2013年4月15日更新
2013年4月2日初版公開

3月20日の午後2時ごろ、韓国の主要放送局（KBS、MBC及びYTN）と金融機関（済州銀行、農協及び新韓銀行）のコンピュータネットワークがダウンした。4万８千台あまりのパソコンが感染し、ハードドライブのデータが消去されたという。 ^(脚注:1) 報道によると、サイバー攻撃による韓国政府及び韓国軍への影響はなかったという。 ^(脚注:2) 攻撃を受けたマスコミは、放送を続けることができ、銀行の場合も、ATMサービスの一部が停止しただけであったためである。 ^(脚注:3)

当初、韓国の放送通信委員会（KCC）は、上述の6組織のサーバー攻撃に使われたマルウェアをたどったところ、中国のIPアドレスにたどり着いたと述べていた。 ^(脚注:4) 韓国の国防部は、サイバー攻撃への北朝鮮の関与の可能性を除外できないと指摘していた。 ^(脚注:5) 北朝鮮は、2009年及び2011年の韓国へのサイバー攻撃を仕掛けたと見られている。韓国及び米国が北朝鮮にサイバー攻撃を仕掛けたとして朝鮮中央通信（KCNA）が非難し、報復も辞さない旨示唆して、緊張が高まっていたときに、今回のサイバー攻撃は発生したのである。 ^(脚注:6)

しかし、3月22日になって、KCCは、IPアドレスが被害を受けた農協の内部サーバーのものであることに気づいた。中国のIPアドレスにそれがたまたま一致したのだという。 ^(脚注:7) 3月25日、KCCは、朝鮮日報に対し、攻撃を受けたコンピュータネットワークで、いくつかのIPアドレスが見つかり、米国及びヨーロッパ数カ国のものであることが確認された旨伝えた。韓国警察庁は、米国及びヨーロッパの3カ国に対し、IPアドレスの所有者発見のための支援を要請した。ヨーロッパのどの国々に対して要請したかについては、明らかにされていない。 ^(脚注:8)

台北のセキュリティリサーチ会社のXecure Labによると、論理爆弾は、2013年3月20日の午後2時から3時に作動するよう設定されていた。 ^(脚注:9) ワイパーは、Linux、Unix、 Windowsに関係なく、マスターブートレコード（MBR）データを上書きし、システムを使用不可能にしてしまった。 ^(脚注:10) そのため、被害者たちのコンピュータスクリーンには、「ブートデバイスが見つかりません。ハードディスクにOSをインストールしてください」とのメッセージが表示されてしまった。 ^(脚注:11)

Symantecは、今回のマルウェアをTrojan.Jokra及びWS.Reputation.1としている。 ^(脚注:12) 株式会社フォティーンフォティ技術研究所の岡野友輔エンジニアも、このマルウェアを解析しており、WinExec経由で「taskkill」コマンドが実行され、韓国製のアンチウイルス製品のプロセスであるpasvc.exe及びclisvc.exeを停止したと説明している。 ^(脚注:13)

IssueMakersLabによると、今回のサイバー攻撃は2012年1月から行われていた作戦の一部（Operation 1Mission）であり、2007年から活動しているハッカーたちとつながっているという。内部コンピュータは、2012年6月から2013年1月にかけて感染したと見られる。 ^(脚注:14)

4月10日、韓国政府は、今回のサイバー攻撃で使われたアクセス記録及びコードから、首謀者が北朝鮮の偵察総局であった旨発表した。 ^(脚注:15) しかし、4月12日、朝鮮人民軍総参謀部報道官は、KCNAを通じて、3月に発生した韓国へのサイバー攻撃への関与を否定し、そのような非難をする韓国に対して報復する旨匂わせた。 ^(脚注:16)

朝鮮日報によると、金正恩は、今年の2月に偵察総局のハッカー部隊を激励し、韓国に対するサイバー戦に自信をのぞかせていたという。金正恩が「強力な情報通信技術や勇猛な（サイバー）戦士たちがいる偵察総局があれば、どんな制裁でも破ることができる。強制国家建設にも問題ない」と述べたと、韓国政府関係者は4月7日に朝鮮日報へ伝えている。この関係者によれば、北朝鮮には暗号化や痕跡削除などの技術に優れたハッカーが少なくとも1万2千名いることから、金正恩の自信には根拠があるという。 ^(脚注:17)

