piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2016年北朝鮮核実験以降の韓国サイバー関係の情勢についてまとめてみた

2016年1月6日の北朝鮮の核実験以降、韓国内で北朝鮮によるサイバー攻撃を懸念し、体制の強化が行われています。またこの核実験に関係するかは不明ながら北朝鮮関与と韓国警察庁が推定する攻撃事例なども観測されています。ここではこれら関連情報についてまとめます。

タイムライン

日時 出来事
2016年1月6日 北朝鮮が核実験(通算6回目)を実施。
この日以降、韓国内で不審メールが多数観測。
2016年1月8日 韓国が核実験実施を受けプロパガンダ放送を再開。
韓国軍当局がINFOCONを4段階へ格上げ。
2016年1月13日 韓国金融委員会が点検会議を開催。
韓国国家情報院がHancom Officeの脆弱性に関する情報を公開。
2016年1月18日 韓国警察庁長官が不審メールの北朝鮮関与の可能性について言及。*1
2016年1月19日 韓国大統領が北朝鮮サイバー攻撃に対し、万全の警戒態勢を整えるよう指示。*2
2016年1月25日 韓国国家情報院がサイバー危機警報を関心へ引き上げ。
2016年1月27日 韓国統一省が北朝鮮によるサイバー攻撃を仕掛けた可能性があると発言。*3
2016年2月5日 韓国国家情報院がセキュリティ勧告を公開。
2016年2月7日 北朝鮮が長距離ミサイルを発射。
韓国軍当局がINFOCONを3段階へ格上げ。
2016年2月11日 韓国国家情報院がサイバー危機警報を注意に格上げ。
韓国金融委員会がサイバーテロ警報を注意に格上げ。*4
2016年2月15日 韓国警察庁長官が不審メールが北朝鮮ハッカー組織により行われたと発表。*5
2016年2月18日 国家情報院が党政協議会で北朝鮮によるサイバーテロの可能性について言及。(([http://www.yonhapnews.co.kr/politics/2016/02/18/0502000000AKR20160218054151001.HTML:title=정부 "김정은, 대남테러 역량결집 지시…정찰총국 준비중"(종합) 연합뉴스],聯合ニュース,2016年2月18日アクセス:魚拓))

韓国側 各種体制等動向

INFOCON
日時 INFOCON 理由
2016年1月8日 レベル5⇒レベル4(アルファ:リスク増加) 1月8日からのプロパガンダ再開による*6
2016年2月7日 レベル4⇒レベル3(ブラボー:特定の攻撃の危険) 北朝鮮長距離ミサイル発射に伴う。*7
  • 韓国のINFOCONは2001年4月から施行されている。
  • 2013年の3.20大乱時、INFOCONはレベル3が発令された。
  • INFOCONは段階が上がるたびに体制(国防部、軍等混成の情報戦対応チーム:CERT)が増強される。*8
WATCHCON
  • 北朝鮮側の挑発が可視化されていないとして平時状態を維持。*9
  • 2015年8月のプロパガンダ放送時は1段階格上げを実施ていた。
サイバー危機警報
日時 サイバー警報 理由
2016年1月25日 正常⇒関心 北朝鮮によるサイバー挑発に備えるため。*10
2016年2月11日 関心⇒注意 長距離ミサイル発射、および開城工業団地運営中断を受けて。

韓国金融委員会の点検会議開催

  • 金融監督院、韓国取引所などの主要金融機関担当者と市中銀行のセキュリティー責任者が出席。*11
  • 過去のサイバー攻撃の事例、対策について情報共有を実施。
  • 金融員会のコ・スンボム常任委員は金融システムへのサイバー攻撃による障害発生は国民へ不安と混乱を与えかねないと備えの必要性を強調。

核実験以降報道されている韓国内の不審メール

  • 2016年1月15日以降、韓国内へ北朝鮮によるものと推定される不審メールが確認されたと報じられた。*12
  • 2016年1月6日以降、759人宛に不審メールが送信され、内460人の職業を確認したところ404人(87.8%)が政策研究所(北朝鮮関連業務)についていた。
  • 2015年6月以降に送信され始めていた。*13
メール件数
種類 受信件数
大統領府詐称 52件
ポータル管理者詐称 714件
上2つ両方 7件
メール件名
  • 「【国家安保室】北朝鮮による4回目の核実験への対応策に向けた意見の募集」
  • 「大統領府外交安保室です」
  • 北朝鮮による4回目の核実験に関する書面の諮問要請」
「やり取り型」の不審メール
  • 政府機関、ポータル管理者を偽装し、返信を誘導する内容が記述された不審メールも確認されている。*14
  • 確認されているのは1月13日、14日頃より。*15
  • インフラ関係事業者やその協力会社などが攻撃の対象に含まれていた。*16
  • 意見募集を受信した人の内、35人が返信を行っていた。*17 但し、実被害は確認されていない。*18
詐称された組織
  • 大統領府国家安全保障室や外交安保主席室
  • 外交部政策総括担当官室
  • 統一政策室
送付元のIPアドレスドメイン
  • 北朝鮮内より、無線LANを経由して鴨緑江近くの中国遼寧省IPアドレスを使用できることが韓国警察により確認されている。
  • 無線LAN経由のIPアドレスは「175.167」(中国遼寧省)で始まり、メール送信用のアカウントが18個作成されていた。
  • この内、以前韓水原事案で使用されたアカウントと同一のものが2件確認されている。
ドメイン 提供国
mail.bg ブルガリア
mail.be ベルギー
確認されている添付ファイルの種類

次のソフトウェアになりすましたマルウェアが確認されていると報じられている。
Hancomのアップデートモジュールはゼロデイ悪用を受け、修正モジュール公開後に確認されたとの報道もある。*20

