韓国電力公社配下の韓国水力原子力発電(Korea Hydro & Nuclear Power、KHNP)が攻撃を受け、機密情報が漏えいした事例は、トップ記事として報道されました。漏えいした情報には、従業員についての情報や発電所の設計図も含まれています。被害を受けたKHNPは、漏えいしたデータは重要情報ではなかったと宣言しましたが、特に攻撃者グループがマルウェアの始動期限を設定している点から、この事例は、注目を集め続けています。

報道によると、攻撃者は、KHNPの社員へ、“control program”という名前のファイル(拡張子HWP)が添付されたEメールを送信します。この添付ファイルは、韓国で広く使用されている文書ソフトウェア「アレアハングル」で作成された文書ファイルです。このファイルが開封されると、「マスター・ブート・レコード(MBR)」を一掃するマルウェアにより情報収集やハードディスクを破壊する一連の不正活動が引き起こされます。

攻撃者は、ソーシャルメディアのアカウントを利用して、有名なファイルホスティングサイトへのリンクを投稿し始めていました。これらのリンク先には収集されたデータが含まれています。ソーシャルメディアのアカウント上のやりとりで方言を用いていることから、この攻撃は北朝鮮から発生したと考えられています。流出したデータは、社員の情報から教材や設計図に及びます。

また、攻撃者はこれらのアカウントを利用して、KHNPだけでなく、一般ユーザにまで範囲を広げて通信していました。例えば、身代金の要求に関連する投稿などです。さらに、攻撃者は、クリスマスを期限としてKHNP が複数の原子力発電所を停止するまでは、データを漏えいし続けるといった宣言もしています。KHNPのWebサイトも改ざんされていました。

MBRを破壊するこの攻撃は、同じくMBRを一掃するマルウェアが重要な役割を果たしたSony Pictures へのサイバー攻撃の直後に発生しています。脅威の全体像として、MBRを破壊する攻撃は、他のマルウェアほど特筆すべき脅威ではないかもしれませんが、この攻撃の破壊力が衰えるわけではありません。実際、このマルウェアはKHNPの個人用コンピュータを破壊しました。

攻撃者は、原子力発電所の管理者が発電所停止を拒否すれば、この発電所のシステムを破壊するとも脅迫していました。攻撃者には、システムを誤動作させることにより発電所を物理的にダメージを与えたり、破壊も可能です。

Sony Pictures への攻撃および2013年の韓国へのサイバー攻撃事例は、MBRを破壊するマルウェアが、特に知名度の高い組織を対象とする攻撃に利用された場合、いかにその影響が深刻であるかを示すものとなりました。

トレンドマイクロでは、この攻撃についてさらに調査しており、必要に応じて本記事を更新します。

翻訳:太田 真理(Core Technology Marketing, TrendLabs)