2016年1月6日の北朝鮮の核実験以降、韓国内で北朝鮮によるサイバー攻撃を懸念し、体制の強化が行われています。またこの核実験に関係するかは不明ながら北朝鮮関与と韓国警察庁が推定する攻撃事例なども観測されています。ここではこれら関連情報についてまとめます。
タイムライン
日時 | 出来事 | |
---|---|---|
2016年1月6日 | 北朝鮮が核実験(通算6回目)を実施。 | |
〃 | この日以降、韓国内で不審メールが多数観測。 | |
2016年1月8日 | 韓国が核実験実施を受けプロパガンダ放送を再開。 | |
〃 | 韓国軍当局がINFOCONを4段階へ格上げ。 | |
2016年1月13日 | 韓国金融委員会が点検会議を開催。 | |
〃 | 韓国国家情報院がHancom Officeの脆弱性に関する情報を公開。 | |
2016年1月18日 | 韓国警察庁長官が不審メールの北朝鮮関与の可能性について言及。*1 | |
2016年1月19日 | 韓国大統領が北朝鮮のサイバー攻撃に対し、万全の警戒態勢を整えるよう指示。*2 | |
2016年1月25日 | 韓国国家情報院がサイバー危機警報を関心へ引き上げ。 | |
2016年1月27日 | 韓国統一省が北朝鮮によるサイバー攻撃を仕掛けた可能性があると発言。*3 | |
2016年2月5日 | 韓国国家情報院がセキュリティ勧告を公開。 | |
2016年2月7日 | 北朝鮮が長距離ミサイルを発射。 | |
〃 | 韓国軍当局がINFOCONを3段階へ格上げ。 | |
2016年2月11日 | 韓国国家情報院がサイバー危機警報を注意に格上げ。 | |
〃 | 韓国金融委員会がサイバーテロ警報を注意に格上げ。*4 | |
2016年2月15日 | 韓国警察庁長官が不審メールが北朝鮮ハッカー組織により行われたと発表。*5 | |
2016年2月18日 | 国家情報院が党政協議会で北朝鮮によるサイバーテロの可能性について言及。(([http://www.yonhapnews.co.kr/politics/2016/02/18/0502000000AKR20160218054151001.HTML:title=정부 "김정은, 대남테러 역량결집 지시…정찰총국 준비중"(종합) | 연합뉴스],聯合ニュース,2016年2月18日アクセス:魚拓)) |
韓国 公式発表
未来創造科学部
- 2016年1月25日 [PDF] 정부 사이버 공격 대응 범정부 총력대응태세 강화
国家情報院
- 2016年1月8日 국가공공기관 사이버위협 '관심' 경보 발령
- 2016年1月13日 '한글' 취약점 보안업데이트 권고
- 2016年2月5日 '한글' 취약점 보안업데이트 권고
- 2016年2月11日 국가공공기관 사이버위기 '주의' 경보 상향발령
KrCERT
韓国側 各種体制等動向
韓国金融委員会の点検会議開催
核実験以降報道されている韓国内の不審メール
- 2016年1月15日以降、韓国内へ北朝鮮によるものと推定される不審メールが確認されたと報じられた。*12
- 2016年1月6日以降、759人宛に不審メールが送信され、内460人の職業を確認したところ404人(87.8%)が政策研究所(北朝鮮関連業務)についていた。
- 2015年6月以降に送信され始めていた。*13
メール件数
種類 | 受信件数 |
---|---|
大統領府詐称 | 52件 |
ポータル管理者詐称 | 714件 |
上2つ両方 | 7件 |
「やり取り型」の不審メール
詐称された組織
- 大統領府国家安全保障室や外交安保主席室
- 外交部政策総括担当官室
- 統一政策室
送付元のIPアドレスやドメイン
- 2014年に韓国水力原発で発生した不正アクセス事案に使用されたIPアドレスと同様に中国遼寧省内であった。
- 2016年1月13日に確認された不審メールのFROMアドレスは「daum.net」。これは2013年12月10日の韓水原事案と同一。*19
- daum.netはカカオ社のポータルサイトで使用されているドメイン。
- 北朝鮮内より、無線LANを経由して鴨緑江近くの中国遼寧省のIPアドレスを使用できることが韓国警察により確認されている。
- 無線LAN経由のIPアドレスは「175.167」(中国遼寧省)で始まり、メール送信用のアカウントが18個作成されていた。
- この内、以前韓水原事案で使用されたアカウントと同一のものが2件確認されている。
- mail.bg、mail.beなどが送信元?ドメインとして使用されている。(IssueMakersLabのFB)
