韓国政府“3.20 サイバーテロは北朝鮮の犯行、8カ月前から準備”
2013年4月12日 16:30
先月20日に韓国で発生したKBS・MBC・YTNなどの放送局と、農協・新韓銀行・済州銀行・NH生命保険・NH損害保険などの金融機関に対する同時多発的サイバーテロが、北朝鮮の犯行だとする韓国政府の公式調査結果が出た。
サイバーテロの攻撃ルートを追跡した結果、北朝鮮内部のIPアドレスが検出され、アクセス痕跡の消去を試みた事実も見つかったという。韓国政府は北朝鮮が少なくとも8カ月前から緻密に準備し、敢行したと分析している。
今回の事件を調査してきた民・官・軍の合同対応チームは10日午後、未来創造科学部のブリーフィング室で記者会見を開き、調査結果を発表した。
合同対応チームは被害業者の感染装備と韓国内の攻撃経由地などから収集した不正プログラム76種を分析し、国家情報院と軍が数年にわたって蓄積してきた北朝鮮の対韓ハッキング調査の結果と総合的に照合した上で、このように結論付けたという。
また、ハッカーが少なくとも8カ月前から標的機関の内部パソコンやサーバーを掌握し、情報を窃取してネットワークの弱点を把握するなど、継続的に侵入・監視を行なっていたことを明らかにした。
昨年6月28日から少なくとも6台の北朝鮮内部のパソコンが1590回アクセスし、金融機関に不正プログラムを流布してパソコンに保存された資料を窃取していたことが分かった。このうち13回から北朝鮮のIPアドレスが検出された。ハッカーはあらかじめ韓国内の経由地を整えておき、随時準備状況を点検していたという。
また、サイバーテロ1カ月前の2月22日から北朝鮮内部のIPアドレス(175.45.178.XXX)を通じて感染させたパソコンを遠隔操作し、命令伝達のために韓国内の経由地に試験的にアクセスした形跡も見つかった。
ハッカーはこの攻撃経由地から不正コードで内部システムを感染させた後、アンラップなどの保安プログラムのパッチサーバーを経由して韓国内業者に攻撃を試みたと見られる。
北朝鮮は攻撃翌日の先月21日に該当の攻撃経由地を破壊し、痕跡の消去を試みるなど、犯行の緻密さがうかがえる。
対応チームはハッカーがファイアーウォールとウェブサーバーを経由した際に残したログをすべて消去したが、遠隔ターミナルにアクセスしたログが一部残っていたと説明。通信技術上の問題で数秒から数分の間北朝鮮のIPが露出したという。
韓国政府はこのIPが偽造されたものである可能性を念頭に置いて調査を進めたが、今回の攻撃が一方的な攻撃ではなく双方向通信を基にした攻撃という点から、偽造の可能性は低いと結論付けた。
DDoS攻撃(ディ-ドス:分散サービス妨害)のように、攻撃側が命令を下すことで行われる攻撃ではIPの偽造が可能だが、今回の攻撃は攻撃側が命令を下し、応答を得なければならない方式のため、IPを偽造した可能性は極めて低いというのが韓国政府の見解だ。
韓国政府関係者は、「偽造されたIPを使うと応答が予想外の所へ届く可能性がある。IP偽造の可能性が0%とは言えないが、可能性は非常に低い」と伝えた。
対応チームは、これまで北朝鮮の犯行との結論が出た過去の攻撃と今回のサイバーテロの経由地と手法が一致、あるいは相当部分が類似している点でも、北朝鮮によるハッキングだと推定される根拠だとしている。
今回攻撃に使われた不正プログラム76種のうち破壊用が9種、事前侵入・監視用が67種で、攻撃があらかじめ周到に用意されたものと見ている。被害を受けたサーバー、パソコン、ATMなどは計4万8000台にも上った。
また、北朝鮮ハッカーが使用した感染パソコンの8桁の識別番号と感染信号生成コードのソースプログラムを分析した結果、過去に検出されたものと同じものが18種検出された。 この18種を含む30種以上が過去の北朝鮮による対韓サイバー攻撃に使われたものと同じものだった。
これまで把握できている攻撃経由地は韓国内25カ所、海外24カ所で、このうち韓国内18カ所、海外4カ所の計22カ所は、北朝鮮が2009年から対韓ハッキングに利用してきたIPアドレスと一致した。
調査の結果、攻撃側はプログラムの中央配布サーバーを経由して標的機関内部の全パソコンへ破壊用不正プログラムを一括流布し、サーバーの保存資料の削除命令を行ったことが分かった。
対応チームは先月20日、放送局、金融機関の電算システム破壊だけでなく、5日後に発生した「天気ドットコム」サイト経由の無差別不正プログラムの流布、先月26日の対北朝鮮•保守団体ホームページの資料削除とYTN系列社のホームページの資料サーバー破壊なども同じハッカーによるものと判断した。
これらの事件を連鎖的なサイバーテロと判断するのは、不正コードソースの一致、攻撃経由地が再利用されたという点を根拠にしている。
韓国政府は今回の攻撃が北朝鮮の偵察総局の犯行である可能性が高いと見ている。
また、北朝鮮の偵察総局が、韓国へのハッキング攻撃のためにかなり前から多くのルートを確保し、継続的に活用してきた可能性も挙げられた。
対応チーム関係者は、「かなり前から資料を窃取するなど、非常に緻密な準備をしてきたという点が今回の攻撃の特徴だ」とし、「今回の攻撃を担当した北朝鮮内の機関は偵察総局だと見ている。ただ、これは国家情報院と軍が掴んだ情報による判断なので、詳細な根拠は保安上明らかにできない」と説明した。
韓国政府はサイバーテロ以降、追加攻撃に備えて国政院、警察庁、韓国インターネット振興院の調査モニタリング人員を3倍以上増やし、全1781個の主要ホームページを対象に不正プログラムの有無を点検した。
韓国は11日、国家情報院長の主宰で未来創造科学部、金融委員会、青瓦台国家安保室など15の政府機関関係者が参加する「国家サイバー安全戦略会議」を開き、再発防止対策を話し合った。(翻訳:中川)