piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

韓国水力原子力発電の内部情報流出をまとめてみた

2014年12月15日頃より韓国電力公社の子会社、韓国水力原子力発電(韓水原)の内部情報流出が確認されました。ここではその関連情報をまとめます。

全体概要

  • 一部推測を加え、図にまとめると次の通り。


タイムライン

日時 出来事
2014年11月28日 犯行元がHWPファイルを作成した痕跡が残っていた日付*1
2014年12月8日16時頃 犯行元がマルウェアを作成した痕跡が残っていた日付
2014年12月9日5時〜15時頃 韓水原にマルウェア付メール5980件が送りつけられる
2014年12月10日 11時 マルウェアが作動設定されていた時刻
2014年12月10日 韓水原の内部ネットワークで不正なプログラムが確認され対処*2
2014年12月10日〜12日 韓水原に合計6通のマルウェア付メールが送信される。*3
2014年12月15日 犯行元と思われるNaver Blogに記事が投稿され始める。
同日20時1分頃 Facebookアカウントが作成される。
同日20時14分頃 Blogに第1回目の投稿
同日20時33分頃 Blogに第2回目の投稿。従業員情報と内部文書を公開
同日20時37分頃 Blogに第3回目の投稿。金銭要求。
同日20時40分頃 Blogに第4回目の投稿。機密資料を手に入れたと主張。
同日20時42分頃 Blogに第5回目の投稿。Who am I?のフレーズを入れたポスターを掲載。
同日20時45分頃 Blogに第6回目の投稿。
同日23時41分頃 Twitterアカウントが作成される。
2014年12月16日 1時前 犯行元と思われるTwitterアカウントが韓水原をハッキングしたとつぶやき、内部情報のダウンロードリンクを公開。
2014年12月17日 韓水原がソウル中央検察に捜査依頼
  韓水原コミュニティが閉鎖
2014年12月18日 14時頃 Naver Blogに韓水原の内部情報が公開される。
同日15時頃 Blogに第7回目の投稿。二次攻撃を予告する内容。
同日18時2分頃 Twitterに2回目のリーク情報ダウンロードリンクの投稿
同日18時40分 韓水原の要請によりNaver Blogが非公開に変更される。
2014年12月19日 産業通商資源部がサイバー安全センターに緊急対応班を設置*4
  政府合同捜査団の捜査が始まる。
同日12時 韓国のサイバー危機警報レベルを「正常」から「関心」に引き上げ*5
同日20時20分 Twitterに声明文と3回目のリーク情報ダウンロードリンクの投稿。
2014年12月20日17時頃 韓水原社長、産業通商資源部長官が原発のデータ流出に関連するサイバー危機対応緊急点検会議*6
  韓電、発電5社、ガス、石油等エネルギー企業の社長を集めサイバーセキュリテ点検会議を開催。
  韓水原が総合対応訓練を実施することを発表。
2014年12月21日1時半頃 Twitterに声明文と4回目のリーク情報ダウンロードリンクの投稿
2014年12月22日 韓国捜査当局がアメリカへ捜査協力要請
2014年12月22日〜23日 4つの原子力発電所本部でサイバー攻撃対応模擬訓練を実施
2014年12月23日15時7分頃 Twitterに声明文と5回目のリーク情報ダウンロードリンクの投稿
  韓国のサイバー危機警報レベルを関心から注意に1段階引き上げ*7
  政府合同捜査団がVPN事業者3社へ家宅捜索
  中国に捜査協力を要請
2014年12月24日 韓国内からDropboxの接続に障害が発生? *8
2014年12月25日 大統領府で国家サイバー安保危機評価会議が開催*9
2014年12月26日 緊急対応班の体制を2014年12月31日まで継続することが決定*10
  新古里3号機の建設現場でガス漏れ事故が発生し3名死亡。韓水原は一連のサイバー攻撃との関連は否定。*11
  北朝鮮が機関紙「民主朝鮮」で関与を否定*12
2014年12月28日 韓水原社長が会見を開き内部情報流出と原発で発生した事故について謝罪*13
  北朝鮮が労働新聞で韓水原の内部情報流出関与が疑われている件についてねつ造であると否定。*14
2015年3月12日 14時13分 Twitterに声明文と5回目のリーク情報ダウンロードリンクの投稿
2015年3月17日 14時 韓国検察が韓水原で発生した不正アクセス北朝鮮が関与と中間報告*15

