ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-02-15

2016年北朝鮮核実験以降の韓国サイバー関係の情勢についてまとめてみた

| 02:13 |  2016年北朝鮮核実験以降の韓国サイバー関係の情勢についてまとめてみたを含むブックマーク

2016年1月6日の北朝鮮核実験以降、韓国内で北朝鮮によるサイバー攻撃を懸念し、体制の強化が行われています。またこの核実験に関係するかは不明ながら北朝鮮関与と韓国警察庁が推定する攻撃事例なども観測されています。ここではこれら関連情報についてまとめます。

タイムライン

日時出来事
2016年1月6日北朝鮮核実験(通算6回目)を実施。
この日以降、韓国内で不審メールが多数観測。
2016年1月8日韓国核実験実施を受けプロパガンダ放送を再開。
韓国軍当局がINFOCONを4段階へ格上げ。
2016年1月13日韓国金融委員会点検会議を開催。
韓国国家情報院がHancom Officeの脆弱性に関する情報を公開。
2016年1月18日韓国警察庁長官が不審メールの北朝鮮関与の可能性について言及。*1
2016年1月19日韓国大統領北朝鮮サイバー攻撃に対し、万全の警戒態勢を整えるよう指示。*2
2016年1月25日韓国国家情報院サイバー危機警報を関心へ引き上げ。
2016年1月27日韓国統一省が北朝鮮によるサイバー攻撃を仕掛けた可能性があると発言。*3
2016年2月5日韓国国家情報院セキュリティ勧告を公開。
2016年2月7日北朝鮮が長距離ミサイルを発射。
韓国軍当局がINFOCONを3段階へ格上げ。
2016年2月11日韓国国家情報院サイバー危機警報を注意に格上げ。
韓国金融委員会サイバーテロ警報を注意に格上げ。*4
2016年2月15日韓国警察庁長官が不審メールが北朝鮮ハッカー組織により行われたと発表。*5
2016年2月18日国家情報院が党政協議会で北朝鮮によるサイバーテロの可能性について言及。*6

韓国 公式発表

未来創造科学部
国家情報院
KrCERT

韓国側 各種体制等動向

INFOCON
日時INFOCON理由
2016年1月8日レベル5⇒レベル4(アルファリスク増加)1月8日からのプロパガンダ再開による*7
2016年2月7日レベル4⇒レベル3(ブラボー:特定の攻撃の危険)北朝鮮距離ミサイル発射に伴う。*8
  • 韓国のINFOCONは2001年4月から施行されている。
  • 2013年の3.20大乱時、INFOCONはレベル3が発令された。
  • INFOCONは段階が上がるたびに体制(国防部、軍等混成の情報戦対応チーム:CERT)が増強される。*9
WATCHCON
サイバー危機警報
日時サイバー警報理由
2016年1月25日正常⇒関心北朝鮮によるサイバー挑発に備えるため。*11
2016年2月11日関心⇒注意距離ミサイル発射、および開城工業団地運営中断を受けて。

韓国金融委員会点検会議開催

核実験以降報道されている韓国内の不審メール

  • 2016年1月15日以降、韓国内へ北朝鮮によるものと推定される不審メールが確認されたと報じられた。*13
  • 2016年1月6日以降、759人宛に不審メールが送信され、内460人の職業を確認したところ404人(87.8%)が政策研究所(北朝鮮関連業務)についていた。
  • 2015年6月以降に送信され始めていた。*14
メール件数
種類受信件数
大統領府詐称52件
ポータル管理者詐称714件
上2つ両方7件
メール件名
「やり取り型」の不審メール
  • 政府機関、ポータル管理者を偽装し、返信を誘導する内容が記述された不審メールも確認されている。*15
  • 確認されているのは1月13日、14日頃より。*16
  • インフラ関係事業者やその協力会社などが攻撃の対象に含まれていた。*17
  • 意見募集を受信した人の内、35人が返信を行っていた。*18 但し、実被害は確認されていない。*19
詐称された組織
送付元のIPアドレスドメイン
ドメイン提供国
mail.bgブルガリア
mail.beベルギー
確認されている添付ファイルの種類

