相次いで発生しているハッキング事件に関連し、米国のハッキング専門誌「Phrack」が発表した「APT Down: The North Korea Files」報告書は、通信会社や企業だけの問題ではなく、韓国政府そのものが突破されたと警告している。
報告書は、北朝鮮偵察総局傘下のハッキンググループ「キムスキー」が、韓国の行政安全省、外務省、国軍防諜司令部、主要通信会社などを継続的に攻撃していたと推定している。
一方で、北朝鮮ではなく中国系グループが背後にいる可能性を示唆した高麗大学情報保護大学院の分析も衝撃的だ。
◇韓国政府を狙う国家級ハッキング
IT・セキュリティ業界によると、米国の非営利団体DDoSecretsは8月8日、「APT Down–The North Korea Files」と題する資料を公開した。
この資料は、ホワイトハッカー(仮名:Saber、cyb0rg)らが、国家支援を受けたとみられるハッカー「KIM」のワークステーションおよびVPS(仮想プライベートサーバー)から奪取した約8.9GB分のデータであり、「Phrack」創刊40周年記念号を通じて初公開された。
報告書によると、攻撃者は政府統合電子文書システム「オンナラ」のサーバーに侵入し、公務員の行政電子署名(GPKI)に関する検証ログ約2800件を盗み出した。
具体的には、以下のような情報が含まれていた:
・統一省・海洋水産省「オンナラ」内部ネットワークの認証記録およびパスワード解読用Javaプログラム
・行政安全省の行政電子署名用証明書
・外務省内部の「Kebiメール」サーバーのソースコード
「オンナラ」システムは、すべての政府機関における文書の作成・検討・決裁を担う統合プログラムであり、政府文書だけでなく、メール、ビデオ会議資料、国務会議や省庁の日程資料などが登録されるサーバーである。
KTに関するハッキング疑惑も、このPhrack報告書においてKTの証明書(SSLキー)が流出していた形跡が発見されたことから始まった。その後、少額決済に関する侵害事件が発生した。政府機関へのハッキングとこの少額決済事件との関連性については、今後の追加調査が必要だ。
高麗大学情報大学院の研究チームは、韓国政府を攻撃したハッカーが中国の祝日を守るパターンや、中国の動画サイト「AcFun」へのアクセスなどを根拠に、中国の支援を受けた「APT41」「UNC3887」などの組織に関連していると推定した。
国家情報院は、Phrack報告書が公開される前にすでにハッキングの事実を把握しており、攻撃対象となった省庁に対して措置命令を出していたとされる。
◇ChatGPTを“脱獄”
キムスキーグループは、ChatGPTなどの生成AIを用いたディープフェイク技術で偽の軍用身分証を作成し、スピアフィッシング攻撃を継続している。
「Geniansセキュリティセンター」は、7月の報告書で「ChatGPTは偽の身分証コピー作成のリクエストを拒否するが、プロンプトやペルソナ(ユーザーの役割)設定などにより「脱獄」手法を用いたものとみられる」と指摘している。
国家情報資源管理院によれば、中央官庁を対象としたハッキング試行件数は2024年16万1208件で、2023年比で100.1%急増した。そのうち「システム権限取得」型の攻撃が22.2%を占めた。
これは単なる金銭目的のデータ盗難を越え、システムを長期的に掌握することを目的とした複合的な攻撃が急増していることを示している。
高麗大学情報大学院のキム・スンジュ教授は次のように警告する。
「韓国の金融・公共機関のセキュリティを支えてきた『ネットワーク分離政策』が、コロナ禍における在宅勤務によって無力化された。このままイ・ジェミョン(李在明)政権が掲げる『みんなのAI』が本格的に実施されれば、さらに深刻な事態が発生する恐れがある。政府は全国的な調査を実施し、現在の脆弱性をすべて改善したうえでAIを導入するという計画を立てるべきだ」
【用語解説】
◇スピアフィッシング:特定の個人、グループ、または組織を標的とするフィッシング攻撃の一種。こうした個別化された詐欺により、被害者を騙して機密情報を盗み取ったり、悪性ソフトウェアをダウンロードさせたりする。
◇脱獄(Jailbreak):生成型AIが内蔵している安全装置や倫理的制限を回避・解除し、通常では不可能なコンテンツの生成や機密情報の出力などの行為を誘発する技術・手法。
◇GPKI:GPKI(Government Public Key Infrastructure/政府公開鍵基盤)は、韓国政府が行政業務や電子文書の処理に際し、公務員や行政機関間の身元確認・電子署名に使用する認証システム。
(c)news1
