北朝鮮ハッカー組織が約２カ月間、「防諜社作成の戒厳文書公開」「今日の運勢」などの詐称電子メールを１２万通以上流布し、個人情報のハッキングを試みていた情況を韓国警察が確認した。警察国家捜査本部は１５日、「昨年１２月『防諜社作成戒厳文書公開』というタイトルで発送された電子メールを捜査した結果、北朝鮮の仕業であることを突き止めた」と明らかにした。

警察は昨年１２月１１日午後１時４５分ごろ、「防諜社が作成した戒厳文書公開」という件名の電子メールが不特定多数に届いていた状況を確認して捜査に着手した。該当の電子メールには「呂寅兄（ヨ・インヒョン）防諜司令官の指示で作成されたこの文書には国会の戒厳解除要求時、大統領の拒否権限があるかどうかなどを検討した内容が含まれている」とし、添付ファイルをダウンロードするように誘導した。該当の添付ファイルをダウンロードすると悪性プログラムが実行されるフィッシングメールだった。

これを含めて北朝鮮ハッカー組織は昨年１１月から今年１月までの間に、韓国内のサーバー１５台をレンタルして１万７７４４人を対象に１２万６２６６通の詐称電子メールを送った。メールの種類は「今日の運勢」や経済記事の紹介、健康情報が入った情報誌など３０種余りに達した。イム・ヨンウンら有名歌手のコンサート観覧券の招待状を装ったケースもあった。メールの発信者は政府機関を詐称しているか、受信者の普段の知人の電子メールアドレスと見分けがつきにくいように作って詐称した。


北朝鮮ハッカー組織はこのような電子メールで「こちらへジャンプ（リンク）」をクリックさせるように受信者を誘導した。リンクをクリックするとポータルサイトのアカウントＩＤとパスワードを要求するフィッシングサイトにつながるように設計されていた。偽サイトのアドレス（ＵＲＬ）はグーグル（Ｇｏｏｇｌｅ）やネイバー（ＮＡＶＥＲ）、カカオ（Ｋａｋａｏ）など有名サイトの住所に「ａｕｔｈ」「ｌｏｇｉｎ」などの単語を追加する形式だった。

北朝鮮側からのメールを受け取った１万７７４４人のうち１２０人はＩＤやパスワードなどを入力して個人情報が流出する被害を受けたことが分かった。ただし重要な情報の流出はなかったという。

警察は確保したサーバー分析を通じて北朝鮮の痕跡を多数確認した。該当サーバーはこれまで北朝鮮発のサイバー攻撃当時に使われたサーバーと同一で、犯行根源地ＩＰアドレスもまた北朝鮮と中国の境界地域である遼寧省に割り当てられた点も確認された。また、サーバー記録でインターネットポート（ｐｏｒｔ）を「浦口」、動作を「起動」、「ページ」を「ペジ」とそれぞれ表現するなど、北朝鮮で使われる語彙が数多く使われている点を確認した。