2011年3月5日 11:00
株式会社セキュアソフト

韓国国内におけるDDoS攻撃発生の経過速報

3月4日、韓国において大規模なDDoS攻撃が発生しております。SOS CERT、およびSniper CERTチームでは緊急体制でモニタリング及び分析を実施しています。現時点の最新の状況をご報告いたします。


1.状況
  - 3月4日 10:00 〜 11:00に1次攻撃実施。
  - 攻撃のトラフィックは300Mbps〜400Mbpsの程度
  - DDoSのZombie PCの数は15,000台を超えるものと推定。
  - 3月4日 16:30から2次攻撃実施の情報があったが、攻撃と思われるアクセス動向は確認されず。

2.P2Pを通じた不正プログラムの拡散
- 3月3日: sharebox.co.kr で不正プログラム拡散
- 3月4日: superdown.co.krで不正プログラム拡散
- 3月4日: filecity.co.kr で不正プログラム拡散
● 不正プログラムがHostsファイルの変更を行い、その結果、アンチウイルスのアップデートができなくなる現象が確認されています。
● 感染したPCでは、ハードディスクの損傷が発生すると予想されます (3月10日まで)。アンチウィルスソフトで駆除を実施することを推奨。

3.被害対象
  - 韓国の政府機関、ポータルサイト、金融機関、約40のドメインが確認されています。韓国以外では報告された情報がありません。
  - 攻撃を受けたサーバのサービスがダウンするなどの被害は発生していません。ターゲットは、政府機関、金融、ポータルサイトなどが中心となっています。民間企業への影響はまだ確認が取れていないようです。現時点では韓国国内に向けた攻撃のみで、日本への影響確認されておりません。

4.分析結果
     攻撃トラフィックの特徴
- HTTP GET Flooding (Cache & Control Attack 、もしくは一般アクセス)  
- ICMP Flooding
- UDP Flooding : Destination UDP Port 80 によるFlooding
攻撃者がDDoS攻撃をコントロールするような攻撃手法が確認されております(Cache & Control)。これは2009年 7月7日に発生したDDoS攻撃と同じ特徴です。


Sniper CERTによると今回のDDoS攻撃の経由地として下記のIPアドレスが確認されています。該当IPからのアクセスに関して、ファイアウォール等で遮断の実施を推奨します。

現時点では韓国国内に向けた攻撃のみで、日本への影響確認されておりません。SOS CERT、およびSniper CERTチームでも緊急体制でモニタリング及び分析を実施しています。

以上