APT言わない言わない、、、、、じゃなくって、こんな事例が出てきた場合、まず何をするかってのを整理しておく必要がある。

この事案について、一部でWindows Updateが利用された可能性が指摘されているが、Windows Updateでは各モジュールのコード署名を確認しているため、このような単純な手法では悪用することはできない。また、関連するセキュリティベンダーが公表した資料を見ると、そのベンダーが提供している資産管理サーバーが利用されたもので、Windows Updateが利用されたわけではないようだ[1] 。

韓国の事案とFlameの相違

Windows Updateを悪用した攻撃としては、2012年5-6月にかけて話題となったFlameが思い起こされる[2]。Flameはマイクロソフトの証明書を偽造し、自身のモジュールにマイクロソフトのコード署名することで、イントラネット内でのWindows Updateを悪用したと考えられている。悪用を避けるためのコード署名が、逆手に取られた格好である。なお、研究者の発表によれば、Flameの証明書偽造は”世界トップクラスの暗号解析技術使われた”と分析している[3]。

高度で執拗な攻撃（APT）事案としての側面

この事件をいわゆる高度で執拗な攻撃（APT）として捉えると違った側面が見えてくる。報告書によれば、資産管理サーバーの管理者権限が盗られ、この権限を使ってマルウェアの配布が行われたと推定している。一歩踏み込んで考えると、2011年に大きな話題となった、日本における政府機関や防衛産業の攻撃のように、アカウント管理サーバーが侵害を受けている可能性が高い。つまり、今回は特定の製品が利用されたが、その他の攻撃方法を使う選択肢も持っていたと考えた方が自然である。

隣国のセキュリティ事案を教訓とするために – 日本のセキュリティチーム