被害詳細1.マルウェアを使ったシステム破壊

(1) 電子メールを使った標的型攻撃
  • 9日5時〜15時頃に5980件の電子メールが集中的に韓水原へ送付された。*16
  • 9〜12日に送付された電子メールの内、300人あまり(3,571人と報じられていたが訂正された)に送付されていたことが判明した。*17韓水原の従業員数は9500人。*18
  • HWP形式のファイルが電子メールに添付されていた。
  • マルウェアの亜種は約300種程度確認されているとの報道がある。
  • 12月9日〜12日まで韓水原退職者55人を含む211件のアドレスを悪用して送付されていた。*19
  • 韓水原退職者を騙ったメールは社内アドレスではなく、GmailHotmail等のプライベートアドレスが悪用されていた。*20
  • 「議事録」、「セキュリティー策」等とハングルで記述されたファイルが添付されていた。*21
  • 発信元IPアドレスは中国瀋陽の地域に集中していた。*22
  • 15日に流出した資料と9日に送信された資料が一致したことからマルウェア送付と情報流出の2件の関連が強く疑われている。*23
  • 関連する電子メールと思われるファイル
(2) 感染状況
  • 古里原発、月城原発の従業員PC4台で感染が確認された。*24
  • 4台の内訳は外部ネットワーク1台、内部ネットワーク3台
  • 3人の従業員が内部ネットワークにメールを移してから感染した。
  • 2014年12月26日時点で内部ネットワーク、他業務端末で感染は認められなかった。*25
(4) 確認されている検体
分類 ファイル名 MD5 Hash
54783422cfd7029a26a3f3f5e9087d8a
Dropper 사업계획서.hwp b5b6e93ab27cec75f07af2a3a6a40926
800866bbab514657969996210bcf727b
ead682b889218979b1f2f1527227af9b
Dropper 외교통일안보요지서.hwp f09ea2a841114121f32211faac553e1b
Dropper 훈련소.hwp 9daf088fe4c9a9580216e98dbb7d1fca(Malwr)
Dropper 보고서 취합본.hwp 3ec69ee7135272e5bed3ea5378ade6ee
Dropper 안보의견.hwp 33874577bf54d3c209925c9def880eb9
Dropper 제어program(최신-W2).hwp af792a34548a2038f034ea9a6ff0639a
Dropper 자료_2014.hwp 0fe2d77d52a0008a755c9842ad392fc8
Wiper wsss.dll 3BA8A6815F828DFC518A0BDBD27BBA5B (Malwr)
(5) Dropper(HWP形式ファイル)
  • 検体名
  • HWP形式の文書ソフトウェアの脆弱性を突き感染する*26
  • 2013年10月頃に確認されたマルウェアと似ていることから同一グループが継続して攻撃行っていた模様。*27
  • AhnLabによれば全て既知の脆弱性を利用したもの。最新のパッチが当たっていれば動作しない。CVEは不明。
  • シェルコードがHWPファイルのHWPTAG_PARA_TEXTに記述されている。
  • %SYSTEM%フォルダにDLLファイルを作成しサービスに登録する。
(6) Wiper&DoS (DLLファイル)
  • 機能詳細は次の通り。
    • マルウェアは破壊機能だけで遠隔操作を行ったり、情報を流出させるような機能はない。*28 *29
    • 但しDoS通信機能がある模様。*30
機能 概要
タイムボム 特定の時刻(2014年12月10日11時)以降ドライブレターAからZの全てのハードディスクを対象に破壊行為を実行する。*31
MBR破壊 MBR領域の512バイトを上書きする。*32
起動後に画面に赤い文字でWho am I ? と表示される。
ファイル破壊 特定の拡張子をチェックし、ファイルサイズを4096byteに変更した上、ゼロバイトで上書きをする。
上書きされる拡張子:hwp、doc、pdf、docx、alz、zip、rar、egg、iso、exe、dll、sys
GW DoS GatewayIPアドレスに対してに対して「Who am I?」とパケットを送信し続ける。
  • 作成されるDLLファイルは次のいずれか。
ファイル名 サービス名 サービスの説明
bddsvc.dll BitLocker Drive Decryption Service BDESVC hosts the BitLocker Drive Decryption service
iconsvc.dll Internet Connection Service Provides network address translation、addressing、name resolution and / or intrusion prevention services for a home or small office network
ehressvc.dll Media Center Service Allows Media Center to locate and connect to the computer
netstsvc.dll Network Storage Service This service delivers network notifications(e
pnas.dll Peer Networking Address Enables multi-party communication using Peer-to-Peer Connecting
pnrpmchname.dll PNRP Machine Name This service publishes a machine name using the Peer Name Resolution Protocol
pwpsvc.dll Power Policy Manages power policy and power policy notification delivery
pcssvc.dll Program Compatibility Service This service provides support for the Program Compatibility
rregconf.dll Remote Registry ConfigurationAssistant(PCA) Enables remote users to modify registry configurations on this computer
scardmngsvc.dll Smart Card Management Service Manages access to smart cards read by this computer
tcpmsvc.dll Tablet PC Management Service Enables Tablet PC pen and ink functionality
tschmng.dll Task Schedule Manager Enables a user to configure and schedule automated tasks on this computer
mmthread .dll Thread Ordering Service Provides ordered execution for a group of threads within a specific period of time
wcmngsvc.dll WebClient Manage Service Enables Windows-based programs to create、access、and modify Internet based files
coladj.dll Windows Color Adjustment The WcasPlugInService service hosts third-party Windows Color System color device model and gamut map model plug-in modules
wndmodmng.dll Windows Modules Management Enables installation、modification、and removal of Windows updates and optional components
timesyncsvc.dll Windows Time Synchronization Maintains date and time synchronization on all clients and servers in the network
wiredconfsvc.dll Wired Config Service The Wired AutoConfig(DOT3SVC)service is responsible for performing IEEE 802.1X
wlanconf.dll WLAN Config Service The WLANSVC service provides the logic required to configure、discover、connect to、and disconnect from a wireless local area network
wstmng.dll Workstation management Creates and maintains client network connections to remote server using the SMB protocol

