索尼影業遭駭事件始末大剖析

在2014年感恩節前夕，11月24日上班日，卻是美國索尼影業（Sony Pictures）員工最黑暗的一天。一個應該要歡慶年度豐收，並且開始感恩節連續2天的假期，正式為之後的耶誕假期暖身的日子，但是，對美國索尼影業47,000名員工而言，卻是一個一輩子永遠忘不了的一天，因為，就在那天，索尼影業員工被迫回家工作、無法依賴各種IT系統連線作業，公司相關的機敏資料也被駭客外洩。初步統計，因為此次遭駭事件，Sony集團股價在5天內跌破1成，公司市值縮水新臺幣600億元。

駭客入侵並張貼紅色骷顱頭桌面，警告意味濃厚

該天上班時間的下午時段，當索尼影業的員工回到工作崗位後，還不需要打開電腦，映入眼簾的卻是一整片的紅，一個像是染上血跡的紅色骷髏頭的電腦桌面，搭配上一段警告文字，顯示駭客組織和平守護者（＃GoP）已經入侵索尼影業，並且發出警告。

該駭客組織表示，已經擁有索尼影業所有內部資料，包括相關的機敏檔案在內，如果索尼影業不能遵照和平守護者相關的指示，就會將所擁有的機敏資料外洩到網路上，而考量期間只到當天晚上11點以前。GoP組織表示，如果在11月24日當天晚上，索尼影業不願意同意該駭客組織的要求，包括該公司的財務資料、存取某些伺服器金鑰的壓縮檔、以及更多機敏資料，都會在相關的網址上公布。

這起入侵事件剛開始，因為索尼影業內部網路電子郵件無法運作，而被該公司視為一起內部IT服務中斷的事件，所有的電腦都被迫下線、都無法繼續運作，索尼影業評估，要復原整個系統需要1天到3周的時間，便要求員工們在家工作，除了關閉公司電腦、啟動所有行動裝置的Wi-Fi功能外，也不允許員工使用VPN連回公司網路。

索尼影業內部系統持續維修，也有內部員工向媒體爆料，索尼影業內部的電子郵件系統，最遲要到12月1日才能恢復正常運作，但其他內部系統的復原狀況仍不清楚。

從11月24日遭駭到12月1日恢復電子郵件系統的運作，意味著，索尼影業的員工被迫回家工作至少一周外，因為相關電腦系統無法使用，也得恢復成傳統的紙本作業形式作為因應。

由於索尼影業很早就開始經營各種Twitter等社群活動宣傳，資料外洩的當時，有傳出很多Twitter帳號已經被駭客控制並用來張貼駭客的訊息。也有外電報導，後來索尼影業雖然取回Twitter的帳號與密碼，但電腦上的帳號則還沒有取回。

機敏資料外洩，包括影片檔、員工與主管個資和薪資等

當員工陸續在家工作後，網路上也陸續釋出許多索尼影業的機敏資料，對索尼影業而言，外洩播映中甚至還沒有上映的影片檔案，公開在網路上任人下載，將嚴重影響票房、對索尼影業造成巨大損失。駭客陸續釋出的影片，包括「安妮」（Annie）、「透納先生」（Mr.Turner）、「我想念我自己」（Still Alice）和「To Write Love on Her Arms」等4部還沒有上映的電影，以及還在上映中「怒火特攻隊」（Fury）的戰爭電影。

到12月1日，索尼影業除了僱用資安業者Fireeye旗下的Mandiant團隊協助進行相關事件的調查，並且協助清理遭駭的電腦系統；在索尼影業的請求下，美國聯邦調查局（FBI）也已開始介入調查該起事件的前因後果。

此外，在當天，美國FBI也對美國企業發布一起重大駭客攻擊事件的資安警告，可能會遭到一個具有「毀滅性威脅」惡意程式的「立即」攻擊。根據FBI提供資料上的說明，駭客在正式展開攻擊的48小時前才編譯、執行該惡意程式，這也意味著，駭客在發動攻擊之前，就已經掌握目標對象的所有網路及鎖定目標的設備。

