韓国政府“3.20 サイバーテロは北朝鮮の犯行、8カ月前から準備”（2/2）

　韓国政府はこのIPが偽造されたものである可能性を念頭に置いて調査を進めたが、今回の攻撃が一方的な攻撃ではなく双方向通信を基にした攻撃という点から、偽造の可能性は低いと結論付けた。

　DDoS攻撃(ディ－ドス：分散サービス妨害)のように、攻撃側が命令を下すことで行われる攻撃ではIPの偽造が可能だが、今回の攻撃は攻撃側が命令を下し、応答を得なければならない方式のため、IPを偽造した可能性は極めて低いというのが韓国政府の見解だ。

　韓国政府関係者は、「偽造されたIPを使うと応答が予想外の所へ届く可能性がある。IP偽造の可能性が0%とは言えないが、可能性は非常に低い」と伝えた。

　対応チームは、これまで北朝鮮の犯行との結論が出た過去の攻撃と今回のサイバーテロの経由地と手法が一致、あるいは相当部分が類似している点でも、北朝鮮によるハッキングだと推定される根拠だとしている。

　今回攻撃に使われた不正プログラム76種のうち破壊用が9種、事前侵入・監視用が67種で、攻撃があらかじめ周到に用意されたものと見ている。被害を受けたサーバー、パソコン、ATMなどは計4万8000台にも上った。

　また、北朝鮮ハッカーが使用した感染パソコンの8桁の識別番号と感染信号生成コードのソースプログラムを分析した結果、過去に検出されたものと同じものが18種検出された。 この18種を含む30種以上が過去の北朝鮮による対韓サイバー攻撃に使われたものと同じものだった。

　これまで把握できている攻撃経由地は韓国内25カ所、海外24カ所で、このうち韓国内18カ所、海外4カ所の計22カ所は、北朝鮮が2009年から対韓ハッキングに利用してきたIPアドレスと一致した。

　調査の結果、攻撃側はプログラムの中央配布サーバーを経由して標的機関内部の全パソコンへ破壊用不正プログラムを一括流布し、サーバーの保存資料の削除命令を行ったことが分かった。

　対応チームは先月20日、放送局、金融機関の電算システム破壊だけでなく、5日後に発生した「天気ドットコム」サイト経由の無差別不正プログラムの流布、先月26日の対北朝鮮•保守団体ホームページの資料削除とYTN系列社のホームページの資料サーバー破壊なども同じハッカーによるものと判断した。

　これらの事件を連鎖的なサイバーテロと判断するのは、不正コードソースの一致、攻撃経由地が再利用されたという点を根拠にしている。

　韓国政府は今回の攻撃が北朝鮮の偵察総局の犯行である可能性が高いと見ている。

　また、北朝鮮の偵察総局が、韓国へのハッキング攻撃のためにかなり前から多くのルートを確保し、継続的に活用してきた可能性も挙げられた。

　対応チーム関係者は、「かなり前から資料を窃取するなど、非常に緻密な準備をしてきたという点が今回の攻撃の特徴だ」とし、「今回の攻撃を担当した北朝鮮内の機関は偵察総局だと見ている。ただ、これは国家情報院と軍が掴んだ情報による判断なので、詳細な根拠は保安上明らかにできない」と説明した。

　韓国政府はサイバーテロ以降、追加攻撃に備えて国政院、警察庁、韓国インターネット振興院の調査モニタリング人員を3倍以上増やし、全1781個の主要ホームページを対象に不正プログラムの有無を点検した。

　韓国は11日、国家情報院長の主宰で未来創造科学部、金融委員会、青瓦台国家安保室など15の政府機関関係者が参加する「国家サイバー安全戦略会議」を開き、再発防止対策を話し合った。（翻訳：中川）