被害詳細2. Naver Blogへの挑発・主張の投稿

被害詳細3. Dropboxへの内部情報アップロード

流出している情報の機密性レベル
  • 原発の運転や整備用の教育参考資料
  • 産業通商資源部は重要文書ではないと暫定判断。*34
  • 韓水原はこの流出によって原発が影響を受けることは全くないと判断。*35
  • 12月9日以降に確認されているマルウェアに情報を流出させる機能が無いこと、12月9日以降の情報が含まれていないこと、総じて公開されている情報が古いことからマルウェア感染による情報流出ではない可能性が高い。*36
機密情報が流出している原発施設
流出した従業員リスト
  • 1万799人分の韓水原職員情報が掲載されいてる。
  • 2009年頃に作成された文書
  • 連絡先に記載されている番号が011,017,018,019と現在使用されていない携帯電話番号が相当数含まれる。*37
  • 名前・社番・職級・入社日・退職日・電子メールアドレス・携帯電話番号が含まれる。
流出した内部情報の一覧
No 流出日 経路 ファイル名 流出内容
1 12月15日 Twitterに投稿された。 KHNP Contact.xlsx 職員の個人情報リスト
2     Nuclear Control Program Manual.hwp 原発関連のマニュアル
3     Handwritten Letter to UAE Mohammed From Korea President Park.hwp (犯行元が作ったと思われる)韓国大統領からのUAE王子宛手紙
4     Nuclear Control Room.zip 原発制御ルームの写真と思われる画像
No 流出日 経路 ファイル名 流出内容
- 12月18日 pastebin(削除済)に投稿された KHNP Contact.xlsx No1と同じファイル?
5     Kori.zip コリ原発の制御プログラム解説書
6     Wolsong.zip ウォルソン原発の制御プログラム解説書
7     K-DOSE 60 Ver. 2.1.2.jpg 減速材系統の図面
No 流出日 経路 ファイル名 流出内容
8 12月19日 pastebin(削除済)に掲載 DRAWING_KORI_1.zip 内部システム図面
9     DRAWING_R14_Reactor_Coolant_System.zip 内部システム図面
10     PROGRAM_BURN4.zip BURN4のプログラム
11     PROGRAM_MCNP5 1.6.zip MCNP5.1.6のプログラム
12     PROGRAM_NUCIRC.zip NUCIRCのプログラム
13     PROGRAM_REDAP.zip REDAPのプログラム
14     본사전화번호부.pdf 社内電話帳
15     한수원2직급.pdf 社内電話帳
16     한수원_자체비밀세부분류지침.pdf 韓水原自体の秘密詳細分類のガイドライン
No 流出日 経路 ファイル名 流出内容
17 12月21日 pastebin(削除済)に掲載 DRAWING_KORI_2.zip 古里原発1,2号機の空気循環装置運転用図面
18     DRAWING_WOLSONG_1.zip 月城原発1号機の最終安全性分析報告書目次(7枚)
19     MANUAL_MCNP5 1.6.zip 「MCNP5」の使用説明書とソフトウエアの目次
20     MANUAL_BURN4.zip 放射性物質量計算プログラムBURN4の説明資料
No 流出日 経路 ファイル名 流出内容
21 12月23日 pastebin(削除済)に掲載 DRAWING_KORI_12.zip 古里原発1,2号機の図面
22     DRAWING_WOLSONG_34.zip 月城原発3,4号機の図面
23     APWR_SIMULATOR.zip 新型型加圧水型原子炉シミュレータプログラムの画面キャプチャ
24     SPACE.zip 安全解析コード SPACE2.0の画面キャプチャ
No 流出日 経路 ファイル名 流出内容
21 3月12日 Twtkr(削除済)に掲載 1.rar 大統領通話記録動画等(25ファイル) *38

