PR
写真●高麗大学情報セキュリティ大学院のイ・ギョンホ助教授
(写真提供:韓国電子新聞)

 北朝鮮の狙いは、韓国に脅しをかけて国民に恐怖を与えることにあった―。

 3月20日に韓国で大規模なサイバー攻撃が発生してから1カ月強。韓国政府や専門家による調査・検証によって攻撃者の狙いが見えてきた。サイバー国防学を専門とし、世界のサイバー攻撃について調査を進める高麗大学情報セキュリティ大学院のイ・ギョンホ助教授の見解を基に、攻撃者とされる北朝鮮の狙いに迫る(写真)。

 サイバー攻撃でKBSやMBC、YTNといったテレビ局と、新韓銀行や済州銀行、農協銀行などが攻撃を受けた。イ助教授はまず、被害を免れたテレビ局があった点、テレビ局と銀行が同時に攻撃を受けた点に着目する。

大々的に報道させたかった

 攻撃者はわざと、メジャーな3局以外については攻撃しなかったとみる。3局の事件を、残りのマスコミが報道できるように配慮したのだ。

 銀行も同時に攻撃したのは、サイバー空間での攻撃力を誇示するためだろう。銀行のセキュリティレベルは総じて高いが、報道機関の対応レベルはそれほど高くない。テレビ局だけを攻撃したのでは「弱いところを狙った」と判断されてしまう可能性がある。

 ならば銀行だけを攻撃すればいい気もする。だが、それでは北朝鮮にとっては不十分だという。

 もし銀行だけを攻撃したら、そのニュースを報道機関が大きく取り上げない可能性がある。テレビ局と銀行を同時に攻撃することで、サイバー攻撃の報道を大々的にさせる目的があった。それによって韓国の国民に心理的な恐怖を与えようとした。これが攻撃者の最大の狙いだと分析している。

記者の昼食後を狙う

 サイバー攻撃は午後2時に発生した。この時刻にも、報道を最大化する意味があったという。

 報道機関の記者たちが昼食を終えて、少し休憩を取ってから記事を書けるようにしたのだろう。昼食の時間帯は意図的に避け、さらに翌日の(新聞記事の)締め切りに間に合わせるために、この時刻を選んだと思う。

 今回はウイルス対策などの更新プログラムを配布する「パッチ管理サーバー」が乗っ取られ、大規模なシステムダウンにつながった(記事参照)。一方で機密情報や金銭データの盗難はほとんどなかったという。

 イ助教授はこの事実から、北朝鮮が“手加減”して技術力の誇示にとどめ、預金データの改ざんをきっかけとする「最悪の事態」までは引き起こさなかったとみる。

最悪の事態は「社会の自滅」

 攻撃者が銀行の勘定系システムに不正アクセスして残高データを改ざんすると、銀行は出金業務ができなくなる。銀行にとって最も重要な「信頼」が崩壊し、銀行と預金者との間で小競り合いが起こる。企業間あるいは銀行間でも決済ができなくなり紛争が発生する。政府と銀行との争いにも発展するだろう。

 政府と企業、国民が対立し、戦い合うことで国全体が混乱状態に陥る。つまり社会の自滅につながる恐れが生じるわけだ。これこそが、最悪の事態である。

 要注意なのは銀行だけではない。攻撃者がテレビ局のシステムを乗っ取れば、テレビ画面に「韓国は既に北朝鮮によって占領された」との情報を流すこともできる。

 社会を混乱させる手段は複数あったにもかかわらず、あえて行使しなかったというわけだ。

 北朝鮮に、このようなサイバー攻撃を引き起こす力があるのか。日本人からすると信じがたい気がするが、イ助教授は「力は十分にある」と分析する。

天才3000人の専門部隊

 脱北者や関係者の証言をまとめると、北朝鮮の「電子偵察局」という国防関連組織に3000人ほどの要員がいることが分かっている。これがサイバー部隊であると、我々は分析している。

 通信プログラムの開発部隊や不正アクセス用のプログラム開発部隊など、役割別に組織が細分化されているようだ。(他国の)軍を相手取って、インターネット上で心理戦を繰り広げることができる部隊もある。人材は、金日成総合大学や金策工業総合大学、平壌科学技術大学、美林大学などから天才を選抜して、体系的な教育を施している。

 故・金正日国防委員長(総書記)がかつて、「インターネットは銃である」とのメッセージを出した直後から、このような教育が行われているとみている。

ITの「ブレーキ」開発を急げ

 日本の政府や企業にとっても、他人事では済まされない。サイバー攻撃に備えて、どんな対策を講じるべきなのか。最大のポイントは未知なる攻撃への備えだ。

 サイバー攻撃で悩ましいのは、攻撃は簡単だが防御は非常に難しいということだ。

 攻撃者は未知の手法で攻撃を仕掛けてくる。防御に当たっては、攻撃手法を解析した上で対策ファイルを作成・配布するまでのリードタイムをどれだけ縮められるかが勝負だ。新しい攻撃を受けることを前提に、被害を最小限にとどめる準備が(政府や企業に)求められる。

 とはいえ、こうした運用面での対応には限界がある。イ助教授はシステムの設計段階から、リスクに強いシステムを念頭に置く必要があると強調する。

 ITがあまりにも急速に発展・浸透してきたため、防御の仕組みが追いついていない。今のITインフラの状態を自動車に例えると、時速500キロメートルのスピードを出せるエンジンを搭載したものの、その速度で走る自動車を止められるブレーキが存在しないイメージだ。国民はブレーキのない自動車に乗っていることになる。

 ITの導入によって社会が(サービス向上などの)利益を得ようとするなら、リスクを防ぐブレーキも同時に実現する必要がある。システムの設計段階から、セキュリティについて根本的な対応を織り込んでいくことが欠かせない。

 システムの開発者はITのほか暗号学や統計学、心理学、さらには人文学まで学び、学問的なアプローチによってセキュリティの問題を解決しながらシステムを設計・実装していくべきだろう。それから実装時はコードレビューを100%消化しなければならない。静的分析と動的分析の両方を実施することが大切だ。

 北朝鮮は弾道ミサイルとサイバー攻撃で挑発を続ける。最悪の事態を避けるためにも、日本の政府や企業は抜本的な対策を講じる必要がある。