12月5日駭客首領針對索尼影業員工和高階主管寄送一封威脅郵件，信件內容顯示，「對一個全球組織而言，要讓索尼影業在地球上消失簡直易如反掌，該次的攻擊事件只是所有計畫當中的一小部分，」駭客威脅，如果收到信的員工或主管不願意配合駭客組織所提出的配合事項、認為災難總會過去，那就大錯特錯，包括收件員工、高階主管本身及其家人，都將面臨危險，如果員工不希望自己或家人遭到傷害，就得以所附的電子郵件簽名反對索尼影業。否則，包括員工及其家人全都會有危險，而索尼影業必須為所有的結果負責。

由於此封恐嚇信件是在索尼員工個人資料外洩之後才寄出，再加上信中要求索尼員工支持駭客集團的行徑有些詭異，調查單位目前並不確定相關信件是否來自駭客組織GoP。不過，由於駭客取得的個人資料是正確且完整的，該封恐嚇郵件已經造成索尼員工的大恐慌。

同時，資安業者Identity Finder也在12月5日對外表示，駭客釋出索尼影業的員工與高階主管個資，包括全名、社會安全號碼、生日和住址等相關資訊，這些都足以讓駭客偽冒身分並且暢行無阻，其中，社會安全號碼的外洩最讓人擔心。Identity Finder資安研究人員發現，駭客在網路上釋出的資料中，有601份資料包含員工與主管的個資（含Word和Excel檔案 ），其中有超過15,000個社會安全號碼是現任與前任員工所有。

不過，這個時候，參與調查的人員還沒有鎖定誰是主要的攻擊者，除了猜測是北韓政府幕後主使外，也有傳出可能是內賊所導致。

到12月7日，北韓的官方媒體朝鮮中央通訊社（朝中社）則對外發表聲明，贊許駭客攻擊索尼影業的行為是正義的，發動攻擊者可能是北韓的支持者或同情者，但並不是北韓政府背後主導。

媒體揭露FBI調查進度時，也曾經發生一起與臺灣有關的烏龍事件。路透社揭露，FBI認為，駭客使用泰國曼谷五星級飯店的高速網路，在12月2日當天，將索尼影業員工電腦中的機密資料外洩到網路，但有其他媒體NBC報導，這樣的攻擊是經由臺灣而成，也間接引發一場虛驚。

之後陸續也傳出其他的從內部外洩的各種電子郵件，除了外洩演員酬勞、明星化名檔案和員工醫療記錄曝光，也傳出有因性別不同而同工不同酬外，對不同演員也有不一樣的評價，像是便有索尼影業高層批評安潔莉娜裘莉是「沒什麼才華卻被寵壞的傢伙」的郵件外洩，也有新一集007情報員龐德的劇本《SPECTRE》外洩，甚至是，新一集的美國隊長可能加入蜘蛛人的討論合作信件，也都在外洩檔案內容中。

在這過程中，為了不讓諷刺北韓領導人金正恩的電影《名嘴出任務》公開播映，駭客也以九一一恐怖攻擊為例，威脅索尼影業不得公開播映，其他也有連鎖電影院為了看戲民眾安全，決定取消上映該片。

在FBI於12月19日正式對外發布新聞稿，直指是由北韓政府主使該次攻擊事件後，但在美國FBI發布的新聞資料中，並沒有明確指出「北韓」發動網路攻擊作戰的是哪一個單位。

索尼影業對於《名嘴出任務》電影播映的態度峰迴路轉，從原本因為駭客恐嚇將發動恐怖攻擊而決定妥協、取消放映該片，到後來，美國國土安全部表示，沒有接獲針對電影院的攻擊計畫，加上美國總統歐巴馬認為索尼影業不應該屈服，該公司之後便決定在獨立電影院以及其他線上媒體播映。根據影業分析人士預測，索尼影業因為無法如期上映該片，大概會損失4,100萬～5,500萬美元。

美國FBI從介入調查，並在不到一個月的時間內，就確認北韓政府是該起攻擊事件的幕後主使者，同時間，也有各家資安公司質疑FBI的調查結果。這也反映出，索尼影業遭駭的事件，在眾說紛紜的情況下，迄今依舊霧裡看花。