次のソフトウェアになりすましたマルウェアが確認されていると報じられている。

Hancomのアップデートモジュールはゼロデイ悪用を受け、修正モジュール公開後に確認されたとの報道もある。*21

通信先のIPアドレス
マルウェア「Kimsuky」で確認されたキャンペーンコード

RSH(Kimsuky)で確認されたキャンペーンコード

確認時期キャンペーンコード
2015年9月頃tongil(統一の意味)
2015年hamburger(ハンバーガー)
Hancom Officeのゼロデイ利用による攻撃

2016年1月7日、13日に確認された不審メールにもHancomOffice製品のゼロデイの悪用が確認されている。

その他事象

次の2件は今回の核実験に関係するものかは不明ながら同時期に報じられていた。

事例1.韓国 Samsungを狙ったマルウェア

解析情報

事例2.韓国 列車制御システム会社のWebサイト改ざん

事例3.北朝鮮プロパガンダ動画

事例4.韓国気象庁への不正アクセス

更新履歴

*1ウイルスメール、北朝鮮の犯行か=過去と同じ発信地域−韓国,時事通信,2016年2月16日アクセス

*2サイバー攻撃に万全の警戒を=強力な北朝鮮制裁目指す−韓国大統領,時事通信,2016年2月16日アクセス

*3北朝鮮、韓国にサイバー攻撃仕掛けた可能性=韓国統一省,Reuters,2016年2月16日アクセス:魚拓

*4금융위, 北 사이버테러 대비 경보 '주의'로 격상,아시아경제,2016年2月16日アクセス:魚拓

*5大統領府詐称メール 北朝鮮ハッカー組織の犯行=韓国,聯合ニュース,2016年2月16日アクセス:魚拓

*6정부 "김정은, 대남테러 역량결집 지시…정찰총국 준비중"(종합) | 연합뉴스,聯合ニュース,2016年2月18日アクセス:魚拓

*7韓国、サイバーセキュリティの警戒レベルを引き上げ,Reuters,2016年2月16日アクセス:魚拓

*8北ミサイル:韓国、サイバーテロ警戒レベルを引き上げ,朝鮮日報,2016年2月16日アクセス:魚拓

*9합참, 인포콘 '4단계(알파)로 격상'…북한의 대남 사이버공격 대비,The Kyunghyang Shinmun,2016年2月16日アクセス

*10군, '인포콘' 격상·'워치콘'은 평시 상태 유지,YTN,2016年2月16日アクセス:魚拓

*11不審メール急増に韓国警戒 北朝鮮がハッキング目的?,聯合ニュース,2016年2月16日アクセス:魚拓

*12主要金融機関 北のサイバーテロに備え点検会議=韓国,朝鮮日報,2016年2月16日アクセス:魚拓

*13韓国政府機関を名乗る電子メール、北のサイバーテロか,朝鮮日報,2016年2月16日アクセス:魚拓

*14경찰청장 "청와대 사칭 이메일, 北해커조직 소행"(종합),聯合ニュース,2016年2月16日アクセス:魚拓

*15韓経:北朝鮮によるハッキング急増…韓国政府、サイバー警報格上げ,中央日報,2016年2月16日アクセス:魚拓

*16북한 4차 핵실험후 사이버 도발 계속 ‘그 속내는 뭘까’,MK,2016年2月16日アクセス

*17정부, 사이버 공격 관련 범정부 총력대응태세 강화,FocusNews,2016年2月16日アクセス:魚拓

*18경찰 “청와대 사칭 이메일, 北해커 소행”…한수원때와 IP 같아,ETNEWS,2016年2月16日アクセス:魚拓

*19경찰청장 "逭 사칭메일 北 소행"…'한수원 해킹' 동일 계정,MT,2016年2月16日アクセス:魚拓

*20청와대 사칭 해킹메일 주범, 한수원 해킹조직 北 ‘김수키’ 유력,Boannews,2016年2月16日アクセス:魚拓

*21청와대 이어 한컴 오피스 보안 업데이트 사칭 해킹메일 유포,ETNEWS,2016年2月16日アクセス:魚拓

*222~3월 "북한 대형 사이버 공격 가능성 높아",ETNEWS,2016年2月16日アクセス:魚拓

*23北朝鮮 韓国の地下鉄狙ったサイバーテロ計画か,朝鮮日報,2016年年2月16日アクセス:魚拓

*24북한 제작 추정 악성프로그램 변종 발견,Boannews、2016年2月16日アクセス:魚拓

*25"북한, 한국 기상청 정보 빼내 '미사일 도발' 날짜 결정했다",한국경제신문,2016年2月16日アクセス:魚拓