被害詳細4.Webサイト改ざんの可能性

  • 韓水原の発電量報告ページが改ざんされていたとのつぶやきがある。
  • この件を報じているメディアが無いため、詳細は不明。

被害詳細5.韓水原コミュニティへの不正アクセス

  • 韓水原従業員が使用するコミュニティサイト http://khnp.co.kr/sau/sau_1.jsp
  • 2014年12月9日以前にもかなりの不正アクセスを受けていた。
  • 2014年12月17日午後情報漏えいの報道を受けて閉鎖された。*39
  • ユーザーID、パスワードが正しければ外部からもログインできる。
  • 従業員の名簿、所属部署、連絡先等を確認することが出来る。
  • インターネット上に流出した従業員情報はここから流出した可能性が高いと報道。
  • 韓水原は情報流出が確認されたわけではなく、予防的措置での閉鎖と説明している。*40

発端

  • 2014年12月10日に韓水原内のネットワークでマルウェアによるシステム破壊が発生したことによる。

原因

  • 韓水原従業員が電子メールに添付されたHWP形式の文書ファイルを開き、マルウェアに感染した可能性がある。

対応

  • AhnLabへ検体の提供
  • ソウル中央地検に捜査を依頼
  • 緊急点検会議を開催
  • 流出情報を軽視しているBlogの閉鎖依頼
  • サイバー攻撃の対応模擬訓練を計画・実施
  • サイバーセキュリティの専門家5名の追加採用
訓練について

以下のシナリオで原発の安全性が確保されていることを確認する。

  • ホストコンピューター誤動作による制御棒制御不能
  • 主給水制御系の給水要求信号妨害
  • タービン/発電機制御システムの誤動作による出力急変
  • 疎外電力系統(スイッチヤード)制御機能不全
捜査担当
  • ソウル中央地検 個人情報犯罪政府合同捜査団
  • 団長 이정수 先端犯罪捜査第2部長

