piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

韓国軍サイバー司令部(国防網)への不正アクセスについてまとめてみた

2016年9月に韓国軍のサイバー司令部が不正アクセスを受けたとして韓国紙が報じています。ここでは報道記事を中心に関連情報をまとめます。

公式発表

国防部

インシデントタイムライン

日時 出来事
2014年2月 軍事関連システムを統合しDIDCが創設。
2016年8月4日 国防部のインターネットと接続するPCがマルウェアに感染。
国防網へ不正アクセス。国防網で運用されるワクチン中継サーバーがマルウェア感染。
2016年9月23日 ワクチン中継サーバーを通じて大量にマルウェアが流布される。
2016年9月25日0時 サイバー司令部がワクチン中継サーバーをネットワークから分離。
2016年9月30日 国会国防委員会所属議員の議員室が国軍サイバー司令部からの資料を受領。
同日 国防サイバー合同調査チームを編成し調査を開始。
2016年10月1日 韓国メディアがサイバー司令部で不正アクセスが確認されたと報道。
同日 国防部がサイバー司令部がマルウェア流入し経路等を調査中、軍のインターネット網は通常動作中と説明。
2016年11月30日 合同調査チームの調査が終了。
調査終了を受け国家情報院が他省庁に同様の被害がないかを調査開始。
2016年12月5日 続報として国防網内端末もマルウェア感染が確認され、軍の機密情報が漏れた恐れがあると報道。
2016年12月6日 韓国政府報道官が国防網に接続されたPCからマルウェアが確認されたと発表。
2016年12月7日 国会情報員会は不正アクセスを受けて緊急会合を開催。*1
2016年12月8日 国防部が不正アクセスの調査結果を発表。
同日 統一部、外交部でも同様の被害が確認されていたと報道。
同日 統一部、外交部が不正アクセス報道を否定。

被害の状況

国防部のマルウェア感染の状況

国防部でマルウェア感染が確認されたPC台数は次の通り。

インターネット接続 PC 約2,500台が感染
国防網 PC 約700台が感染
戦場網 被害確認なし
合計 約3,200台
不正アクセスにより漏えいしたと報じられた情報

臨時作戦計画に係る情報 *2

  • 乙支フリーダム・ガーディアン等の大規模な米韓合同軍事演習等で使用される作戦計画資料
  • 臨時作戦計画は作戦計画の全文ではなく一部を適用して作成されたもの。
  • 軍事Ⅲ級秘密(Confidential)に分類される。
  • 作戦計画が漏えいしたも同様と軍関係者はコメントしている。
初報 国軍サイバー司令部での不正アクセス発生 (2016年10月1日以降の報道)
  • サイバー司令部で運用されているワクチン中継サーバーが不正アクセスを受けた。
  • サイバー司令部が不正アクセスを受けたのは2010年1月の部隊創設以来初めてとなる。
  • ワクチン中継サーバーに脆弱性があり、それを悪用する新種のExploitコードが確認された。
  • 機密情報の漏えいなど具体的な被害については調査中であり、明らかにできないと韓国軍関係者は取材に対し回答。
  • 国防網とは物理的に分離されているが、何らかの方法でデータが交わされることがあるため、国防網が不正アクセス等受けた可能性は完全には排除できないとサイバー司令部関係者がコメントしている。
第二報 国防網での不正アクセスが確認される (2016年12月5日以降の報道、12月8日の国防部公式発表)
  • 国防網に接続される一部端末もマルウェアに感染していた。
  • 韓民求長官のPCも不正アクセスを受けていた。但し機密情報は全くなかった。
  • 軍事機密を含む一部の軍事資料が漏えいしたことが確認された。規定上は機密情報はUSBメモリ等に保管し保存することとなっているがこれを怠っていた一部のPCが存在したため。*3
  • 不正アクセス北朝鮮によるものと推定。(詳細は後述)
  • ワクチン中継サーバーが乗っ取られていたことからセキュリティプログラムの自動更新を停止し、手作業で更新が行われている。
  • 不正アクセスを受けたのは忠清南道・鶏竜台にあるDIDC。陸海空軍の情報システムを管轄している。*4
  • DIDCには両ネットワークに接続されたファイル共有サーバー等が設置されていた。関係者はこれを最大で2年ほど把握していなかった。*5
  • 両方のネットワークに接続されたサーバーを踏み台として、イントラネットワーク内のワクチン中継サーバーも同様の手口でのっとられた。*6
  • 総合的な監査は現在進行中であり、およそ1ヶ月程度かかる見込み。
第三報 他外交安保省庁でも被害が確認、関係者は事実否定 (2016年12月8日以降の報道)
  • 統一部、外交部でも国防部が受けた不正アクセスと同様の事象が確認されていた。*7
  • イントラネットへの侵害が行われたかは現在セキュリティ部門が調査を進めている。
  • 統一部、外交部はこの事実はないとして報道を否定するコメント。*8

国防網への不正アクセスの流れ

報道情報をまとめたところ次の流れで国防網への不正アクセスが行われたとみられる。

不正アクセスを受けたワクチン中継サーバーとは
  • 陸・海・空軍の第一線部隊で使用されるインターネット接続に用いる2万台のPCを管理している。
韓国軍のネットワーク構成
  • 韓国軍はイントラネットとインターネットアクセス可能なネットワークに区分して運用されている。
  • イントラネットは国防行政用(国防網)と軍事作戦用に分かれている。今回不正アクセスが確認されたのは国防網である。
  • 国防網は主に行政業務に用いられるものであり、デリケートな情報はあまりないと関係者はコメント。
  • 軍の作戦計画等重要な軍事機密はC4Iシステム等を通じ交わされることから今回不正アクセスを受けたシステムとは関係のない領域。
  • 国防総合センターに各システムが集まっている。DIDCは2か所韓国内に存在する。
DIDCの拠点 管掌されている情報システム等
京畿道・龍仁 デジタルカメラ防衛事業庁等の情報システム
忠清南道・鶏竜台 陸・海・空軍の情報システム

発端

  • 国会国防委員会所属野党「共に民主党」 金振杓議員の事務所が国防部に対する国政監査の一環としてサイバー司令部関係者より情報提供を受けたことによる。

韓国国防部の対応

  • 国家情報院、合同参謀本部、国軍サイバー司令部等でタスクフォースを作成し調査を行った。
  • 両方のネットワークに接続していた箇所を遮断。
  • マルウェア40種のウィルス対策(ソフト?)を開発しこれを全軍へ配布。
  • 感染したPCのフォーマット等の措置を実施。
  • ワクチンソフトの脆弱性修正の措置を実施。
韓国内では北朝鮮によるものとの見方がある

次の情報からタスクフォースでは不正アクセスの主体が北朝鮮によるものとの見方が強まっていると報じられている。

  • 不正アクセスに利用されたIPアドレスが中国瀋陽からのものであった。
  • 不正アクセスに用いられた悪性なコードが北朝鮮(と韓国が判断した)がこれまで使用していたものと同様、類似であった。
  • 2013年の3.20大乱の際もセキュリティパッチを配布するサーバーが乗っ取られ、それを通じ攻撃が行われている。
  • 但しタスクフォースは具体的な物証は確保できていない。

更新履歴

  • 2016年12月8日 AM 新規作成
  • 2016年12月8日 AM タイムラインに年を追記
  • 2016年12月8日 PM 公式発表を追記,続報追記
  • 2016年12月9日 PM 続報追記