2016-12-07
韓国軍サイバー司令部(国防網)への不正アクセスについてまとめてみた
インシデントまとめ | |
2016年9月に韓国軍のサイバー司令部が不正アクセスを受けたとして韓国紙が報じています。ここでは報道記事を中心に関連情報をまとめます。
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2014年2月 | 軍事関連システムを統合しDIDCが創設。 |
| 8月4日 | インターネットと接続するPCがマルウェアに感染。 |
| : | 国防網へ不正アクセス。国防網で運用されるワクチン中継サーバーがマルウェア感染。 |
| 9月23日 | ワクチン中継サーバーを通じて大量にマルウェアが流布される。 |
| 9月25日0時 | サイバー司令部がワクチン中継サーバーをネットワークから分離。 |
| 9月30日 | 国会国防委員会所属議員の議員室が国軍サイバー司令部からの資料を受領。 |
| 10月1日 | 韓国メディアがサイバー司令部で不正アクセスが確認されたと報道。 |
| 同日 | 国防部がサイバー司令部がマルウェアが流入し経路等を調査中、軍のインターネット網は通常動作中と説明。 |
| 12月5日 | 続報として国防網内端末もマルウェア感染が確認され、軍の機密情報が漏れた恐れがあると報道。 |
| 12月6日 | 韓国政府報道官が国防網に接続されたPCからマルウェアが確認されたと発表。 |
被害の状況
| インターネット接続のPC | 2,500台 |
|---|---|
| イントラネット接続のPC | 700台 |
- 一部の端末には機密情報が保存されておりこれが漏えいした可能性があると調査中。(1か月ほどかかる見込み)
初報(10月1日以降の報道)
- サイバー司令部で運用されているワクチン中継サーバーが不正アクセスを受けた。
- サイバー司令部が不正アクセスを受けたのは2010年1月の部隊創設以来初めてとなる。
- ワクチン中継サーバーに脆弱性があり、それを悪用する新種のExploitコードが確認された。
- 事案覚知後、ワクチン中継サーバーはネットワークより分離され、手動でセキュリティ更新プログラムが適用されている。
- 機密情報の漏えいなど具体的な被害については調査中であり、明らかにできないと韓国軍関係者は取材に対し回答。
- 国防網とは物理的に分離されているが、何らかの方法でデータが交わされることがあるため、国防網が不正アクセス等受けた可能性は完全には排除できないとサイバー司令部関係者がコメントしている。
第二報(12月5日以降の報道)
- 国防網に接続される一部端末でもマルウェアに感染していた。
- 韓民求長官のPCも不正アクセスを受けていた。但し機密情報は全くなかった。
- 軍事機密を含む一部の軍事資料が漏えいしたことが確認されている。規定上は機密情報はUSBメモリ等に保管し保存することとなっているがこれを怠っていた一部のPCが存在したため。
- ワクチン中継サーバーが乗っ取られていたことからセキュリティプログラムの自動更新を停止し、手作業で更新が行われている。
- 不正アクセスを受けたのは忠清南道・鶏竜台にあるDIDC。陸海空軍の情報システムを管轄している。
- DIDCには両ネットワークに接続されたファイル共有サーバー等が設置されていた。関係者はこれを最大で2年ほど把握していなかった。
国防網への不正アクセスの流れ
不正アクセスを受けたワクチン中継サーバーとは
韓国軍のネットワーク構成
- 韓国軍はイントラネットとインターネットアクセス可能なネットワークに区分して運用されている。
- イントラネットは国防行政用(国防網)と軍事作戦用に分かれている。今回不正アクセスが確認されたのは国防網である。
- 国防網は主に行政業務に用いられるものであり、デリケートな情報はあまりないと関係者はコメント。
- 軍の作戦計画等重要な軍事機密はC4Iシステム等を通じ交わされることから今回不正アクセスを受けたシステムとは関係のない領域。
- 国防総合センターに各システムが集まっている。DIDCは2か所韓国内に存在する。
発端
原因
韓国国防部の対応
韓国内では北朝鮮によるものとの見方がある
次の情報からタスクフォースでは不正アクセスの主体が北朝鮮によるものとの見方が強まっていると報じられている。
- 不正アクセスに利用されたIPアドレスが中国瀋陽からのものであった。
- 不正アクセスに用いられた悪性なコードが北朝鮮(と韓国が判断した)がこれまで使用していたものと同様、類似であった。
- 2013年の3.20大乱の際もセキュリティパッチを配布するサーバーが乗っ取られ、それを通じ攻撃が行われている。
- 但しタスクフォースは具体的な物証は確保できていない。
更新履歴
- 2016年12月8日 AM 新規作成