韓国政府“3.20 サイバーテロは北朝鮮の犯行、8カ月前から準備”（1/2）

　先月20日に韓国で発生したKBS・MBC・YTNなどの放送局と、農協・新韓銀行・済州銀行・NH生命保険・NH損害保険などの金融機関に対する同時多発的サイバーテロが、北朝鮮の犯行だとする韓国政府の公式調査結果が出た。

　サイバーテロの攻撃ルートを追跡した結果、北朝鮮内部のIPアドレスが検出され、アクセス痕跡の消去を試みた事実も見つかったという。韓国政府は北朝鮮が少なくとも8カ月前から緻密に準備し、敢行したと分析している。

　今回の事件を調査してきた民・官・軍の合同対応チームは10日午後、未来創造科学部のブリーフィング室で記者会見を開き、調査結果を発表した。

　合同対応チームは被害業者の感染装備と韓国内の攻撃経由地などから収集した不正プログラム76種を分析し、国家情報院と軍が数年にわたって蓄積してきた北朝鮮の対韓ハッキング調査の結果と総合的に照合した上で、このように結論付けたという。

　また、ハッカーが少なくとも8カ月前から標的機関の内部パソコンやサーバーを掌握し、情報を窃取してネットワークの弱点を把握するなど、継続的に侵入・監視を行なっていたことを明らかにした。

　昨年6月28日から少なくとも6台の北朝鮮内部のパソコンが1590回アクセスし、金融機関に不正プログラムを流布してパソコンに保存された資料を窃取していたことが分かった。このうち13回から北朝鮮のIPアドレスが検出された。ハッカーはあらかじめ韓国内の経由地を整えておき、随時準備状況を点検していたという。

　また、サイバーテロ1カ月前の2月22日から北朝鮮内部のIPアドレス(175.45.178.XXX)を通じて感染させたパソコンを遠隔操作し、命令伝達のために韓国内の経由地に試験的にアクセスした形跡も見つかった。

　ハッカーはこの攻撃経由地から不正コードで内部システムを感染させた後、アンラップなどの保安プログラムのパッチサーバーを経由して韓国内業者に攻撃を試みたと見られる。

　北朝鮮は攻撃翌日の先月21日に該当の攻撃経由地を破壊し、痕跡の消去を試みるなど、犯行の緻密さがうかがえる。

　対応チームはハッカーがファイアーウォールとウェブサーバーを経由した際に残したログをすべて消去したが、遠隔ターミナルにアクセスしたログが一部残っていたと説明。通信技術上の問題で数秒から数分の間北朝鮮のIPが露出したという。（翻訳：中川）