犯行元に関連する情報

(1) 犯行元の主張
  • 最初の攻撃ではHDD数個の破壊で終わったが、次は制御システムの破壊を行う。
  • 約16,500個のマルウェアを送り込んだ。
  • 要求が呑まれなければ未公開の原発関連資料10万件以上を公開すると脅迫
(2) 犯行元の要求
  • ある程度の金銭
  • 古里原発1、3号機、月城原発2号機のクリスマス以降の稼動中止
  • 古里原発2号機を外していることから原発内部の事情をよく知る人物と推定される。
  • 2015年1月〜3月まで定期点検と整備予定のため現在すでに稼動していない。*41
(3) 様々な名前・アカウント
(4) 発信元
  • 韓国内2件のIPアドレス(大邱他1つ)、日本、アメリカのIPアドレスが確認されている。
  • 盗用されたもの(ゾンビPC)であったことが判明*42
  • Naverのブログの書き込みに利用されていた。
  • 韓国内の3社のVPNサービスを使って接続していたことが確認されている。*43
  • VPN事業者3社の家宅捜索し、登録に使われた個人情報は盗用したものであること*44、接続先が中国瀋陽に集中していることが判明。*45
  • VPN事業者から割り当てられたIPアドレスの内、20〜30個は中国の瀋陽から接続されていた。
  • 15日の接続だけで中国瀋陽からは200回以上の接続が行われていた。*46 *47
  • VPN事業者へは2年以上前に登録され、2年間使用料が支払われていた。*48
  • 中国瀋陽IPアドレスは175から始まり、第3オクテッドまで一致していた。*49
(5) 北朝鮮関与の疑惑
  • 一連の行為について以下の状況から北朝鮮の関与が排除されていない。
  • 中国瀋陽北朝鮮総領事館がある
  • 手口が過去発生した3.20大乱等に似ている。
  • 北朝鮮独特の表現が声明文に用いられている。
声明文 2014年12月19日

청와대 아직도 아닌 보살...
 
한수원 악당 들아. 니들이 유출되어도 괜찮은 자료들 이라고 하는데 어디 두고 볼까?
MCNP5 1.6 와 BURN4 가 먼지도 모르는 니들과 얘기하는 우리가 참 한심하다.
매뉴얼까지 보여줘야 이해를 하려나.
http://pastebin.com/cm8mcm0v
 
이런 식으로 나오면 아직 공개 안한 자료 10여만장도 전부 세상에 공개해줄께. 제대로 한번 당해봐라.
참 원전 수출 하고 싶다며?
니들이 기밀이 아니라고 하는 주요 설계도면, 계통도면, 프로그램들 모두 가지고 싶어하는 나라들에 공개하면 책임지겠는지.
 
합수단 분들도 고생 많으신데 수사할 거면 제대로 하세요.
국민들 안전을 먼저 생각하셔야죠. 한수원 덮어줄 생각이라면 수사 중단함이 어떨가요.
한수원 악당들은 저들 살려고 책임회피만 하는 국민의 원수가 분명하네요.
 
다시 말하지만 고리 1,3호기, 월성 2호기를 크리스마스부터 가동 중단하는 조치를 취해줘야 할 거에요.
왜 위의 3 개만 중단하라고 하는지 아직 이해 못하셧죠?
고리 2호기 처럼 앞당겨 정비 한 번 하는것도 좋을 것 같네요.
자료 넘겨주는 문제는 가동 중단 후에 뉴욕이나 서울에서 면담해도 되죠. 안전은 담보해 주겠죠. 돈은 어느 정도 부담하셔야 할 거에요.
 
크리스마스에 중단되는게 안보이면 저희도 어쩔 수 없네요. 자료 전부 공개하고 2차 파괴를 실행할 수 밖에...
근데 바이러스는 다 잡앗는가요? 설마 바이러스 탐지 못한건 아니겟죠 :)
 
에너지정의행동 분들도 원전반대그룹과 함께 국민의 안전을 위한 좋은 일 더 많이 해주세요.
국민 여러분도 원전 중단과 해체를 위해 애쓰는 원전반대그룹에 더 많은 사랑과 관심 부탁 드립니다.
청와대 아닌 보살 말고 각성하세요.
 
하와이에서 원전반대그룹 회장, 미 핵.

http://twtkr.com/view.php?long_id=L1lnTv
声明文 2014年12月20日

청와대 아직도 아닌 보살...
 
한수원 악당 들아. 니들이 유출되어도 괜찮은 자료들 이라고 하는데 어디 두고 볼까?
MCNP5 1.6 와 BURN4 가 먼지도 모르는 니들과 얘기하는 우리가 참 한심하다.
매뉴얼까지 보여줘야 이해를 하려나.
http://pastebin.com/cm8mcm0v
 
이런 식으로 나오면 아직 공개 안한 자료 10여만장도 전부 세상에 공개해줄께. 제대로 한번 당해봐라.
참 원전 수출 하고 싶다며?
니들이 기밀이 아니라고 하는 주요 설계도면, 계통도면, 프로그램들 모두 가지고 싶어하는 나라들에 공개하면 책임지겠는지.
 
