2013年3月20日、韓国の放送局3組織、銀行3組織、併せて6つの組織のコンピュータシステムが、サイバー攻撃が疑われる事態の中で同時に使えなくなり、銀行ATMやモバイル決済が影響を受けた [1]。 韓国においては「3·20電算大乱」と呼ばれている。 本稿においては「2013年韓国サイバー攻撃」と呼ぶことにする。

コンピュータシステムに被害が生じた組織は、韓国放送公社(KBS)文化放送(MBC)YTN農協新韓銀行、済州銀行であった。

大韓民国放送通信委員会(KCC)は、サイバー攻撃についての警報レベルを5段階あるうちのレベル4(関心)からレベル3(注意)に引き上げた。2009年にあった同様の事態については北朝鮮の関与が疑われたので、今回の攻撃についても疑われた。当初、韓国の当局は、農協の事例について中華人民共和国のIPアドレスと結びつけたため、北朝鮮による攻撃の疑いが高まった。 インテリジェンスの専門家の間では「北朝鮮は、そのサイバー攻撃を隠すために恒常的に中華人民共和国のIPアドレスを使っている」と信じられているからである [2]。 しかし、その発信元IPアドレスは農協内のプライベートIPアドレスとして割り当てられていたものであることが判明した [3]

その後も「2013年韓国サイバー攻撃」への北朝鮮の関与は疑われ続けている[4][5]

原因分析

「2013年韓国サイバー攻撃」において使われたマルウェアは、「DarkSeoul」などと呼ばれており、2012年に識別されたものである。 (別名:Trojan.Jokra [6]、Mal/EncPk-ACE、Win-Trojan/Agent.24576.JPF [7] 等)

このマルウェアは、韓国製のウイルス対策ソフトウェア(ハウリとアンラボ)を無力化する機能を備えている。

また、このマルウェアは、2013年3月20日午後2時になると、システムを破壊するように設計されていた。 具体的には、Windows PCのハードディスクのMBR(Master Boot Record)などの領域を破壊して強制的に再起動させたので、OSが起動しない状態となった。

KISA(Korea Internet Security Agency)は、「パッチ管理システム(PMS)経由でマルウェアが配布された」と分析した [8]

脚注

[ヘルプ]
  1. ^ 浅川 直輝 (2013年4月4日). “韓国激震、サイバー攻撃が同時多発 パッチ管理システムを突かれる”. ITpro. 2015年7月14日閲覧。
  2. ^ “China IP address link to South Korea cyber-attack”. BBC News. (2013年3月21日). http://www.bbc.com/news/world-asia-21873017 2015年7月14日閲覧。 
  3. ^ 高橋 睦美 (2013年3月22日). “韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス”. @IT. http://www.atmarkit.co.jp/ait/articles/1303/22/news098.html 2015年7月14日閲覧。 
  4. ^ “大規模サイバー攻撃に北朝鮮関与、「証拠ある」韓国当局”. CNN. (2015年4月23日). http://www.cnn.co.jp/tech/35063613.html 2015年7月14日閲覧。 
  5. ^ “北朝鮮「サイバー部隊」の攻撃力 韓国専門家が分析”. 日本経済新聞. (2015年4月25日). http://www.nikkei.com/article/DGXNASFK2401Z_U3A420C1000001/ 2015年7月16日閲覧。 
  6. ^ Trojan.Jokra”. Symantec (2013年3月30日). 2015年7月15日閲覧。
  7. ^ ウイルスデータベース Win-Trojan/Agent.24576.JPF”. アンラボ (2013年3月20日). 2015年7月15日閲覧。
  8. ^ 「3万2000台が被害」 韓国サイバー攻撃の全貌”. 日本経済新聞 (2013年3月22日). 2015年7月24日閲覧。

参考文献

  • 伊東 寛 『サイバー・インテリジェンス』 祥伝社、2015年、51頁。ISBN 4396114346
  • 山崎 文明 『情報立国・日本の戦争』 角川新書、2015年、46頁。ISBN 404102546X