北朝鮮は1月からサイバーテロを準備した、と～朝鮮日報7月11日

　朝鮮日報の日本語版ＨＰは7月11日もサイバーテロの記事が満載だ。＜サイバーテロ／ウイルスの流布に5カ国のサーバー／徐々に明らかになる攻撃ルート＞は、徐々に韓国の当局が犯人に迫っている途中経過を説明する記事だ。
　＜大統領府、国防部、チョソン・ドットコムなど、主要な政府機関や企業のサイトをマヒさせたサイバーテロが、世界各国から同時多発的に行われたという衝撃的な事実が明らかになった。ハッカーらによるサイバー戦争は国の境界を無意味なものにし、政府や大手企業をも無力化することができる、という従来から指摘されていた内容が、まさに現実のものとなった。＞
◆世界で連鎖的に行われたサイバーテロ
　＜韓国政府当局やセキュリティー関連企業などがサイバーテロを追跡したところ、7月7日のサイバーテロは韓国、米国、ドイツ、オーストリア、グルジアにサーバーを置く五つのサイトを通じ、ＤＤｏＳ（分散型サービス拒否）攻撃命令が内蔵されたウイルスが流布されたことから始まった事実が、10日までに分かった。これら五つのサイトは、ハッカーが攻撃対象としたサイトを正確に攻撃するウイルスを広める役割を果たしていた。＞
　日本も英国も入っていない。
　＜このウイルスに感染した8万台以上のゾンビ・コンピューターは、ホワイトハウスや韓国の大統領府など、韓米両国の数十の主要サイトに攻撃を加え、接続不可能な状態に陥れた。＞
　＜ゾンビ・コンピューターは、それぞれ役割の異なる2種類のウイルスに感染していたことも分かった。サイトを攻撃するようプログラミングされたウイルスと、新たな攻撃対象サイトのリストや攻撃時間についての情報を受け取るアップデート用ウイルスだ。警察関係者は「攻撃するだけでなく、状況によって自分自身をアップデートするファイルも内蔵された、非常に知能的なプログラムだ」と説明した。＞
　非常に知的なことができるんだったら、北朝鮮の支配層もそういう能力を世界が喜ぶ方向で使えばいいんじゃないか、と思うのだが。
◆攻撃に使われたゾンビ・コンピューターを自爆させて証拠隠滅
　＜ハッカーらは主なサイトをマヒさせただけではなかった。犯行の証拠をなくすために、自らが攻撃に利用したゾンビ・コンピューターそのものを破壊する計画も立ててあった。当初はＤＤｏＳ攻撃用ウイルスを流布したサイトは五つだったが、これらがアップデートに利用したサーバーは韓国、米国、日本、中国、ロシア、ドイツなど16カ国、86のサーバーに達した。これらのサーバーの役割は、1回目の攻撃を行ったウイルスが24時間後に活動をストップした後に、しばらくして2回目の攻撃を行うウイルスに変化させるというものだ。また、攻撃を終えたゾンビ・コンピューターのハードディスクを破壊するウイルスを流布したのもこのサーバーだ。＞
　やっぱり韓国、日本、中国、ロシアも入っていたか。
　＜警察庁サイバーテロ対応センターは、「ゾンビ・コンピューターに自らのハードディスクを破壊させるなど、新たな命令を送る86の“アップデート用サーバー”を発見した。その中の五つは韓国国内に存在することも確認した」と説明した。＞
　この辺、怖い。ハードディスクを金づちで壊すのではなく、論理的にこわす、というのだ。そんなことってできるのかな？
◆攻撃のルートは遮断したが、ハッカーの実態は確認できず
　＜警察は被害が広まるのを防ぐために、ＤＤｏＳウイルスを流布した五つのサイトや、ハードディスクを破壊するウイルスを広めた86のサーバーからのアクセスをすべて遮断した。＞
　他にはないのだろうか？
