原文入力:2011/12/09 13:36(3347字)
パク・ジョンチャン記者、クォン・オソン記者
‘選管委DDoS事件’核心疑惑 総整理
ハッキングに使った攻撃ツールでは不十分…第3の共謀者は?
←中央選挙管理委員会ホームページに対するDDoS(分散サービス拒否)攻撃事件を捜査している警察庁サイバーテロ対応センターの表札の前を8日午後、一人の捜査官が通り過ぎている。 キム・テヒョン記者 xogud555@hani.co.kr
警察が中央選挙管理委員会ホームページ攻撃事件をハンナラ党チェ・グシク議員の秘書コン・某(27・拘束)氏の単独犯行と結論を下したが、世論はこれを簡単には信じない雰囲気だ。
これと共にツイッターなどでは選管委攻撃がどのようになされたかを巡り相変らず色々な疑惑が提起されている。犯人が‘投票所情報’サイトだけを精密攻撃したことについて第3の共犯説、選管委内部連関説などの疑惑が相次いでいる。
疑惑の核心はこの事件を‘単純なDDoS攻撃と見ることができるか’ということだ。もし単純DDoS攻撃ではないならば、選管委や他の国家機関が介入した可能性が高くなり、それならこの事件は‘21世紀版サイバー選挙不正事件’に飛び火する可能性がある。 以後、検察の調査で明らかにしなければならない核心争点でもある。
#ホームページ初期画面は開けるのに投票所検索はできない
←10・26ソウル市長補欠選挙当時、ホームページが攻撃を受けるや選管委がDDoS攻撃と推定されると公示を上げた。選管委ホームページキャプチャー
10・26投票当日、警察と選管委の話を総合すれば、選管委ホームページは午前6時頃から攻撃を受け始め、午後に入ってもなお攻撃が続いた。選管委ホームページは午前6時15分~8時32分まで2時間を超えて完全に接続できなかったり、初期画面で‘一般投票所検索’と‘私の投票所検索’等の一部項目に対する接近が不可能だった。
しかし一般的なDDoS攻撃はホームページ自体に接近が不可能になり、投票所検索のように特定サービスだけが中断されはしないというのが専門家たちの意見だ。
インターネット保安業者のキューブピア(http://www.cuvepia.com)クォン・ソクチョル代表は「初期画面に公開されたIPに攻撃を加えることが一般的なDDoS攻撃の形態」として「特定サービスだけを狙って攻撃をしようとするなら、サービス ページのIPがわからなければならないが、誰かがIPを知らせたり、また別のハッキングを通じてIPを捜し出す方法しかない」と話した。
#選管委攻撃に使われた‘カス’の限界
←警察が去る10.26ソウル市長補欠選挙当日、中央選挙管理委員会ホームページにDDoS方式のサイバー攻撃を加えた容疑でチェ・グシク ハンナラ党議員の随行秘書とIT業者職員3人を摘発、2日午後ソウル、西大門区(ソデムング)警察庁で一人の職員が証拠品を調べている。 ニューシス
IT業界代表メディア<電子新聞>の実験結果はクォン・ソクチョル代表の主張を後押しする。
電子新聞は7日付で今回の選管委ハッキング事件に犯人が使ったDDoS攻撃ツール‘カス’で模擬実験した結果を公開した。カス ツールは1ヶ当り100ウォン程で闇市で取り引きされる非常にありふれたツールで競争会社の賭博サイトなどを中断させて欲しいという類の請負型DDoS攻撃にしばしば使われるという。 チェ・グシク議員の秘書コン氏の指示により選管委ホームページ攻撃を敢行したカン・某(26)氏らが実際に賭博サイトを運営していたという事実に照らしてみれば、彼らがカス ツールにかなり慣れているものと見られる。
電子新聞は 「今回の試演でカスだけでサーバーの機能の一部(DBの選択的断絶など)だけを制限するには力不足なことが確認された」として「多量のゾンビPCを動員してサーバー中断を誘発すれば、ウェブページ全体の機能が停止し今回の事故事例のようにDBだけ断絶させるには不充分だというのが保安専門家たちの共通した意見」と伝えた。