資安公司Norse認為：是內賊入侵索尼影業非北韓

在這個調查過程中，索尼影業先委由挪威網路安全公司Norse協助調查，但相關的調查結果，FBI直到2014年12月30日才對外公布，但不願意對該份調查報告做任何評論。

根據Norse調查結果，目前可以看出來，至少有一個6人一組的駭客族群入侵索尼影業，其中，至少有一個成員是索尼影業的前員工，並且具有相關的IT技術背景，也十分了解公司的網路和業務型態。該公司確認了六個直接參與入侵行動的成員，其中包括兩名在美國，一個在加拿大，一個在新加坡及一個在泰國，這六個包括一名在索尼影業任職超過10年的前員工。

另外，Norse也揭露，索尼影業外洩的機敏資料，其實是透過一個USB裝置或者是USB外接硬碟的方式外洩的。在分析惡意程式過程中，雖然有韓文發音的英文字母，但語言分析更像是俄羅斯駭客所使用的語言。

FBI公布的7類惡意程式分工精細

趨勢科技全球核心技術部資深協理張裕敏表示，美國FBI為了預警，有發表一份TLP：Green的文件資訊，詳細描繪入侵索尼影業的惡意程式攻擊手法和特徵，就是希望類似的惡意程式，不要再有其他政府機關或企業受駭。

但張裕敏指出，此次攻擊索尼影業的惡意程式有7大類，首先是連US-CERT都有發布警告的SMB蠕蟲，總共發現有2種，特性在於利用微軟Windows Server的伺服器訊息區（Server Message Block，SMB)的網路檔案共用通訊協定，猜測密碼並植入惡意程式。

根據US-CERT公布的內容，這個惡意程式對企業帶來的威脅包括：連線回控制伺服器並回傳資料，以及猜中主機密碼後，可以和SMB主機連線，在新的被感染主機上，共享和複製遭外傳的機敏文件。這個蠕蟲還具有後門程式、鍵盤側錄以及毀損電腦硬碟等功能。不過，張裕敏說，目前這2種蠕蟲在網路上和樣本病毒交換的資料庫中，都沒有找到任何樣本。

再者，第二類攻擊工具就是未知種類和數量的監聽工具，張裕敏指出，駭客透過監聽網路、鍵盤和瀏覽器的方式，就可以掌握使用者帳號與密碼資訊，就可順利在內部網路通行無阻；第三類是輕量型後門程式，FBI公布總計有13種，任務很單純，就是回報和接收駭客的命令。

第四類則是Proxy代理程式，目前查到有10種，便利內部網路連接使用。第五類就是未知數量與種類的硬碟破壞工具，主要是破壞硬碟開機區（MBR），讓電腦毀損、無法開機使用。第六類就是刪除惡意程式並清除記錄的毀滅與清除工具，總計有2種，目的在於隱匿惡意程式的蹤跡。第七類，就是徹底銷毀硬碟資訊，使電腦無法復原的Destover惡意程式，目前總計有6種。

駭客掌握內部網路架構，所使用中繼站沒有重複

在找到的6種Destover惡意程式中，總共有來自泰國、波蘭、義大利、玻利維亞、新加坡、賽浦路斯和美國的中繼站IP位址，張裕敏進一步將這些中繼站的資料，和各種既有的駭客活動的中繼站做關連性分析，「目前找不到索尼遭駭發現的中繼站，與目前駭客組織所使用的中繼站有何關連性。」他說。

更有趣的是，在惡意程式發現的資料中，也發現9個索尼影業使用的內部IP位址，張裕敏指出，發現索尼影業的內部網段的IP位址時，可以看到駭客是一個網段、一個網段掃描後再發動攻擊。

從該惡意程式找到的資料可以發現，駭客對於索尼影業的內部網路架構瞭若指掌，但這些資訊究竟是這次攻擊事件外洩的，還是駭客利用的資料是，早在2011年Sony PlayStation（SPN）網路遭駭時，當時有許多公司高階主管同步外洩的電子郵件和相關個資，張裕敏認為，目前還沒有辦法明朗化攻擊過程，但可以肯定的是，這起索尼被駭事件的源頭，一定也與社交工程郵件脫離不了關係。

