韓国サイバー攻撃、韓国政府「中国のIPアドレス!犯人は北朝鮮だ」→※実は韓国内のIPアドレスでした

韓国の銀行などの金融機関やテレビ局のPCに不正プログラムが送り込まれて起動できなくなるサイバー攻撃を受けた問題で、韓国政府の対策本部は22日、これまで不正プログラムが中国のIPアドレスから送られていたという発表を取消し、韓国の農協内部のPCから送られていたと訂正しました。
農協で使用されていた社内のプライベートIPアドレスが、国際機関公認の中国のIPアドレス「101.106.25.105」と完全に一致していたたため誤認したと説明しています。

韓国の大規模サイバー攻撃、PCのマスターブートレコードを復旧困難にさせるウイルス | CUTPLAZA DIARY韓国の大規模サイバー攻撃、PCのマスターブートレコードを復旧困難にさせるウイルス | CUTPLAZA DIARY
韓国の大規模サイバー攻撃、PCのマスターブートレコードを復旧困難にさせるウイルス

韓国政府の対策本部は農協が外部からハッキングされていた可能性があるともしていますが、発信源などの捜査には半年以上かかるとの見通しを示しました。

さて、韓国の農協が、わざわざ中国のIPアドレスと同じプライベートIPアドレスを利用する意図が疑わしいとして、Windowsの割れOSの利用などが韓国内で行われていた証拠ではないのかという声もありますが、こちらも気になるところです。
ただし、今回の不正プログラムによる攻撃の対象はWindowsだけではなく、Linuxなどサーバーにも被害が出るものであり、割れOSやWindowsアップデートを利用した攻撃だけの話では説明できません。

サイバー攻撃のIPアドレスは「国内」 韓国政府が訂正 – MSN産経ニュースサイバー攻撃のIPアドレスは「国内」 韓国政府が訂正 - MSN産経ニュース

中国ではなく内部ネットワーク:韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス – @IT中国ではなく内部ネットワーク:韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス - @IT

 同委員会では当初、農協へのハッキングに利用されたIPアドレス「101.106.25.105」に基づいて、アクセス元を中国と解釈。中国から更新管理サーバにアクセスされ、マルウェアが配布されたと報告していた。

 しかし、被害サーバへの接続記録やIPアドレスの使用状況などを分析した結果、当該アドレスは内部の従業員が社内ポリシーに基づき、プライベートIPアドレスとして利用していたことが判明したという。

韓国サイバー攻撃 農協銀行内部のパソコンから侵入:社会:スポーツ報知韓国サイバー攻撃 農協銀行内部のパソコンから侵入:社会:スポーツ報知

 対策本部は、被害を受けた放送局や銀行など6社への攻撃手法が類似しているため、同一グループの犯行とみて攻撃元の割り出しを続けている。また、農協銀行以外の会社で海外のアドレスを経由して攻撃を仕掛けられた状況が確認されたため、海外の関係機関の協力も得て原因究明を進める方針という。

 対策本部は海外のアドレスがどの国のものかは「捜査に支障が出る」として明らかにしていない。21日の発表では、6社のうち農協銀行のシステムを分析した結果として、中国のアドレスからのサーバー接続が確認されたとしていた。

 一方、聯合ニュースによると、大手紙、朝鮮日報のネットワークにも22日、相当量のハッカー攻撃が加えられた。攻撃は失敗に終わったが、同社は社員に対し、メールのパスワード変更などを指示した。

韓国サイバー攻撃、セキュリティー更新を悪用? : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)韓国サイバー攻撃、セキュリティー更新を悪用? : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)

犯人を北朝鮮と断定するのは早計
 一部のメディアは「北朝鮮のサイバー攻撃部隊が関与しているのではないか」としているが、まだ証拠は見つかっていない。21日の時点でわかっているのは、

・被害に遭った農協銀行のパッチ更新管理サーバーが、中国のIPアドレスに接続してウイルスを作成していたことを確認(韓国インターネット振興院(KISA)による発表)
・韓国政府が「北朝鮮による攻撃の可能性は排除できない」としていること

 のみである。以前に北朝鮮から韓国へのサイバー攻撃(とされているもの)はあったが、今回は証拠がそろっていないので、まだ断定はできない。

 このサイバー攻撃とほぼ同時に、韓国のウェブサイトの書き換え事件も起きている。「Whois Team」と名乗るグループが、韓国の通信会社のトップページを書き換えて、犯行声明を出した。北朝鮮ではなく、このクラッカーグループによる犯行という可能性もある。国家規模の大きな事件だけに、事件の究明を見守り、日本が狙われた場合のことも考えておきたい。

101.106.25.105 | IP Information101.106.25.105 | IP Information
101.106.25.105 < IPアドレス | whois.hansode.org101.106.25.105 < IPアドレス | whois.hansode.org

中国割れWindowsUpdateサーバーと同じIPで
社内LAN上に割れWindowsupdateサーバーを建ててたのか

【韓国】サイバー攻撃のIPアドレスは「国内」でした 韓国政府が訂正 捜査には半年以上かかる見通し★3 | ログ速【韓国】サイバー攻撃のIPアドレスは「国内」でした 韓国政府が訂正 捜査には半年以上かかる見通し★3 | ログ速

Related Posts Plugin for WordPress, Blogger...