hankyoreh

ゲッティイメージバンクより//ハンギョレ新聞社

　北朝鮮のハッカー組織が記者、国会議員室、公共機関を詐称し、韓国国内の外交・安全保障分野の専門家ら数百人に「フィッシングメール」を送った情況が明らかになった。

　警察庁国家捜査本部サイバー捜査局は25日、政権引継ぎ委員会の担当記者を詐称した電子メール（4月28日）、テ・ヨンホ国会議員室秘書を詐称した電子メール（5月7日）、国立外交院を詐称した電子メール（10月26日）がいずれも「キムスキー」（kimsuky）として知られる北朝鮮偵察総局傘下のハッカー組織が発送したものとみられるという捜査結果を発表した。

北朝鮮のハッカー組織が記者と国会議員室を詐称して発送した電子メール=警察庁提供//ハンギョレ新聞社

　警察の捜査の結果、ハッカー組織は26カ国に散らばったサーバー326台（国内87台）を経由する方法でIPアドレスを偽装し、国内の外交・統一・安全保障・国防分野の専門家など少なくとも892人に記者や国会議員室などを詐称した電子メールを送った。このようななりすましメールは、接続者のコンピューターの情報を引き出せるフィッシングサイトに誘導するか、悪性プログラムが添付された形だった。ネイバーやグーグルを巧みに模したフィッシングサイトに騙され、自分のIDとパスワードを入力した専門家はこれまで49人と暫定集計された。ハッカー組織は、彼らの送受信電子メールをリアルタイムで監視し、添付文書と住所録を持ち出したという。ただし、被害者の大半は大学教授や民間の研究員であり、国家機関所属の研究者ではないことが確認されたと、警察は明らかにした。

北朝鮮ハッカー組織がなりすましメールで誘導したフィッシングサイトで、ネイバーやグーグルを詐称した＝警察庁提供//ハンギョレ新聞社

　警察は2014年の韓国水力原子力ハッキング事件、2016年の国家安保室を詐称したメール発送事件とハッキング手口が似ていることから、今回のハッキングも「キムスキー」の犯行と判断した。サイバー攻撃の根源地のIPアドレスや海外サイトの加入情報、経由地の侵入・管理手法、悪性プログラムの特徴などが同じ点をその理由に挙げた。IP経由地として使ったコンピューターで「ワクチン」（韓国では英語式の発音ベクシンが使われる）のような北朝鮮の言葉を使ったインターネット検索の履歴が確認された点、犯行の対象が一貫して外交専門家である点も「キムスキー」の犯行を疑う根拠になった。「キムスキー」は2020年と2021年、韓国の製薬会社と韓国原子力研究院に対するサイバー攻撃を主導した団体と推定されている。

北朝鮮のハッカー組織によるなりすましメール流布事件の概要図＝警察庁提供//ハンギョレ新聞社

　一方、警察は今回のハッカー組織が悪性プログラム（ランサムウェア）を流布し、国内業者13カ所のサーバー19台を感染させ、これを解除する条件で金銭を要求した事実も確認されたと明らかにした。警察は、このうち2社がそれぞれ130万ウォン（約13万5千円）相当のビットコインをハッカー組織に支払ったと伝えた。

　警察は被害者と所属企業に被害事実を通知し、韓国インターネット振興院とセキュリティソフト会社と協力してフィッシングサイトを遮断した。また、関係機関に北朝鮮のハッカー組織の侵入手法とハッキングツール関連情報を提供した。警察庁サイバーテロ捜査隊のイ・ギュボン隊長は「電子メールのパスワードを周期的に変更し、2段階認証を設定するとともに、他の国からの接続を遮断するなどアカウントの管理を徹底してほしい」と要請した。