今年の3月20日、韓国の放送局や銀行で一斉にコンピュータシステムがダウンするという大規模なサイバー攻撃があったことは記憶に新しい。国家規模で混乱が発生し、放送局では、業務復旧までに約9日を要している。韓国では、発生した日にちなんで、これを「韓国320サイバーテロ」と呼んでいるという。

セキュアソフトセキュアソフト CERT(SniperCert)所長 ソン・ドンシク氏

セキュアソフト CERT(SniperCert)所長 ソン・ドンシク氏は5月24日、同社が都内のホテルで開催した「SecureSoft SECURITY FAIR 2013」の中で、「知られざる事実!最新韓国サイバー攻撃の最前線レポート」と題して、このサイバーテロの詳細な分析結果を説明したので、ここでレポートする。

SniperCertは、ワールドワイドに広がるコンピュータの脆弱性を分析し、セキュアソフトの製品(Sniper製品)に対して、シグネチャを提供する専門CERT(Computer Emergency Response Team)だ。

「韓国320サイバーテロ」では、韓国政府とともに分析・解決に協力したほか、発生から2時間以内に対応シグネチャをリリースし、24時間以内に総合分析結果の報告書を提出した。

このサイバーテロでは、農協のATM 1万6,000台が停止したほか、新韓銀行では支店での取引やインターネットバンキングが停止、済州銀行では業務用PCが動作不能になる被害が出た。一方放送局では、KBSテレビ、MBCテレビ、YTNテレビの3社が報道情報システムのダウン、社内ネットワークのシステムダウン、リアルタイムニュースの配信遅延が発生するなど大きな影響を受け、被害額は農協だけでも数十億円になるという。

「韓国320サイバーテロ」の影響

攻撃は北朝鮮によるものと推測

SniperCertでは、このテロを北朝鮮偵察総局のAPT攻撃によるものだと推測している。ソン・ドンシク氏は、その根拠として3つの要因を挙げている。

1つ目は、分析データの中に北朝鮮偵察総局のIPアドレスが含まれていたこと。2つ目は、攻撃に使われた76種類の悪性コードが、過去に北朝鮮が利用した悪性コードに類似していたこと。そして3つ目が、今回の攻撃で利用されたプロキシサーバのIPアドレスが、過去に北朝鮮が攻撃で利用したIPアドレスと同じであったことの3点だ。

APT(Advanced Persistent Threat:持続的標的型攻撃)とは、特定の組織に対して、巧妙な手法を使って継続的に行われる攻撃のこと。周辺情報の収集から始め、攻撃目標のさまざまなコンピュータシステムの脆弱性を使って、機密情報を盗み出す。

APT攻撃の概要