは，3月4日18：30に韓国国民銀行をはじめとする40のサイトを攻撃するためのものと判明した。

アンラボコリア 代表取締役 キム・ホンソン氏

　3・4 DDoS攻撃の緊張が最大に高まったのは，3月4日9：00〜10：00頃だったと，キム氏は続ける。というのも，同日8：50に当該マルウェアの亜種が発見され，約1時間後となる10：00に29サイトを攻撃することが判明したからだ。この事態に対し，アンラボコリアは9：00にV3シリーズの新たなルールセットを公開，9：30には攻撃目標とされたサイトに警告を伝えるといった形で対応。その結果，攻撃目標とされたサイトの一部に短時間のダウンや通信速度の低下が発生したものの，大きな被害には至らなかったという。また，これらの対応によって，当初の攻撃開始時刻だった18：30には目立った被害は発生しなかったとのこと。

　しかし，話はこれで終らない。というのも3月5日21：12に，当該マルウェアに感染した，いわゆるゾンビPCのハードディスク内のデータを破壊するモジュールの存在が確認されたからだ。これに対してアンラボコリアは，同日中に専用ワクチンの配布とV3シリーズエンジンのアップデートを実施したほか，翌6日に対応マニュアルを公開し，メールおよびSMSにて顧客に呼びかけた。加えて，朝鮮日報の公式サイトにて告知を行うなどした結果，3月8日18：00に緊急対応体制が解除されるまでに，同社に報告された被害は99件に抑えられたとのことだ。

　韓国では，同様の大規模サイバーテロは2009年7月7日にも発生していたが（7・7 DDoS攻撃），3・4 DDoS攻撃では，攻撃パターンが状況に応じて変更されたり，ファイル構成が変化して分析が困難になったりと，非常に手が込んだものになっていたと，キム氏は説明する。また，ハードディスク破壊モジュールも，攻撃者が任意に日付を変更できる仕様となっており，対策には非常に苦労したそうだ。キム氏は，これらの状況を「サイバーテロはこれまで“静的”だったが，今や状況を見ながら刻々と変化する“動的”なものに進化している」とまとめた。
　なお，このサイバーテロの目的は今のところ不明だ。キム氏は，以前は金銭目当ての脅迫が多かったが，今回は社会的/政治的な目的があったのではないかと推測している。


　キム氏は，アンラボコリアが3・4 DDoS攻撃による被害を最小限に抑えた理由を，「クラウドを基盤にした分析能力の向上」「事前検知対応の強化による拡散の防止」「国家機関や関連機関との連携強化」の3点にあることを，あらためて説明。続けて，これまでのように個別のPCにアンチウイルスソフトをインストールして対応するだけでなく，配布サイトを逆探知してアクセスを遮断するといったように，根本から拡散を抑止するような取り組みが必要であることを強調した。


　また，キム氏は，まだこうした大規模なサイバーテロの事例のない日本においても，スマートフォンの普及などに伴ってネットワークの常時接続が一般的になっている昨今では，対策を強化しなければならないだろうとの見解を示した。
　さらにキム氏は，ウイルスソフトの多くがアジアで開発されている現状に言及し，グローバルなネットワークセキュリティの強化を図るに当たり，今後は日本・中国・韓国の連携がいっそう重要になるだろうと述べていた。