北朝鮮が背後にいるとみられるハッカー集団が、GoogleのAndroid(アンドロイド)を搭載したスマートフォンやタブレット端末を遠隔操作し、個人データの削除および悪性ファイルの拡散を行ったとする事例が明らかになった。
情報セキュリティ企業「ジニアンス・セキュリティセンター(GSC)」が11月10日発表した脅威分析レポートによると、このハッカー集団は被害者のGoogleアカウントを乗っ取った上で、端末のリモート初期化を実行し、さらには被害者のカカオトークアカウントを通じて知人らに悪性ファイルを拡散していた。
レポートによれば、9月に国内のある心理カウンセラーのスマートフォンが突然初期化され、その直後「ストレス解消プログラム」を装った悪性ファイルが、カウンセラーの知人に大量送信された事案が確認された。
同様の手口は北朝鮮人権活動家に対しても確認され、30人以上の関係者に対し悪性ファイルが送信されたとされる。
このハッカー集団は、被害者のスマートフォンやパソコンに長期間潜伏しながら、Googleアカウントおよび主要な韓国国内ITサービスのアカウント情報を盗み出していたものと分析されている。
その後、Google位置情報機能を活用して被害者が外出中であることを確認し、Googleの「デバイスを探す(Find My Device)」機能を使ってスマートフォンのリモート初期化を実行した。
こうして初期化された端末は、被害者本人の知人に悪性ファイルを送りつける“発信源”として悪用された。
さらにGSCによると、当該悪性コードの内部からはカメラやマイクへのアクセス権限が確認されており、ハッカーが被害者の私生活を覗き見していた可能性もあるという。
GSCは「端末の無力化とアカウント基盤での拡散を組み合わせたこのような攻撃手法は前例がなく、サイバー攻撃の戦術的な成熟と検知回避技術の高度化を示している」とし、「ハッカー集団の戦術進化の一端である」と評価している。
(c)NEWSIS