参考情報:

1. Eyder Peralta, “South Korea Says Cyberattack That Paralyzed Computers Was Traced to Chinese IP,” NPR, March 21, 2013,
   http://www.npr.org/blogs/thetwo-way/2013/03/21/174926441/south-korea-says-cyberattack-that-paralyzed-computers-was-traced-to-chinese-ip
   Yonhap News, “Gov’t confirms Pyongyang link in March cyber attacks,” April 10, 2013,
   http://english.yonhapnews.co.kr/northkorea/2013/04/10/49/0401000000AEN20130410007300320F.HTML
2. Sam Kim, “South Korea: Chinese address source of attack,” AP, March 21, 2013,
   http://news.yahoo.com/south-korea-chinese-address-source-attack-015145641.html
3. Charles Arthur, “South Korea cyber attack ‘increasingly likely’ to have been government-led,” The Guardian, Mach 22, 2013,
   http://www.guardian.co.uk/technology/2013/mar/22/south-korea-cyber-attack
4. BBC News, “China IP address link to South Korea cyber-attack,” March 21, 2013,
   http://www.bbc.co.uk/news/world-asia-21873017
5. Voice of America, “S. Korea Finds No Evidence Between North, Cyber Attack,” March 20, 2013,
   http://www.voanews.com/content/south_korea_says_it_sees_no_evidence_yet_that_north_was_behind_cyberattack/1625386.html
6. In-Soo Nam, “Pyongyang Accuses ‘Hostile Forces’ in South and U.S. of Cyberattacks,” Wall Street Journal, March 16, 2013,
   http://online.wsj.com/article/SB20001424127887324077704578361891957616344.html
7. BBC News, “South Korea says China hack link a ‘mistake’,” March 22, 2013,
   http://www.bbc.co.uk/news/world-asia-21891617
8. Shaun Waterman, “South Korea cyberattack traced to U.S. and Europe, not China,” The Washington Times, March 25, 2013,
   http://www.washingtontimes.com/news/2013/mar/25/south-korea-cyberattack-originated-us-and-europe-n/
9. Xecure Lab, “Let’s gossip what happens in South Korea,” March 30, 2013,
   http://blog.xecure-lab.com/2013/03/lets-gossip-what-happens-in-south-korea.html
10. Mathew J. Schwartz, “How South Korean Bank Malware Spread,” Information Week, March 25, 2013,
    http://www.informationweek.com/security/attacks/how-south-korean-bank-malware-spread/240151647
11. 2013年3月26日付Wired（Kim Zetter）「韓国へのサイバーテロ、論理爆弾の仕組みが判明」
    http://wired.jp/2013/03/26/logic-bomb-south-korea-attack/
12. 2013年3月21日付Symantec「Official Blog：韓国の銀行と放送局に、大規模なサイバー攻撃」
    http://www.symantec.com/connect/blogs-48
13. 2013年3月27日付株式会社フォティーンフォティ技術研究所（岡野友輔）「FFRI BLOG：2013-03-27緊急レポート：韓国サイバー攻撃マルウェア詳細解析結果」
    http://www.fourteenforty.jp/blog/2013/03/2013-03-27.htm
14. IssueMakersLab, “Operation 1Mission,”
    http://issuemakerslab.com/320/1mission.html
15. AFP, “S. Korea probe says North behind cyber attack: Report,” April 10, 2013,
    http://www.straitstimes.com/breaking-news/asia/story/s-korea-probe-says-north-behind-cyber-attack-report-20130410
16. NHK World, “N. Korea denies involvement in South cyber attacks,” April 13, 2013,
    http://www3.nhk.or.jp/nhkworld/english/news/20130413_12.html
17. 2013年4月8日付朝鮮日報日本語版（李竜洙）「金正恩氏『勇猛なサイバー戦士いればどんな制裁も破れる』」
    http://www.chosunonline.com/site/data/html_dir/2013/04/08/2013040800897.html