　＜ウイルスが広まった経路がある程度明らかになったことで、問題解決に向けた第一歩が踏み出されたといえる。この経路さえ遮断すれば、ゾンビ・コンピューターがこれ以上増えることはない。現時点でウイルスに感染しているコンピューターの処理さえ行えば、問題は沈静化するということだ。＞
　そういうことか。
　＜10日にはサイバーテロによる混乱も落ち着きを取り戻した。多くのユーザーがセキュリティーソフトを設置し、プロバイダーもウイルスを広めるサーバーとの接続を遮断した。また、攻撃を受けたサイトもセキュリティー機能を強化した。しかし、問題となったサイトを発見してもサイバーテロの背後関係を明らかにするのは簡単ではない。警察はすでに確保した四つの「ウイルス・アップデート用サーバー」を分析し、最初にウイルスを流布して数万台のゾンビ・コンピューターを作り上げたハッカーを追跡している。これら四つのサーバーが今回のＤＤｏＳ攻撃に利用されたのは間違いないが、このサーバーの管理者はハッカーから侵入を受けた被害者である可能性の方が大きいと警察はみている。＞
　どこまで辿っても被害者しか出てこないシステム。テレビドラマならば、その被害者の中に真犯人がいるのだが。
　以下は［キーワード］二つだ。
　＜ゾンビ・コンピューター＝ハッカーが特定のサイトを攻撃するために、所有者が知らない間にウイルスに感染させたコンピューターのこと。ハッカーは不特定多数にウイルスに感染した電子メールを送り、ユーザーがその添付ファイルを開くと感染するようになっている。ウイルスに感染すると、ハッカーの命令に従って特定のサイトに攻撃を加えるようになる。＞
　＜北朝鮮軍総参謀部偵察局115号研究所＝情報当局によると、通常の研究所を装いながら中国などに散らばる数多くの北朝鮮ハッカーを指揮している組織だという。115号研究所が所属する総参謀部は、サイバー戦専門要員を養成する自動化大学（旧ミリム大学）を運営している。＞
　朝鮮日報の7月11日には＜サイバーテロ／民間頼みのネット・セキュリティー＞の記事もあった。
　＜9日夜11時40分、ソウル・光化門にある放送通信委員会は非常事態に陥った。同委員会の職員たちは慌ててメディア各社に電話をかけ始めた。「今回の“サイバーテロ”の悪性ウイルスに感染した“ゾンビ・コンピューター”は、10日午前0時からハードディスクに保存されているすべての情報を削除するため、“パソコン破壊”が起きる可能性が高い」と伝えるためだ。＞
　＜同委員会からの連絡を受けたメディア各社は、インターネットを通じ緊急速報を出した。しかし、この情報は民間のセキュリティー機関である安哲秀（アン・チョルス）研究所が前日の8日夜に「悪性ウイルスがパソコンを破壊する可能性がある」と同委員会に知らせてきたものだった。だが、同委員会は民間機関の通報を受けても、その情報をきちんと分析できず、悪性ウイルスが自爆する直前になってやっと国民に知らせたのだ。＞
◆「ITコリア」支えるのは民間機関・業者
　＜今回のサイバーテロ騒動の間、政府は終始、迅速な対応どころか右往左往してばかりいた。しかも、民間セキュリティー機関や業者が悪性ウイルスを分析してから、政府が何らかの措置を取る、という「後手後手」の対応が繰り返された。＞
　＜悪性ウイルスを広めＩＰ（インターネット・プロトコル）アドレスの追跡でも、民間のほうが政府より一足早かった。例えば、シマンテック・コリアやシフトワークスなどのセキュリティー業者は9日、欧米にある発生源を把握したが、政府は依然として「追跡中」というあいまいな回答に終始した。＞
