piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

韓国のソウルメトロが受けた不正アクセスをまとめてみた

2015年10月5日、韓国のソウルメトロが昨年8月以前に不正アクセスの被害を受けていたことが明らかになりました。ここでは関連情報をまとめます。

公式発表・見解

  • 取材に対してソウルメトロ広報担当者はこの攻撃事実について認めている。
ソウルメトロについて
  • 国内最大の地下鉄運行会社。
  • 韓国ソウル市内の主要4路線(1号線〜4号線)を運営。
  • 1日当たりの利用者数は420万人。

タイムライン

日時 出来事
2014年7月 ソウルメトロ内部資料が流出。
2014年7月23日 ソウルメトロがサーバーが乗っ取られていることを把握*1
ソウルメトロが国家情報院に通報し調査を依頼。
2014年9月17日以降 ソウルメトロ内の業務用端末すべてを初期化。
2015年10月4日 ソウルメトロが与党議員へ報告書を提出。
2015年10月5日 韓国与党議員がソウルメトロで発生した不正アクセス事案について報告。
2015年10月8日 北朝鮮が「わが民族同士」で不正アクセスへの関与を否定

被害状況

マルウェア等感染、及び不正アクセスの台数
種別 被害台数
ソウルメトロ職員の端末 58台がマルウェア感染
213台が何者かによる接続の痕跡あり
サーバー 2台が権限掌握(のっとられ)
2014年7月の情報漏えい
  • 業務端末3台よりソウルメトロの内部資料が漏えいしていた。*2
  • 漏えいした資料は「部署業務計画」などを含む12点。
被害を受けた端末

次の部署などで不正アクセスマルウェア感染の被害が確認されている。

  • 総合管制所(地下鉄運行をリアルタイム監視する部署)
  • 電気通信事業所(電力供給を担当する部署)
被害を受けたサーバー
  • 被害を受けたサーバーの内1台は業務用端末の管理プログラムを運用する用途で使用されていた。もう1台はウェブマガジン運営のサーバー。*3
  • ソウルメトロの全ての業務端末に対して、任意のプログラムをインストール・アップデートすることが可能。*4
接続ログ保存期間「5か月間」
  • ソウルメトロで取得されたサーバーへの接続記録の保存期間が5か月間であった。*5
  • 6か月以上前(2015年2月以前)のログが確認できず、感染時期も不明。*6 国家情報院が分析した期間は2014年3月〜8月。
  • 国家情報院はログイン記録について調査を行った。
ソウルメトロは鉄道管制システムへの影響を否定
  • 鉄道の信号制御などを行う管制システムと被害を受けた事務システムはネットワークが分離しており、今回の不正アクセスの被害は受けていないことを広報担当者が明らかにしている。*7
  • 管制システムのネットワークは外部から分離されている。*8

発端

事案発覚の経緯
  • 2014年7月23日にソウルメトロが内部資料の漏えいを確認したことによる。
事案報告の経緯
  • 韓国セヌリ党(与党)の河泰慶(ハ・テギョン)議員が10月5日に国家情報院が作成した報告書に基づき報告したことによる。*9
  • 議員は国会国土交通委員会に所属。

原因

攻撃の詳細
攻撃件数

報じられているソウルメトロへの攻撃件数は次の通り。

攻撃件数
2013年 18万4578件
2014年 37万713件
2015年(9月まで) 35万188件

対応

  • 事案把握を受けて、ソウル市統合セキュリティ管制センターと国家情報院国家サイバー安全センターに報告。
  • 緊急対処として1か月をかけソウルメトロで使用される業務用端末 4240台すべてを初期化。
  • 報告書ではセキュリティ管制システムの構築、情報セキュリティチームの設置、内外ネットワークの分離を報告。(ただし、1年以上経過した現在もセキュリティ管制チームの強化のみが行われている) *10

北朝鮮の反応

  • 2015年10月9日にわが民族同士で北朝鮮による関与を否定。*11

更新履歴

  • 2015年10月9日 PM 新規作成