韓国への大規模サイバーテロ事件について(3) | snowwalker's blog
なんか沈静化してきた印象がありますが、まだ非正規Windows説が微妙に生き残っている感じがしますね。 元ネタ 最初の報告で「誤解ないしデマ(の可能性が高いもの」として紹介したものですが、どうも問題となった中国のIPアドレスがmsn.comのドメイン名を使用しているようで、それが根拠となっているようです。 追加でこの辺りを少し追ってみました。 1.問題のIPアドレス 最初に中国国内のIPアドレスと報じられ、その後内部のプライベートアドレス空間だったと報道された問題のIPアドレスいは”101.106.25.105″です。 このIPアドレスで素直にぐぐって情報を軽く漁って見ましょう。このページによると確かに中国国内で”1695750.r.msn.com”という逆引きレコードをもっているみたいですね。 これを根拠としてこのサーバーは不正Windowsにパッチを提供するサーバである、という話が出て
韓国への大規模サイバーテロ事件について(2) | snowwalker's blog
いくつかの続報が出てきていますのでまた少しまとめておきます。 TrendMicroの挙動調査および感染経路の報告はかなり信頼性が高そうな印象です。 1.概要 発信源は中国国内ではなかった Unix系サーバーへの攻撃コードも含まれていた TrendMicroより詳細なmalwareの挙動の調査報告および感染経路の推定報告が出ている 2.発信源は中国国内ではなかった 前回の記事発行時には中国国内のIPアドレスから感染した、と報道されていましたが、状況が変わっています。国内での報道でも出てきていますが、どうも被害にあった農協内部で感染元になったサーバがたまたま中国国内のサーバーのIPアドレスと重複するIPを設定しており誤認したようです。 まぁ、プライベート空間にグローバル空間のIPアドレス振るなよ、っていう話ですが・・・ KISA(韓国インターネット振興院)の報告(韓国語) atmarkITの記
韓国への大規模サイバーテロ事件について | snowwalker's blog
まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。 1.被害状況 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能 2.攻撃手法 良くありがちなDDOSなんぞではなく、malware配布によるもの。 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。 アンラボ社の見解(韓国語) 資産管理サーバーを乗っ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