通信先のIPアドレス
  • C2サーバーより操作コードを送出する際は次の国を経由していた。
    • 韓国
    • 中国(今回、中国政府機関Webサイトでも確認された)
    • インド
マルウェア「Kimsuky」で確認されたキャンペーンコード

RSH(Kimsuky)で確認されたキャンペーンコード

確認時期 キャンペーンコード
2015年9月頃 tongil(統一の意味)
2015年末 hamburger(ハンバーガー)
Hancom Officeのゼロデイ利用による攻撃

2016年1月7日、13日に確認された不審メールにもHancomOffice製品のゼロデイの悪用が確認されている。

  • 脆弱性は任意のコード実行が可能。ヒープオーバーフローの脆弱性
  • Hancom Office 2007、2010、2014が影響を受ける。
  • 1月13日に脆弱性情報が公開され、修正モジュールも展開済み。(2月3日に修正版が再度公開された?)

その他事象

次の2件は今回の核実験に関係するものかは不明ながら同時期に報じられていた。

事例2.韓国 列車制御システム会社のWebサイト改ざん

  • 地下鉄統制システムの制御をする部品会社が不正アクセスを受けた。*22
  • 2016年1月27日に痕跡が確認された。
  • 同社のWebサイトがC2サーバーとして動作するように管理者権限が掌握されていた。
  • 不正プログラム解析結果より、2014年ソウルメトロへの不正アクセスと同グループとされる。
  • IssueMakersLabの分析記事(Facebookより)

事例3.北朝鮮プロパガンダ動画

  • 対韓国向けプロパガンダ動画が発見されている。*23
  • SBS、MBS放送局のアカウントが不正アクセスを受け、韓国大統領を攻撃する迷惑メールが観測されている。
  • 北朝鮮によるものかは確認されていない。
  • プロパガンダ動画は「SeongHo Lee」というアカウントでYoutubeにアップロードされていた。
  • 迷惑メールの件数は19,640件が確認されている。

事例4.韓国気象庁への不正アクセス

更新履歴

  • 2016年2月16日 PM 新規作成
  • 2016年2月18日 PM 続報追記

*1:ウイルスメール、北朝鮮の犯行か=過去と同じ発信地域−韓国,時事通信,2016年2月16日アクセス

*2:サイバー攻撃に万全の警戒を=強力な北朝鮮制裁目指す−韓国大統領,時事通信,2016年2月16日アクセス

*3:北朝鮮、韓国にサイバー攻撃仕掛けた可能性=韓国統一省,Reuters,2016年2月16日アクセス:魚拓

*4:금융위, 北 사이버테러 대비 경보 '주의'로 격상,아시아경제,2016年2月16日アクセス:魚拓

*5:大統領府詐称メール 北朝鮮ハッカー組織の犯行=韓国,聯合ニュース,2016年2月16日アクセス:魚拓

*6:韓国、サイバーセキュリティの警戒レベルを引き上げ,Reuters,2016年2月16日アクセス:魚拓

*7:北ミサイル:韓国、サイバーテロ警戒レベルを引き上げ,朝鮮日報,2016年2月16日アクセス:魚拓

*8:합참, 인포콘 '4단계(알파)로 격상'…북한의 대남 사이버공격 대비,The Kyunghyang Shinmun,2016年2月16日アクセス

*9:군, '인포콘' 격상·'워치콘'은 평시 상태 유지,YTN,2016年2月16日アクセス:魚拓

*10:不審メール急増に韓国警戒 北朝鮮がハッキング目的?,聯合ニュース,2016年2月16日アクセス:魚拓

*11:主要金融機関 北のサイバーテロに備え点検会議=韓国,朝鮮日報,2016年2月16日アクセス:魚拓

*12:韓国政府機関を名乗る電子メール、北のサイバーテロか,朝鮮日報,2016年2月16日アクセス:魚拓

*13:경찰청장 "청와대 사칭 이메일, 北해커조직 소행"(종합),聯合ニュース,2016年2月16日アクセス:魚拓

*14:韓経:北朝鮮によるハッキング急増…韓国政府、サイバー警報格上げ,中央日報,2016年2月16日アクセス:魚拓

*15:북한 4차 핵실험후 사이버 도발 계속 ‘그 속내는 뭘까’,MK,2016年2月16日アクセス

*16:정부, 사이버 공격 관련 범정부 총력대응태세 강화,FocusNews,2016年2月16日アクセス:魚拓

*17:경찰 “청와대 사칭 이메일, 北해커 소행”…한수원때와 IP 같아,ETNEWS,2016年2月16日アクセス:魚拓

*18:경찰청장 "逭 사칭메일 北 소행"…'한수원 해킹' 동일 계정,MT,2016年2月16日アクセス:魚拓

*19:청와대 사칭 해킹메일 주범, 한수원 해킹조직 北 ‘김수키’ 유력,Boannews,2016年2月16日アクセス:魚拓

*20:청와대 이어 한컴 오피스 보안 업데이트 사칭 해킹메일 유포,ETNEWS,2016年2月16日アクセス:魚拓

*21:2~3월 "북한 대형 사이버 공격 가능성 높아",ETNEWS,2016年2月16日アクセス:魚拓

*22:北朝鮮 韓国の地下鉄狙ったサイバーテロ計画か,朝鮮日報,2016年年2月16日アクセス:魚拓

*23:북한 제작 추정 악성프로그램 변종 발견,Boannews、2016年2月16日アクセス:魚拓

*24:"북한, 한국 기상청 정보 빼내 '미사일 도발' 날짜 결정했다",한국경제신문,2016年2月16日アクセス:魚拓