原文入力:2011-05-03午後02:32:11(2169字)
検察が根拠に提示した‘7.7、3.4 DDoS’主犯も不明確
キム・ドヒョン記者
検察は先月12日に発生した史上初の農協コンピュータ・ネットワーク麻痺事態は北韓の‘サイバーテロ’によるものだと3日発表した。
ソウル中央地検先端犯罪捜査2部(キム・ヨンデ部長検事)の捜査結果発表によれば、北韓の仕業と断定する根拠は、今回の事件が2009年7.7DDoSおよび去る3.4DDoS事件と類似しているということだ。
検察は韓国IBM職員のノートブックから発見された81ヶの悪性コードを分析した結果、農協サーバー攻撃に使われた悪性コードが簡単には発見されないよう暗号化する方式など独特の製作技法が以前の2回のDDoS事件と非常に似ていることが明らかになったと発表した。
また、悪性コードの流布経路と方式が類似しているだけでなく、攻撃に活用したゾンビPCを操縦するために利用したサーバーIP(インターネットプロトコル)の1ヶは3.4DDoS事件に利用されたものと完全に一致すると調査されたということだ。
検察は犯人が今回の攻撃命令の発源地である韓国IBM職員のノートブックを2010年9月4日ゾンビPCとした後、7ヶ月間にわたり集中的に管理しながら内部情報を取り出し遠隔調整で攻撃を敢行した事実を明らかにしたと発表した。
彼らは問題のノートブックに悪性コードとともに別名‘バックドア’と呼ばれるハッキング プログラム、盗聴プログラムを設置し、一挙手一投足を緻密に監視しながら攻撃対象のIPと最高管理者の暗証番号を取得したものと調査された。
犯人はこういう方式で先月12日午前8時20分14秒に攻撃命令ファイルをノートブックに設置した後、その日の午後4時50分10秒にインターネットを利用した遠隔制御により命令を実行し、以後 次々と2次、3次攻撃を敢行し計587台のサーバーの内、273台を焦土化させたと検察は明らかにした。
しかし、検察の捜査結果発表に対しインターネット保安専門家たちは疑問を提起している。匿名を要求したある保安専門業者職員は「検察は2009年に発生したDDoS攻撃と今回のハッキング事件が同一犯人だということを北韓の仕業であることの主要根拠に挙げているが、当時の事件が北韓の仕業か否かはまだ検証されていない」と明らかにした。実際、警察は7・7DDoS攻撃と関連した捜査結果を発表する中で「北韓の仕業と推定される」とだけ明らかにした。また、ハッカーが捜査当局の追跡を避けるためにIP洗浄や偽装を基本的にしているという点を勘案すれば‘同一IP=北韓の仕業’とは断定するのが難しいという指摘も出ている。
検察による捜査発表以後、ツイッターでもこういう疑問点を指摘する文が相次いでいる。同一IPの使用が直接的で決定的な証拠にはならないということだ。
「検察が2年前のIPを根拠に、農協事態は北韓の仕業だと明らかにするだろうとは想像もできなかった。検察の主張によれば当局は2度にわたり大騷ぎが起きたDDoS IPを今まで放置しておき、ハッカーは2年間も同じIPで攻撃しているという話だ。これが話になるか?」
「IT超強国の北韓へ莫大な米を与えてでも我が国の青年たちを留学生として送らなければならない。国家の運命がかかっているというのに余っている米を与えるくらい何だ!」
「北韓の仕業だと発表するならば、先ず農協保安責任者を問責せざるをえないのではないか。順序を間違えるほうがはるかに間違い。」
政府傘下機関であるインターネット振興院関係者も「第三者がIPを洗浄した可能性は排除できない」としつつ「サイバー上ではハッカーが自分の情報が露出しないように、色々の経路を経るので最終証拠を確証することはかなり難しい」と話した。 それと共にこの関係者は「インターネット振興院も2人の専門家が捜査に参加したが最高の専門家たちが今回のハッキングに使われた悪性コードを徹底的に分析したので北韓の仕業という点には疑問の余地がない」と付け加えた。
しかし、別の民間専門家は「犯人が‘バックドア’と呼ばれるハッキング プログラム、盗聴プログラムを7ヶ月間も設置運用してきたというのに、企業のサーバー専門家たちがこれを知らなかったということは理解できない」と明らかにした。
検察発表どおりに北韓の仕業というならば、2009年の7.7DDoS攻撃以後、長くて1年10ヶ月間も韓国のサイバー保安当局は何をしていたのかという指摘も出る。これに対して韓国インターネット振興院の関係者は「個人インターネット使用者に対しては保安パッチやワクチンを配布し、自ら情報保護活動を繰り広げたが企業の場合には保安点検体系や内部統制システム構築などの面で各機関にまかせた側面がある」とし「今回の事件を教訓に各機関が徹底して防御しなければならない」と話した。
キム・ドヒョン先任記者/ツイッター@aip209
原文: 訳J.S