電子新聞は「今回の選管委攻撃には最大2Gbpsほどの伝送量が集中したという警察発表を勘案すればゾンビPC1500台ほどが必要だ。だが、事故発生時刻が明け方の時間帯で、その時間帯には大部分のゾンビPCが活性化されていないという点を勘案すれば、それより10倍以上多い2万台が必要だっただろう」と付け加えた。たいがいカス ツールが設置されたゾンビPCは1台当たり1.3Mbpsほどの伝送量を誘発する。
#特定サービスを攻撃するには高度なハッキング技術が必要
一般的なDDoS攻撃ではないならば技術的な側面から4種類の可能性がありうる。1.ハッカーが高度なハッキング技術を保有しているか 2.高度なハッキング技術を持った誰かの助けを受けたか 3.内部共謀者がIPを知らせた可能性だ。 最後に 4.DDoS攻撃が敢行される時点に選管委内部で該当サービスを支えるサーバーを切ってしまう方法がある。
ひとまず拘束されたチェ・グシク議員秘書コン氏の指示を行動に移したカン氏らは初歩的な水準のハッキング技術を持っているものと警察による調査の結果明らかになっている。 民主党が選管委ホームページと共に攻撃を受けたパク・ウォンスン候補のホームページのログファイルを分析した結果も、これを裏付けている。民主党は「当時使われた手法は新しいものではなく、パク・ウォンスン候補のメイン ページURLを集中的に攻撃するよく知られた初歩的な手法」と主張した。専門家たちもハッカーが追跡できる韓国IPを使った点や、DDoS攻撃の特性上、通常は犯人を捉えるのが容易でないという点を挙げ、犯人らのハッキング水準が最上級ではなかったと判断している。そうした点で第3の共謀者がいた可能性が提起される。
# <ナコムス>が提起した疑惑は解消されたか?
←10・26ソウル市長補欠選挙選管委ホームページ攻撃 概念図
選管委内部で誰かが共謀した可能性があるという疑惑が提起されるのはそのためだ。パッケスト放送<ナコムス>がこういう主張の先頭に立っている。 チョン・ボンジュ前議員は5日「拘束された彼らがDDoS攻撃を行ったと主張しているが、DDoS攻撃の基本論理に全く合わない」とし「ホームページの一部機能だけが遮断されたのはその特定サーバーだけを攻撃できるように誰かが道を開いてあげたりしなければ、内部者の仕業」と主張した。この事件の初期から疑惑を提起した<ナコメス>側は今回の事件の核心が若年層の投票率を低くするためのものであったし、そうするためには選管委投票所変更→選管委DBサーバー攻撃を通した投票所位置確認サービス不通→投票率下落につながるシナリオがあったという主張だ。
#ログファイルだけを公開すれば良いか?
色々な疑惑を明らかにする核心的な証拠はログファイルだ。ログファイルは選管委サイトに接続したすべての記録を含んでいる。したがってログファイルを分析すれば、DDoS攻撃だったのか、誰がどこをどのように攻撃したのか、当時サーバーをダウンさせたトラフィックが2ギガであったのか、11ギガだったのかなど、核心疑惑が大部分明らかになる。しかし選管委は「捜査中」という理由や「関連法で公開できないことになっている」という理由を挙げログファイル公開はできないという立場だ。
たとえ選管委がログファイルを公開するにしても疑惑は残る可能性がある。ログファイルも捏造可能だからだ。ある保安専門家は「ログファイルはテキスト ファイルなので、接続IPを別のものにしたり、IP記録をまるごと交換したり消すなりの方法で十分に捏造できる」と主張した。
パク・ジョンチャン、クォン・オソン記者 pjc@hani.co.kr
原文: https://www.hani.co.kr/arti/society/society_general/509390.html 訳J.S