根據目前的證據，張裕敏可以推論駭客攻擊的4種可能性，第一種就是駭客已經長期潛伏在索尼影業的內部網路；其次，有特權帳號的帳號密碼外洩；第三種就是內賊裡應外合；最後一種才是網軍攻擊入侵。而目前網軍入侵的跡象，相對其他可能性低。

資安團隊頭重腳輕，認為資安投資「夠用」就好

外洩資料中，也看到索尼影業的一份員工名單，在外洩的7,000名員工資料中，發現有一個資安團隊，只有11名成員，其中，包括3名資安經理、3名資安協理、1名執行協理和1名資深副總裁監督3名資安分析師。一個資安團隊只有3名基層員工負責所有資安業務的執行，卻有8名資安管理者，顯見資安團隊這樣的分工是有問題的。

另外也有索尼影業前員工對媒體爆料，索尼影業並沒有針對資安風險評鑑的結果有相對應的矯正措施，嚴格來說，該公司並沒有真正的資安投資，例如，最基本的檔案保護，沒有進行加密，甚至也沒有做到密碼保護。

更關鍵的問題在於，索尼影業長期以來對資安投資都抱持著「夠用」（Good Enough）就好的心態。索尼影業執行董事Jason Spaltro，在2005年11月接受美國媒體專訪時便提到，該公司每個月要處理500萬筆信用卡交易資料，多數跟PlayStation的線上遊戲有關係。

但是，Jason Spaltro表示，索尼影業若要百分之百符合法規遵循，會花太多資安費用，他舉例，索尼影業有義務要提醒客戶信用卡的個資外洩，這個需要花100萬美元，但若是要防護客戶信用卡資料不外洩，必須搬移到更新的系統和資料庫，可能要花1000萬美元，兩相比較下，通知客戶資料外洩的費用，比防護資料外洩的費用還低，資安投資只要「夠用」（Good Enough）就好，他認為：「對索尼影業而言，這是一個可以承受的風險。」（It's a valid business decision to accept the risk）。

目前Jason Spaltro還是索尼影業的資安資深副總裁，在這種資安投資「夠用就好」的想法上，也意味著，當索尼影業一直認為資安是可以一搏的IT投資時，從2011年發生的Sony PlayStation Network（PSN）7,700萬筆用戶資料外洩，到陸續幾次SPN網路被駭，一直到此次發生影片原始檔和重要員工與明星個資外洩的被駭案件，駭客也只是跟大眾證明，索尼影業骨子裡，根本不重視資安的事實而已。

不過，此次索尼影業外洩的資料中，有找到該公司AIG的保險資料，為了確保網路服務不中斷，支付1千萬美元保費；符合PCI DSS規範，支付150萬美元保費；確保客戶隱私資安，也支付1千萬美元保費。

張裕敏認為，雖然沒有看到其他類似的資安資訊，至少可以證明，索尼影業是願意在資安保險投資的，一旦有損失，還有保險理賠。

但弔詭的是，在外洩的資料中，也同樣發現，索尼影業官方的Twitter帳號和密碼，以及研發單位的帳號與密碼檔，都統一保存在Excel中，所有人只要取得該密碼檔案，就可以掌握索尼影業重要的推特帳號和研發團隊的帳號密碼、為所欲為。張裕敏認為，索尼影業這樣的密碼保存手法並不適當，反而凸顯該公司在資安管理上的疏漏。

除了帳號、密碼保管問題，索尼影業因為外洩員工的個資和薪資，目前也面臨員工提出索尼影業沒有保護個資的法律訴訟，加上內部電腦和伺服器可能都必須汰換，以及其他營運服務中斷造成的損失，張裕敏認為，這些都是索尼影業當前必須面對的難題。

入侵索尼影業的七類惡意程式

相關報導請參考「駭客出任務，索尼影業駭翻天」