　＜政府の対応能力が民間よりも劣っていると批判されている原因としては、専門人材の不足が大きいと考えられる。韓国のセキュリティー業界でナンバーワンの安哲秀研究所は職員500人、ハウリは95人だ。そのほかの小規模業者まで入れれば、セキュリティー業界には約1000人の民間人材が層を成している。このうち、実力・経歴とも十分の専門家は約500人。一方、行政安全部が今年初め、中央行政機関や公共機関など695カ所を対象にした調査をみると、こうした機関で情報保護業務を専門に担当する職員は1機関当たり平均0.7人に過ぎなかった。専門人材が一人もいない機関は67.5％にもなる。その上、今回のようなサイバーテロが発生した場合、重要な決断を下さなければならない中央部処（省庁）の課長クラス以上の幹部に、専門人材はほとんどいないというのが実情だ。＞
　＜放送通信委員会のファン・チョルジュン・ネットワーク政策局長は「実務を担当する韓国情報保護振興院（ＫＩＳＡ）ですら、在野のハッカーや専門家と自由に意思疏通が図れる実務陣はあまりいない」と言った。匿名希望のサイバーテロ専門家は「大企業や公共機関でセキュリティー業務を担当する人材のほとんどが主に電算業務をしており、情報業務は副業に過ぎない。だから、簡単な“異常トラフィック”が集中しても、きちんとした診断さえできないのが実情」と説明している。＞
◆「サイバー司令官」新設すべき
　＜インターネットのインフラを管理する機関が、公共部門では国家情報院、民間では放送通信委員会と韓国情報保護振興院、行政部内の業務網では行政安全部、サイバー犯罪では警察庁サイバーテロ対応センターなどに分かれていることも問題だ。このため、緊急時の迅速な対応は構造的に難しいと指摘されている。＞
　＜しかも、セキュリティー産業支援・振興業務は知識経済部が担当しており「対応と産業支援は別」という珍妙な状況になっている。セキュリティー業界のある専門家は「オバマ米大統領はサイバーテロ問題を総括する“サイバー・ツァーリ（総括調整官）”を新設すると公言しているが、世界規模のハッキング被害を最も深刻に受ける韓国では、こうした議論さえない」と嘆いている。＞
　次も7月11日のアップ分だ。＜サイバーテロ／国情院「北は今年初めから準備」／軍偵察局115号研究所が指揮＞の見出しだ。
　＜韓米両国の主要な国家機関や企業に対してサイバーテロが行われた事件について、攻撃が行われた経路を追跡した国家情報院は「平壌を本部とする北朝鮮のハッカー組織員たちが、中国各地から同時に攻撃を加えてきた」という判断を下していることが10日までに分かった。ある情報筋は「北朝鮮は今年の初めからサイバーテロを行うために緻密な準備を重ねてきたのだろう」と述べた。＞
◆指揮は平壌115号研究所
　＜今回のサイバーテロを指揮したのは、これまで韓国ではその実態がまったく知られていない「115号研究所」ではないかとして、国情院は注目している。それは、この「115号研究所」が今回のサイバーテロを前に北朝鮮のハッカー組織員たちに、「南朝鮮（韓国）の傀儡の通信網を破壊できるプログラムを開発せよ」（国情院が入手した資料）という指示を下しており、この事実を国情院が把握しているからだ。＞
　＜国情院関係者は「115号研究所はソフトウェア開発会社などを装っているが、実際は平壌に拠点を置いてハッカーたちに指示を下しているようだ」と語る。＞
　＜韓国政府筋によると、北朝鮮は情報化時代初期の1990年代初めごろ、敵軍のコンピューターによる命令を混乱させることを目的に、ハッカー部隊を新たに創設したという。90年代の後半にはこの部隊をハッキングとサイバー戦の専門部隊として拡大再編した。2006年に公開された韓国軍の報告書には、「北朝鮮のハッカー部隊は米太平洋司令部の指揮統制所をマヒさせ、米本土の電算網にも被害を与えることができる」と、その能力を評価している。＞
◆北京や瀋陽などが拠点
