韓国の防衛産業企業、北朝鮮のハッキングに遭う
警察の調査まで被害に気づかず
金正恩の指示によるものと推定
今週23日、韓国・警察庁の国家捜査本部保安捜査課は、国家サイバー危機管理団と連携して調査を開始した結果、北朝鮮のハッキング組織であるラザルス・アンダリエル・キムスキーが、1年6ヶ月前から韓国の防衛技術を盗むことを目指して共同でサイバー攻撃を行っていたことが確認されたと発表した。
警察は、北朝鮮のハッキングの流れを確認する過程で確認された情報と関連機関間のサイバー脅威情報の共有を基に、韓国の防衛産業企業10数社がハッキングの被害を受けたと伝えた。
さらに、ハッキングに使用されたIPアドレスやマルウェアを使うことでソフトウェアの脆弱性を集中的に悪用し、中継サーバーを構築する方法などを証拠に、北朝鮮のハッキング攻撃であると判断した。
韓国の軍需産業企業83社のうち、一部の被害事例では、中国の瀋陽近郊から特定のIP記録が確認され、これは2014年に韓国の原発運営会社「韓国水力原子力」が攻撃された時に使用されたIPと同じものであることが確認された。
北朝鮮のハッキング組織は主に直接的な攻撃で防衛産業企業をハッキングしたが、比較的セキュリティが弱い防衛産業協力企業から段階的に接近したことも明らかになった。
北朝鮮の手口は、協力企業をハッキングして防衛産業企業のサーバーやアカウント情報を盗み、その後、サーバーに無断で侵入してマルウェアを拡散し、情報を奪った。
警察によると、北朝鮮のハッキング組織ラザルスは、2022年11月から防衛産業企業A社の外部ネットワークサーバーに接続し、マルウェアに感染させた後、テスト目的で開放されていたネットワーク連携システムのポートを利用して社内ネットワークにまで侵入し、支配した。
その後、開発チームの社員のコンピューターや内部ネットワークのコンピューター6台から重要な機密データなどを収集し、海外のクラウドサーバーに移動した。
攻撃を受けた企業のほとんどは、警察の調査まで被害に気づかなかったため、防衛産業企業のセキュリティ管理が全体的に甘いのではないかとの指摘が出ている。
アンダリエルの場合、2022年10月頃に防衛協力企業B社などを遠隔でメンテナンスするC社のアカウント情報を調査した後、B社などのサーバーに悪性コードを投入し、防衛技術資料を盗んだ。
アンダリエルはC社の社員の個人ビジネスメールアカウント情報を把握した後、社内メールにアクセスし、キムスキーは2023年4月〜7月に防衛協力企業D社のサーバーから、メールにログインすることなく外部から送受信した大量のファイルをダウンロードできる脆弱性を悪用する手口を使った。
警察は、この調査で長期間にわたるハッキング攻撃があったことを確認したが、具体的な被害規模や犯行期間の把握は困難な状況だと伝えている。
警察は、北朝鮮が韓国の防衛技術を盗むという共通の目的を通じて、複数のハッキング組織を利用して総力戦で攻撃を行ったと説明した。その背後には、北朝鮮の金正恩国務委員長の具体的な指示があったと推定される。
一方、防衛産業企業のハッキングに関連して、北朝鮮とのコミュニケーションを取った疑いで調査される国民や、情報セキュリティ対策を怠った責任を問うなどの調査は行われていないことが明らかになった。
国家捜査本部は、調査とともに、今年1〜2月に防衛調達庁や国家情報院などと防衛産業企業を対象に合同チェックを行い、予防措置を講じた。