昨年発生した高麗(コリョ)大学・情報保護大学院の電子メールアカウントに対するハッキング攻撃の動きは、台湾にサーバーを置いている北朝鮮アカウントから始まったことが明らかになった。これまで北朝鮮による攻撃と推定したことが、初めて事実として確認されたものだ。
高麗大学の関係者は16日、「国防部と国家情報院(国情院)が事前に把握していた海外の北朝鮮アカウントのうちの一ヵ所から問題の電子メールが最初に送信されたことを突き止めた」とし「事件発生直後に懸念されていた通り、北朝鮮が情報を盗むためにハッキングを試みたという結論を下した」と明らかにした。
同大学情報保護大学院は昨年11月、大学院の内部メールアカウント(cist.korea.ac.kr)を利用し、悪性コードが入ったメールが50人の卒業生に送られたことを確認し、国情院と国防部と連携して合同調査を行った。発信元を追跡した結果、問題のメールは、北朝鮮が日ごろ利用していた台湾のサーバーから送られたものであることを確認した。
北朝鮮は、中国、台湾、香港、ロシアなどの国に数百のサーバーを占領しており、主に北朝鮮人民武力部傘下の偵察総局のハッキング部隊員たちが追跡を困難にするため、これらのサーバーを何度も経由する手口でハッキングを試みてきた。
とくに、今回のハッキングの試みは、昨年5月、陸軍士官学校同期生たちに大量のハッキングメールを送った組織と同じ組織であることが明らかになった。昨年5月、陸軍士官学校卒の将校60人に悪性コードが入ったメールが大量に送られた事件が発生。国防部は、発信元を追跡した結果、「昨年の3・4DDoS攻撃のとき、北朝鮮が使った中国所在のIPと一致した」と明らかにしている。
同大学院の関係者は、「相対的に古いバージョンの『ハングル2002』を使って悪性コードが作成されたこと、ダウムのhanmailアカウントを使ってメールが送られたことなどから、同じ組織による攻撃と見られる」と話した。
問題の悪性コードは、PCを感染させ、ユーザーがメールでやり取りした資料を盗むことができるが、幸いに、当時メールを受信した卒業生たちは、全員ファイルを開かなかった上、悪性コード自体も欠陥があるものでまともに作動しなかったため、感染による2次被害はなかった。
当時、メールの悪性コードを分析した同大学院の関係者は、「悪性コードがハングル2002バージョンで作成され、互換に問題があった。北朝鮮のハッカーたちは、韓国政府機関がハングル2002バージョンを広く使っていることを知って、わざと同ソフトを使って悪性コードを作成したものとみられる」と話した。
大学側は、独立的に運用していた大学院のメールサーバーを閉鎖し、相対的にファイアウォールやセキュリティーの管理が充実している大学のアカウントに統合した状態だ。不正侵入事件後、サーバーのモニタリングを強化し、内部関係者に対するセキュリティ教育を増やした。
セキュリティ業界の関係者は、「最近、北朝鮮のハッカー部隊が作成した方式の悪性コードサンプルが国内で相次いで発見されている。北朝鮮の組織的なハッキングに太刀打ちできるサイバー攻撃や防御手段の確保が急がれている」と指摘した。
jhk85@donga.com