“融和五輪”の裏でサイバー攻撃

特報’18

北朝鮮、芸術団解説なりすましメール
開会日システム破壊狙う?

 昨日閉幕した韓国・平昌冬季五輪で融和ムードを演出した北朝鮮。しかしその裏では、成り済ましメールで韓国側を監視したり、情報窃取を試みるサーバー攻撃が仕掛けられていたことが分かった。開会式の日に発生した内部システムダウンへの関与も疑われており、北朝鮮への不信感はさらに深まりそうだ。(ソウル・上田勇実)

文政権は刺激避け「緘口令」

 五輪開幕翌日の今月10日、韓国の北朝鮮研究者やメディア各社の北問題担当記者、政府機関などで働く脱北者らに「北朝鮮分析資料(三池淵楽団)」という名の圧縮ファイルを添付したメールが送られてきた。三池淵楽団は五輪に合わせて訪韓し、8日江陵、11日ソウルでの公演で韓国の観衆を大いに魅了したあの北朝鮮芸術団だ。

800-1

北芸術団「三池淵管弦楽団」の解説メールに成り済まして送られてきたメールの添付ファイル。(韓国ハウリ提供)

 ファイルを解凍すると一番上に「2018 02 07 三池淵管弦楽団 団長 玄松月 アップデート」というスクリプトファイルがあり、その下に「動向分析(三池淵楽団)」「三池淵特別公演」「玄松月」と記されたPDFファイルが並んでいる。スクリプトファイルの中身は空っぽだが、開けた瞬間に悪性コードに感染する仕組みになっていた。

 感染しても表面上は何も起こらないため、ユーザーはそのままパソコンを使い続けることになるが、悪性コードにはキーロギング(キー入力の監視・記録行為)や画面キャプチャーの機能があった。「報道されないような韓国での北関連情報の窃取などが目的」(ITセキュリティー専門会社関係者)だったとみられている。

 開幕式の日、五輪組織委員会のサイトがダウンしたり、チケット発券ができなくなるなど内部システムへの攻撃が原因とみられる異変が発生しニュースにもなった。追跡調査の結果、一時的な麻痺(まひ)ではなくシステム破壊が目的だったとみられており、各国関係者の間で「オリンピック・デストロイヤー」と呼ばれたという。

800-2

韓国統一省の北朝鮮新年辞分析を装ったメールの添付ファイルを開いた中身。開いた瞬間、悪性コードに感染する仕組みだという(韓国ハウリ提供)

 被害は国際オリンピック委員会(IOC)のお墨付きで五輪ITシステムを統括してきたフランス企業アトスにも及んでいたことから、ドーピング問題でIOCから国家代表選手団の派遣を認められなかったロシアによる報復措置の可能性も取り沙汰された。ただ、ある専門家は「悪性コードがハングルで作成されているという点で北朝鮮の仕業である可能性も同程度存在する」とみている。

 関係者によると、このほか今回の冬季五輪をめぐるサイバー攻撃は少なくとも3件確認されており、このうち2件は北朝鮮の犯行が疑われるという。

 北朝鮮が武力挑発から融和呼び掛けに百八十度態度を変える契機となった金正恩・朝鮮労働党委員長による新年辞はその真意をめぐり大きな関心を集めたが、北朝鮮はこの韓国側の関心の高さに付け込んで悪性コードを忍ばせたメールを送り付けた。1月2日付のアレアハングル添付ファイル「180102公示資料(北朝鮮2018年新年辞分析)」がそれだ。

 北朝鮮新年辞に対する分析は韓国統一省が担当記者などに配布したり、同省傘下のシンクタンク、統一研究院が会員向けに自前の分析内容をメール送信しているが、北朝鮮は今回、同院に成り済ましてメールを送信し、同省の公示内容に見せ掛けたコンテンツを使っていた。これも添付ファイルを開けた瞬間に感染し、そのパソコンの各種情報は北朝鮮側が大容量伝送のため経由地として中国やロシアに開設したクラウドサーバーに伝送されるという仕組みだ。

 北による犯行が疑われる五輪絡みのサイバー攻撃を分析した結果、従来のものにはない新種だったことが確認されたというが、韓国・文在寅政権は開幕式日の被害について五輪組織委員会が「詳細は調査後に」と発表するなど、「閉幕まで緘口(かんこう)令を敷くつもり」(韓国メディア)だったようだ。相変わらず北を刺激しまいという姿勢が目立つ。