합수단 분들도 고생 많으신데 수사할 거면 제대로 하세요.
국민들 안전을 먼저 생각하셔야죠. 한수원 덮어줄 생각이라면 수사 중단함이 어떨가요.
한수원 악당들은 저들 살려고 책임회피만 하는 국민의 원수가 분명하네요.
 
다시 말하지만 고리 1,3호기, 월성 2호기를 크리스마스부터 가동 중단하는 조치를 취해줘야 할 거에요.
왜 위의 3 개만 중단하라고 하는지 아직 이해 못하셧죠?
고리 2호기 처럼 앞당겨 정비 한 번 하는것도 좋을 것 같네요.
자료 넘겨주는 문제는 가동 중단 후에 뉴욕이나 서울에서 면담해도 되죠. 안전은 담보해 주겠죠. 돈은 어느 정도 부담하셔야 할 거에요.
 
크리스마스에 중단되는게 안보이면 저희도 어쩔 수 없네요. 자료 전부 공개하고 2차 파괴를 실행할 수 밖에...
근데 바이러스는 다 잡앗는가요? 설마 바이러스 탐지 못한건 아니겟죠 :)
 
에너지정의행동 분들도 원전반대그룹과 함께 국민의 안전을 위한 좋은 일 더 많이 해주세요.
국민 여러분도 원전 중단과 해체를 위해 애쓰는 원전반대그룹에 더 많은 사랑과 관심 부탁 드립니다.
청와대 아닌 보살 말고 각성하세요.
 
하와이에서 원전반대그룹 회장, 미 핵.

http://twtkr.com/view.php?long_id=L1lnTv
声明文 2014年12月23日

한수원 사이버 대응훈련 아주 완벽하시네.
우리 자꾸 자극해서 어쩔려고~ ㅋㅋㅋ
원전반대그룹에 사죄하면 자료 공개도 검토해 볼게.
사죄할 의향이 있으면 국민들 위해서라도 우리가 요구한 원전들부터 세우시지?

http://pastebin.com/XATiwbdA
(https://www.dropbox.com/s/mvsr0la6yekwsqn/DRAWING_KORI_12.zip?dl=0
https://www.dropbox.com/s/uh3y1fbkpi29oiu/DRAWING_WOLSONG_34.zip?dl=0
https://www.dropbox.com/s/tdfrnfbgdj29ecy/APWR_SIMULATOR.zip?dl=0
http://www.koenergy.co.kr/news/articleView.html?idxno=67382
https://www.dropbox.com/s/zgw9dglqe3h9bc0/SPACE.zip?dl=0)
 
지금 국민들때문에 생각중이거든. 왜 국민들 대피 안 시키냐.
우리는 국민을 사랑하는 원전반대그룹이다.
국민 여러분, 원전에서 빨리 피하세요.
12월 9일을 역사에 남도록 할 것이다.

원전반대그룹 회장 미 핵

声明文 2015年3月13日

이건 해커가 올린 글
 
한수원과 합수단 분들 오래만이네요.
바이러스 7천 여개를 찾았다는 소식을 듣고 저희도 축하 드려요.
나머지 9천 여개는?
9천 여개의 바이러스들이 무슨 명령을 기다리고 있을까요.
바이러스들이 원전에서 ... 연락이 왔네요.
빨리 바이러스 찾아서 축하를 한번 더 받는 것도 좋지 않을가요.
 
크리스마스를 무난히 넘긴것은 국민들의 안전이 소중해서 인데요...
우리가 너무 조용히 있었나 보네요.
이번에는 한수원 입장도 생각해서 ... 자료를 선물로 드릴게요.
 
https://www.dropbox.com/s/xh2t17sq0ksmhoa/1.rar?dl=0
 
돈이 필요하거든요. 요구만 들어주면 되겠는데...
북유럽과 동남아, 남아메리카의 여러 나라들에서 원전자료를 사겠다고 하는데 자료를 ...
통채로 팔았다가 박대통령님 원전수출에 지장이 될까바 두렵네요.
윤 장관, 시간 좀 주겠으니 잘 생각해보세요.
대통령 보좌를 잘 하셔야 하지 않겠나요.

참 박대통령님, 이번 중동 순방에서 원전수출이 잘 되었으니 기쁘시겠어요.
자국 원전은 해킹과 바이러스에 어떻게 될지도 모르는데 열심히 원전수출 하시느라 바쁘시겠네요.
근데 박대통령님, 사우디나 UAE에서 혹시 원전사고가 발생해도 한국이 아니라서 상관없다고 하셨다는데 사실인가요?
 
