Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

韓国の国防科学研究所からの情報漏えい

4月に発覚した、韓国国防科学研究所からの機密データ漏えい事件ですが、中間報告が出た様です。内容を見ると、日本だったら防衛大臣の首が飛ぶ程度では済まないレベルに思えますが、韓国では今後どこまで事件の影響が広がるのかが気になる所です。

www.chosunonline.com

 

 韓国軍の武器システム開発の中心機関である国防科学研究所(ADD)から国防機密資料が大量に流出した状況が、25日までに事実と判明した。防衛事業庁(防事庁)は「2016年1月から2020年4月までのADD退職者1079人および在職者について携帯用保存メディア使用記録を全数調査した結果、元研究員3人が退職前、大量の資料をUSBメモリーなどへ転送した後、外国へ渡ったり韓国国内の大学に就職したりした状況が確認された」と発表した。

 防事庁の調査によると、研究員3人が携帯用保存メディアを用いてファイルを開いたり保存したりしたログはおよそ100万件に達する。各研究員のログは8万件、30万件、68万件に上ることが分かった。ただし、防事庁関係者は「ログは情報流出防止システムのプログラムに残っていた記録で、流出した資料の数ではない」とし「正確に何件の技術が流出したのか、資料が軍事機密なのかどうかは捜査で明らかにされるだろう」と語った。

朝鮮日報記事より引用)

 

キタきつねの所感

軍事機密がサイバー攻撃により狙われる事件は、三菱電機NEC等、日本でも発生していますが、民間企業以上に厳しい機密管理が求められる軍事施設において、ここまで杜撰な管理だった事に、正直驚きました。

※上記朝鮮日報以外の参考記事のリンクを先に貼っておきます。

① 韓国の防衛技術流出深刻 ハッキングに加え職員持ち出し 海外へ 日本は - 韓国政治・軍事-政治経済・時事・倒産情報 | JC-NET(ジェイシーネット)

② 全研究員が事件に関与? 韓国が国防機密流出事件の中間報告を発表

③ South Korean Defense Research Officials Being Probed for Data Leak

④ (LEAD) Police investigation sought for former arms development researchers for alleged tech leaks | Yonhap News Agency

 

上記の参考ソースを元に、全体図を書くと以下の感じになります。

※一部真偽の確認が取れてない情報も入りますのでご留意ください

 

f:id:foxcafelate:20200627170321p:plain

 

率直に言って、この研究所は軍事機密を扱うべき施設ではないと思います

 

内部情報漏えい事件として考えた場合、USBやHDDの外部記憶媒体に機密情報をコピー出来た所が最大の問題点と言えます。国防科学研究所では、資料の無断持ち出しを防止する目的で2006年に文書暗号化システムを導入した様(※①)ですが、最新化されておらずExcelファイルや図面データ、実験データが管理対象外となっていた(※①)事から一部のファイルを平文で入手が可能だったと推測されます。

また、研究試験用PCの62%に相当する4,287台に情報漏えい防止システムのプログラムがインストールされてなかった(※①)事から、USBメモリや外付HDD等がこれらの端末では自由に使えたと考えられます。

 

また、防衛事業庁が、国防科学研究所(ADD)の退職者1,079人と在職者の携帯用保存メディア使用記録を全数調査した結果、元研究者3人がファイルを開いたり保存したりしたログは100万件を超えると判明しているのですが、更に23人が調査中(※④)、つまりもっと漏えい対象件数が増える事を示唆しています。

 

退職者が内部データを持ち出して辞めていく事は、民間企業ではたまに発生します。しかし、これは退職前のチェックで一定程度の不正が検出できる可能性が高いと言われています。

今回の事件では、全てではなかったにせよ、ログから今回の漏えい調査をした事から考えると、退職者の不審な行動のログを研究所側がチェック(点検)出来たはずです。

しかし、管理規定では退職前に点検を行う事になっていたにも関わらず、3年間で一度も保安点検を実施してなかった(※①)様です。これは、施設の監督責任者の責任が厳しく問われるのではないでしょうか。

 

仮に、こうした内部のセキュリティ対策がほとんど機能しなかったとしても、施設の入場・退場時に持ち物検査(金属探知)が厳格に行われていれば、内部不正を検知できた可能性もありますが、この研究所では、軍事機密を扱う施設では一般的に実施されている警備員の持ち物確認が無いどころか、警備員自体がそもそも配置されてなかった様です。

 

更に言えば、施設出入り口にセキュリティゲートが無かったのも直接、事件とは関係が無い事ではありますが問題だったと思います。

ゲートが無かった事で、外部の人間がID証をコピーして研究所に出入りしていた(※②)様で、外来者管理だけでなく、セキュリティゾーニングがまったく効いてなかった事が伺えます。

 

こうした体制不備・・・どこかであったなと考えて、思い出しました。

 

ベネッセの内部犯行事件と一部脆弱点が似ている気がします。

 

ソフトウェアの最新化に不備があった点や、警備員の持ち物確認が確かなかった点です。

※誤解が無い様に補足しますが、ベネッセのセキュリティ体制は事件当時もかなり高かったと思います。ソフトの最新化不備や内部不正に対する備えが不足していた点を、元派遣社員に突かれたのが主原因ですので、今回の様な杜撰なセキュリティ体制だったという訳ではありません。

 

内部犯行としては、良いユースケース(教育題材)になりそうな事件の様ですので、続報が出たらもう少し追いかけてみたいと思います。

 

 

余談ですが、この事件、実はまだ爆弾が隠れている気がします。漏えいした可能性がある情報には、アメリカの防衛機密情報が含まれては・・・うん。無いと思います

そう思いたいです。思ってもいいかな?

無いとは思いますが、仮にそんな事があったとすると・・・秋の大統領選挙を控えるトランプ大統領が韓国に対し、素敵な対応をとってしまう気がしてなりません。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

 

更新履歴

  • 2020年6月27日 PM