韓国の放送通信委員会は2013年3月22日、3月20日に発生したサイバー攻撃に関する追加の調査結果を発表した。当初、韓国の農協が受けた攻撃は、中国のISPが管理するIPアドレスから行われたと発表していたが、実際は、農協内の別のパソコンから行われていたことが判明したという。該当のIPアドレスを、プライベートIPアドレスとして農協のネットワーク内で使用していたことが誤認の原因とみられる。
韓国インターネット振興院(KISA、Korea Internet&Security Agency)によれば、今回の攻撃で使われたウイルスは「パッチ管理システム(Patch Management System)」を経由して、各企業のサーバーやパソコンに配布されたという。
攻撃者は、標的とした企業・組織のパッチ管理システムのサーバーに不正侵入。パッチに見せかけたウイルスを置き、パッチ管理システムを使って社内のサーバーやパソコンに配布したと考えられる。
攻撃を受けた組織の一つである農協のサーバーを調べたところ、同システムにアクセスしてウイルスを置いたとされるIPアドレスは「101.106.25.105」であることが判明。同アドレスは、中国のISP「Beijing Teletron Telecom Engineering」が管理しているため、接続元は中国だとされた。
ところが、被害に遭ったサーバーへの接続記録や、該当のIPアドレスの使用状況などを精査したところ、そのIPアドレスは、同組織のポリシーに基づいて、農協内でプライベートIPアドレスとして使用されていたことが確認されたという。
つまり、中国に置かれたコンピューターではなく、組織内のパソコンから、サーバーにウイルスが置かれたことになる。本来はグローバルIPアドレスである101.106.25.105を、農協ではプライベートIPアドレスとして使用していたために、今回の誤認が生じたようだ。放送通信委員会によれば、警察は該当のパソコンのハードディスクを確保し、詳細に分析しているという。