말이 길어졌는데 돈이 요구되니 ... 우리도 여기서 끝낼가 해요.
몇억달러 아끼려다 더 큰 돈 날려보내지 말고 현명한 판단 하시길 바래요.
요구에 응할 용의가 있으시면 장소와 시간은 너님들이 정하세요.

작년 설날 유엔 사무총장과 전화통화도 잘 하셨네요?
좋은 자료들도 많던데요. 공개되면 어떨런지... 좋지 않을가요.
궁금하시면 nnppgroup@aol.com로 연락주세요 $$$

関連トピック1.標的型攻撃への対応訓練に関する報道

  • セヌリ党議員が公開した資料より、過去実施した訓練結果が報道されている。*50
実施元 実施時期 対象者数 開封数(開封率)
知識経済部(現産業通称資材部) 2012年5月 100人 68人(68%)
  2012年12月 400人 34人(8.5%)
  2013年8月 300人 24人(8%)
  2013年10月 200人 18人(9%)
韓水原 2014年3月26日〜4月11日 300人 32人(10.6%)

関連トピック2.韓水原職員の情報等5千件近くがPastebinに掲載

  • 2014年7月1日に4885件のID、パスワードのリストがPasitebinに投稿されていた。*51
  • 2014年12月24日まで閲覧可能であった(現在は削除済)
  • リストの中に韓水原従業員のアドレスと思われるkhnp.co.krのメールアドレス2件が含まれていた。