ドメイン | 提供国 |
---|---|
mail.bg | ブルガリア |
mail.be | ベルギー |
確認されている添付ファイルの種類
次のソフトウェアになりすましたマルウェアが確認されていると報じられている。
Hancomのアップデートモジュールはゼロデイ悪用を受け、修正モジュール公開後に確認されたとの報道もある。*20
通信先のIPアドレス
- C2サーバーより操作コードを送出する際は次の国を経由していた。
- 韓国
- 中国(今回、中国政府機関Webサイトでも確認された)
- インド
その他事象
次の2件は今回の核実験に関係するものかは不明ながら同時期に報じられていた。
事例2.韓国 列車制御システム会社のWebサイト改ざん
- 地下鉄統制システムの制御をする部品会社が不正アクセスを受けた。*22
- 2016年1月27日に痕跡が確認された。
- 同社のWebサイトがC2サーバーとして動作するように管理者権限が掌握されていた。
- 不正プログラム解析結果より、2014年ソウルメトロへの不正アクセスと同グループとされる。
- IssueMakersLabの分析記事(Facebookより)
更新履歴
- 2016年2月16日 PM 新規作成
- 2016年2月18日 PM 続報追記
*1:ウイルスメール、北朝鮮の犯行か=過去と同じ発信地域−韓国,時事通信,2016年2月16日アクセス
*2:サイバー攻撃に万全の警戒を=強力な北朝鮮制裁目指す−韓国大統領,時事通信,2016年2月16日アクセス
*3:北朝鮮、韓国にサイバー攻撃仕掛けた可能性=韓国統一省,Reuters,2016年2月16日アクセス:魚拓
*4:금융위, 北 사이버테러 대비 경보 '주의'로 격상,아시아경제,2016年2月16日アクセス:魚拓
*5:大統領府詐称メール 北朝鮮ハッカー組織の犯行=韓国,聯合ニュース,2016年2月16日アクセス:魚拓
*6:韓国、サイバーセキュリティの警戒レベルを引き上げ,Reuters,2016年2月16日アクセス:魚拓
*7:北ミサイル:韓国、サイバーテロ警戒レベルを引き上げ,朝鮮日報,2016年2月16日アクセス:魚拓
*8:합참, 인포콘 '4단계(알파)로 격상'…북한의 대남 사이버공격 대비,The Kyunghyang Shinmun,2016年2月16日アクセス
*9:군, '인포콘' 격상·'워치콘'은 평시 상태 유지,YTN,2016年2月16日アクセス:魚拓
*10:不審メール急増に韓国警戒 北朝鮮がハッキング目的?,聯合ニュース,2016年2月16日アクセス:魚拓
*11:主要金融機関 北のサイバーテロに備え点検会議=韓国,朝鮮日報,2016年2月16日アクセス:魚拓
*12:韓国政府機関を名乗る電子メール、北のサイバーテロか,朝鮮日報,2016年2月16日アクセス:魚拓
*13:경찰청장 "청와대 사칭 이메일, 北해커조직 소행"(종합),聯合ニュース,2016年2月16日アクセス:魚拓
*14:韓経:北朝鮮によるハッキング急増…韓国政府、サイバー警報格上げ,中央日報,2016年2月16日アクセス:魚拓
*15:북한 4차 핵실험후 사이버 도발 계속 ‘그 속내는 뭘까’,MK,2016年2月16日アクセス
*16:정부, 사이버 공격 관련 범정부 총력대응태세 강화,FocusNews,2016年2月16日アクセス:魚拓
*17:경찰 “청와대 사칭 이메일, 北해커 소행”…한수원때와 IP 같아,ETNEWS,2016年2月16日アクセス:魚拓
*18:경찰청장 "逭 사칭메일 北 소행"…'한수원 해킹' 동일 계정,MT,2016年2月16日アクセス:魚拓
*19:청와대 사칭 해킹메일 주범, 한수원 해킹조직 北 ‘김수키’ 유력,Boannews,2016年2月16日アクセス:魚拓
*20:청와대 이어 한컴 오피스 보안 업데이트 사칭 해킹메일 유포,ETNEWS,2016年2月16日アクセス:魚拓
*21:2~3월 "북한 대형 사이버 공격 가능성 높아",ETNEWS,2016年2月16日アクセス:魚拓
*22:北朝鮮 韓国の地下鉄狙ったサイバーテロ計画か,朝鮮日報,2016年年2月16日アクセス:魚拓
*23:북한 제작 추정 악성프로그램 변종 발견,Boannews、2016年2月16日アクセス:魚拓
*24:"북한, 한국 기상청 정보 빼내 '미사일 도발' 날짜 결정했다",한국경제신문,2016年2月16日アクセス:魚拓