2016年9月に韓国軍のサイバー司令部が不正アクセスを受けたとして韓国紙が報じています。ここでは報道記事を中心に関連情報をまとめます。
公式発表
国防部
- 2016年12月8日 국방망 해킹 관련 설명자료 (魚拓)
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 2014年2月 | 軍事関連システムを統合しDIDCが創設。 |
| 2016年8月4日 | 国防部のインターネットと接続するPCがマルウェアに感染。 |
| : | 国防網へ不正アクセス。国防網で運用されるワクチン中継サーバーがマルウェア感染。 |
| 2016年9月23日 | ワクチン中継サーバーを通じて大量にマルウェアが流布される。 |
| 2016年9月25日0時 | サイバー司令部がワクチン中継サーバーをネットワークから分離。 |
| 2016年9月30日 | 国会国防委員会所属議員の議員室が国軍サイバー司令部からの資料を受領。 |
| 同日 | 国防サイバー合同調査チームを編成し調査を開始。 |
| 2016年10月1日 | 韓国メディアがサイバー司令部で不正アクセスが確認されたと報道。 |
| 同日 | 国防部がサイバー司令部がマルウェアが流入し経路等を調査中、軍のインターネット網は通常動作中と説明。 |
| 2016年11月30日 | 合同調査チームの調査が終了。 |
| : | 調査終了を受け国家情報院が他省庁に同様の被害がないかを調査開始。 |
| 2016年12月5日 | 続報として国防網内端末もマルウェア感染が確認され、軍の機密情報が漏れた恐れがあると報道。 |
| 2016年12月6日 | 韓国政府報道官が国防網に接続されたPCからマルウェアが確認されたと発表。 |
| 2016年12月7日 | 国会情報員会は不正アクセスを受けて緊急会合を開催。*1 |
| 2016年12月8日 | 国防部が不正アクセスの調査結果を発表。 |
| 同日 | 統一部、外交部でも同様の被害が確認されていたと報道。 |
| 同日 | 統一部、外交部が不正アクセス報道を否定。 |
被害の状況
国防部のマルウェア感染の状況
国防部でマルウェア感染が確認されたPC台数は次の通り。
| インターネット接続 | PC 約2,500台が感染 |
|---|---|
| 国防網 | PC 約700台が感染 |
| 戦場網 | 被害確認なし |
| 合計 | 約3,200台 |
不正アクセスにより漏えいしたと報じられた情報
臨時作戦計画に係る情報 *2
- 乙支フリーダム・ガーディアン等の大規模な米韓合同軍事演習等で使用される作戦計画資料
- 臨時作戦計画は作戦計画の全文ではなく一部を適用して作成されたもの。
- 軍事Ⅲ級秘密(Confidential)に分類される。
- 作戦計画が漏えいしたも同様と軍関係者はコメントしている。
初報 国軍サイバー司令部での不正アクセス発生 (2016年10月1日以降の報道)
- サイバー司令部で運用されているワクチン中継サーバーが不正アクセスを受けた。
- サイバー司令部が不正アクセスを受けたのは2010年1月の部隊創設以来初めてとなる。
- ワクチン中継サーバーに脆弱性があり、それを悪用する新種のExploitコードが確認された。
- 機密情報の漏えいなど具体的な被害については調査中であり、明らかにできないと韓国軍関係者は取材に対し回答。
- 国防網とは物理的に分離されているが、何らかの方法でデータが交わされることがあるため、国防網が不正アクセス等受けた可能性は完全には排除できないとサイバー司令部関係者がコメントしている。
第二報 国防網での不正アクセスが確認される (2016年12月5日以降の報道、12月8日の国防部公式発表)
- 国防網に接続される一部端末もマルウェアに感染していた。
- 韓民求長官のPCも不正アクセスを受けていた。但し機密情報は全くなかった。
- 軍事機密を含む一部の軍事資料が漏えいしたことが確認された。規定上は機密情報はUSBメモリ等に保管し保存することとなっているがこれを怠っていた一部のPCが存在したため。*3
- 不正アクセスは北朝鮮によるものと推定。(詳細は後述)
- ワクチン中継サーバーが乗っ取られていたことからセキュリティプログラムの自動更新を停止し、手作業で更新が行われている。
- 不正アクセスを受けたのは忠清南道・鶏竜台にあるDIDC。陸海空軍の情報システムを管轄している。*4
- DIDCには両ネットワークに接続されたファイル共有サーバー等が設置されていた。関係者はこれを最大で2年ほど把握していなかった。*5
- 両方のネットワークに接続されたサーバーを踏み台として、イントラネットワーク内のワクチン中継サーバーも同様の手口でのっとられた。*6
- 総合的な監査は現在進行中であり、およそ1ヶ月程度かかる見込み。
国防網への不正アクセスの流れ
報道情報をまとめたところ次の流れで国防網への不正アクセスが行われたとみられる。
不正アクセスを受けたワクチン中継サーバーとは
- 陸・海・空軍の第一線部隊で使用されるインターネット接続に用いる2万台のPCを管理している。
韓国軍のネットワーク構成
- 韓国軍はイントラネットとインターネットアクセス可能なネットワークに区分して運用されている。
- イントラネットは国防行政用(国防網)と軍事作戦用に分かれている。今回不正アクセスが確認されたのは国防網である。
- 国防網は主に行政業務に用いられるものであり、デリケートな情報はあまりないと関係者はコメント。
- 軍の作戦計画等重要な軍事機密はC4Iシステム等を通じ交わされることから今回不正アクセスを受けたシステムとは関係のない領域。
- 国防総合センターに各システムが集まっている。DIDCは2か所韓国内に存在する。
| DIDCの拠点 | 管掌されている情報システム等 | |
|---|---|---|
| 京畿道・龍仁 | デジタルカメラ、防衛事業庁等の情報システム | |
| 忠清南道・鶏竜台 | 陸・海・空軍の情報システム |
発端
- 国会国防委員会所属野党「共に民主党」 金振杓議員の事務所が国防部に対する国政監査の一環としてサイバー司令部関係者より情報提供を受けたことによる。
韓国国防部の対応
更新履歴
- 2016年12月8日 AM 新規作成
- 2016年12月8日 AM タイムラインに年を追記
- 2016年12月8日 PM 公式発表を追記,続報追記
- 2016年12月9日 PM 続報追記
*1:국방부 "국방망 해킹…진원지 中선양, 北소행 추정" 국회보고,news1.kor,2016年12月8日アクセス
*2:戦時作戦計画もハッキングで流出,東亜日報,2016年12月9日アクセス
*3:해커에 뚫린 군사기밀, 한달 뒤에나 알 수 있다는 軍,chosun.com,2016年12月8日アクセス
*4:국방통합데이터센터 서버 통해 침투,MBN,2016年12月8日アクセス
*5:機密流出:韓国軍統合サーバーも不正アクセス被害,chosun Online,2016年12月8日アクセス
*6:軍 내부 사이버망 어떻게 뚫렸나…혼용서버 존재 2년간 '깜깜',yonhapanews.co.kr,2016年12月8日アクセス
*7:외교·통일부 전산망도 뚫렸다…“국방부 해커와 동일”,The Kyunghyang Shinmun,2016年12月8日アクセス
*8:外交部と統一部 「ハッキングされた事実ない」=韓国,聯合ニュース,2016年12月8日アクセス