　＜国情院が今回のテロを北朝鮮の仕業によるものと確信する理由について韓国政府の当局者は、「北朝鮮国籍であることが確実なハッカーである尹（ユン）某氏のIPを確認できたから」と説明する。このハッカーは、6月30日に瀋陽から韓国機械研究院光州電算網に対してDDoS（分散型サービス妨害）攻撃を初めて加えており、その際に国情院に尻尾をつかまれた。また、これに先立って北朝鮮は、北京と瀋陽に保衛部関係者を通じて会社を設立して経営を行っており、これを通じて攻撃の訓練を重ねてきた事実も情報当局は把握している。＞
　＜情報当局の関係者は「尹某氏をはじめ、中国各地に散らばる北朝鮮のサイバー工作員たちは115号研究所の指令を受け、多くのコンピューターにウイルスを植え付けた。その上で、攻撃サーバーを通じてこれらを操るという手口を使っている。まさに韓国の内外に数万台のゾンビ・コンピューターを作り上げた主犯だ」と語る。政府筋も「DDoS攻撃に利用された16カ国86のIPに北朝鮮が存在しない理由は、サイバー工作員たちが主に中国や東南アジア、日本などから攻撃を加えているのが原因だと考えられる」と述べた。＞
　＜北朝鮮による今回の攻撃は、6月初めからその動きが感知されていた。しかし、彼らが実際に準備に取り掛かったのは今年初めごろという見方が有力だ。北朝鮮軍総参謀部報道官は今年1月17日に軍服姿でテレビに登場し、「全面的な対決体制への突入」を宣言している。同じ月の30日には祖国平和統一委員会（祖平統）も「南北の政治的・軍事的合意はすべて無効化する」と宣言した。韓国の安全保障筋は、「北朝鮮は今年初めに対外的な攻撃計画を樹立し、長距離ミサイルの発射や核実験と並行して、サイバーテロの準備も行ってきた可能性が高い」と述べた。＞
　＜とりわけ今回の攻撃は無作為で行われたわけではない、との見方もある。一連の流れは、6月30日に韓国機械研究院光州電算網→米国独立記念日の今月4日（現地時間）にホワイトハウス→7日に大統領府（青瓦台）・国防部・チョソン・ドットコムなど韓米の主要な政府機関や企業→10日にゾンビ・コンピューターのハードディスク破壊、となっているが、これらは緻密な計画に沿って、韓米両国に対して相次いで攻撃を加えるという形で行われている。京畿大学の南柱洪（ナム・ジュホン）教授は「北朝鮮が即興で挑発行為を行うことはほとんどない。現実の空間では核兵器、仮想空間ではハッキングで、非対称の戦力的優位を占めるために長い時間をかけて準備を行ってきたはずだ」と述べた。＞
　7月11日午前11時にアップされた＜サイバーテロ／「20人余りが徹夜、攻撃目標と時間を確認」／安哲秀研究所のユ・スンリョル課長＞も当日の苦労がよく分かる記事だ。
　＜「攻撃が始まった7日夕方に悪性ウイルスのサンプルを入手したがが、通常1、2個のファイルに全機能を盛り込んだものとは違い、10個以上のファイルが有機的に機能している状態だった。6年間、悪性ウイルスの分析をしているが、このようなケースは初めて」。悪性ウイルスの実態を最初に暴いた安哲秀（アン・チョルス）研究所のユ・スンリョル分析課長（36）は、「ハッカーが今回の攻撃を計画して作った悪性ウイルスのファイル関係図を把握するのが最も大変だった」と話した。ユ課長と20人余りのチーム員は夜を徹して悪性ウイルスの分析作業を行い、24時間後に一つのファイルから攻撃対象サイトのアドレスと攻撃時間を探し当てた。今までの悪性コードとは違い、攻撃対象と時間が事前に決まっている、という事実を確認したわけだ。ユ課長は7カ所の追加攻撃対象サイトを発見、該当するサイトが事前に対処できるようアドバイスした。また、悪性ウイルスに感染した「ゾンビコンピューター」のハードディスク削除も警告した。＞
　しっかりしているなぁ、韓国は。