更新履歴

  • 2014/12/23 AM 新規作成
  • 2015/03/13 PM 続報追記
  • 2015/03/17 PM 続報追記

*1:“原電 해커, 자료 11월 이전 확보해놓고 소니 해킹 불거지자 서둘러 유포한 정황”,dongA,2014/12/27アクセス:魚拓

*2:韓国原発にサイバー攻撃、図面など機密資料が流出,朝鮮日報,2014/12/23アクセス:魚拓

*3:한수원 이메일 악성코드, 파일 삭제 기능만 담겨,kmib,2014/12/27アクセス:魚拓

*4:原発内部資料が流出 ハッキングか=韓国,朝鮮日報,2014/12/23アクセス:魚拓

*5:관심 경보발령 국가공공기관 사이버위기 관심 경보 발령

*6:韓国原発の資料またネット流出 「稼動中断を」と脅迫も,聯合ニュース,2014/12/23アクセス:魚拓

*7:サイバー危機警報1段階引き上げ 原発文書流出で=韓国,聯合ニュース,2014/12/23アクセス:魚拓

*8:원전정보 노출 사이트 접속 장애...그 배경은?,최종수정,2014/12/24アクセス:魚拓

*9:サイバー安保会議を緊急開催 原発の安全態勢点検=韓国,聯合ニュース,2014/12/25アクセス:魚拓

*10:정부·한수원, 비상대응 체제 31일까지 유지,ecobs,2014/12/27アクセス:魚拓

*11:韓国原発建設現場でガス漏れ事故、3人死亡,朝鮮日報,2014/12/28アクセス:魚拓

*12:韓国原発文書流出 北朝鮮があらためて関与否定,聯合ニュース,2014/12/28アクセス:魚拓

*13:조석 한수원 사장 "사이버 공격으로 원전운영 안 멈춰",News1,2014/12/28アクセス:魚拓

*14:북한 "원전 해킹 북한 소행설은 터무니 없는 날조",MK,2014/12/28アクセス:魚拓

*15:原発資料流出 韓国捜査団「北朝鮮ハッカー組織の犯行」,聯合ニュース,2015年3月17日アクセス:魚拓

*16:퇴직자 명의 '○○도면입니다' 악성코드 이메일 뿌려,yeongnam,2014/12/25アクセス:魚拓

*17:합수단, 이메일 폭탄 한수원 직원들에 집중,kgmaeil,2015/01/02アクセス:魚拓

*18:원전 공격 악성코드 이메일 하루새 6000통 발송,Heraldcorp,2014/12/28アクセス:魚拓

*19:원전 추가 공격 없어…"악성코드 이메일 확인",MBS,2014/12/25アクセス:魚拓

*20:한수원 이메일 계정 최소 211개 도용…"오래전부터 계획"(종합),MT,2014/12/27アクセス:魚拓

*21:<韓水原資料流出>「原発ハッカー、ゾンビPC使用…専門家集団」(1),中央日報,2014/12/23アクセス:魚拓

*22:한수원 300여종 '악성코드' 담긴 이메일 …명의 도용 당한 듯,Mediapen,2014/12/25アクセス:魚拓

*23:원전자료 유출, 한수원 퇴직자 PC에서?,ekn,2014/12/27アクセス:魚拓

*24:원전 PC 4대 감염됐는데…'폐쇄망' 문제 없나,SBS,2014/12/23アクセス:魚拓

*25:합수단, “한수원 해킹, 악성코드 자료유출 기능 없어,sisafocus,2014/12/27アクセス:魚拓

*26:한국수력원자력 해킹, 강제 파일암호화도 안했다,e중앙뉴스,2014/12/24アクセス:魚拓

*27:‘한수원 해커’ 10월에도 국내 공격 흔적,KBS,2014/12/27アクセス:魚拓

*28:“해커 해외 IP 발견… 北 개입 배제 안해”,kmib,2014/12/23アクセス:魚拓

*29:악성코드 1차 분석 완료...삭제형 악성코드 확인,YTN,2014/12/27アクセス:魚拓

*30:한수원 해커, 12월 9일 언급…악성코드 감염 의혹 짙어져,DDaily,2014/12/24アクセス:魚拓

*31:한수원 또다른 악성코드?…25일 '시한폭탄' 터질까,MoneyToday,2014/12/23アクセス:魚拓

*32:正体不明の韓国原発ハッカー、IPアドレスは韓国国内,hankyoreh,2014/12/23アクセス:魚拓

*33:原発の文書流出ツイッターに北朝鮮の表現,中央日報,2014/12/23アクセス:魚拓

*34:2日連続で原発情報流出、別の図面がネットに,朝鮮日報,2014/12/23アクセス:魚拓

*35:韓国原発にハッキング、安全性に影響なし=産業通商資源省,Reuters,2014/12/23アクセス:魚拓

*36:한수원 월성원전, 악성코드로 인한 자료 유출은 아닌 듯,ecobs,2014/12/27アクセス:魚拓

*37:"원전자료, 한수원 퇴직자 PC서 유출 가능성 크다",中央日報,2014/12/27アクセス:魚拓

*38:韓国の原発資料またネット流出 犯人は金を要求,朝鮮日報,2015年3月13日アクセス:魚拓

*39:한수원 직원명단, 직원 인터넷 커뮤니티서 유출 추정,聯合ニュース,2014/12/26アクセス:魚拓

*40:한수원 직원 정보, 커뮤니티에서 유출 추정,YTN,2014/12/26アクセス:魚拓

*41:【社説】ハッカーに対して打つ手のない韓水原,朝鮮日報,2014/12/23アクセス:魚拓

*42:"원전 해커, 좀비PC 사용 … 전문가 집단",JOINS,2014/12/23アクセス:魚拓

*43:原電 자료 유출 파문 “해커, VPN 통해 IP 위장 정황 포착”,kmib,2014/12/23アクセス:魚拓

*44:'한수원 자료유출' 중국 IP 집중…합수단 사법공조 개시,MoneyToday,2014/12/24アクセス:魚拓

*45: 검찰 "'한수원' 범인들 북한 거점 중국 선양서 접속 확인",中央日報,2014/12/24アクセス:魚拓

*46:中선양에서 집중 접속...북한 연계?,YTN,2014/12/24アクセス:魚拓

*47:원전도면 유출범 IP 中 선양에 집중…200여차례 접속(종합),聯合ニュース,2014/12/24アクセス:魚拓

*48:원전 해킹 2년 전부터 준비했나?,YTN,2014/12/24アクセス:魚拓

*49:한수원 이메일 계정 최소 211개 도용…“오래전부터 계획”,dongA,2014/12/27アクセス:魚拓

*50:<韓水原資料流出>訓練でも役職員1割がハッキングメール開く,中央日報,2014/12/27アクセス:魚拓

*51:사고 5개월 전부터 한수원 직원 ID·PW 인터넷에 나돌았다,ETNEWS,2014/12/28アクセス:魚拓