最近、韓国国内で発生した大規模なサイバー侵害事故の多くは「高度標的型持続攻撃(APT)」が原因だ。これは、特定の企業や機関の機密データを盗み取るため、数年にわたり潜伏し、さまざまなマルウェアや侵入経路をあらかじめ設置しておく手法である。
セキュリティ業界によると、2025年4月に明るみに出たSKテレコムのUSIM情報サーバーへのハッキングも、APT攻撃の一例だ。
この事件では、中国系組織が主に使用する「BPFドア」と呼ばれるバックドア型マルウェアが使われた。攻撃者はこの攻撃を実行するため、4年前から企業の管理ネットワークやコアネットワークに対して初期侵入を試みていた。
2007年にAPTが初めて言及された当時は、現在よりも手法が単純だった。初期侵入には今と同様に「標的型メール(スピアフィッシング)」が使われ、続いて「Konni」や「PlugX」といったマルウェアビルダーを用いて、侵入したサーバー内の管理者権限を奪取する程度だった。
しかし▽生成型AIなど最新技術の登場▽オープンソース型の攻撃ツールの普及▽ITサプライチェーンの複雑化――によって、APTの手口は進化している。侵入可能な面(攻撃対象)は拡大し、準備にかかるコストは大幅に減少している。
実際、SKシールドスEQSTによれば、2024年上半期に最も多く発生した侵害事故の類型(45%)は「脆弱性攻撃」であり、これもAPTの一部だ。VPNやルーターなど、ネットワーク機器の新たな脆弱性を突いた攻撃が主流となっている。
◇APT攻撃は“信用”を武器に侵入する
APTの初期段階である「スピアフィッシング」も、生成型AIの発展によって防御が難しくなっている。
「Geniansセキュリティセンター」が紹介した、北朝鮮偵察総局傘下の「キムスキー」と推定される攻撃者の事例がそれを物語っている。2025年7月、攻撃者はディープフェイク技術で偽の軍務員証を作成し、関連機関にフィッシングメールを送付した。業務メールと誤認した職員が添付ファイルを開くと、サーバーを乗っ取るマルウェアが実行される仕組みだった。
別の北朝鮮系組織「フェイマス千里馬」は、AIエージェントで信ぴょう性の高い英語の履歴書を作成し、2024年は偽装就職活動に悪用。北米・西ヨーロッパ・東アジアなどで、計320社が被害にあった。
初期侵入に成功すると、APTグループは複数のバックドアを設置して内部ネットワークを偵察する。主な目的は、システムを遠隔操作するための外部指令サーバーとの接続ポイントを構築することだ。
SKテレコムのUSIMハッキングや8月のロッテカードの事件などで使用された「ウェブシェル」攻撃は、その代表例である。これは、スクリプト形式の小さなマルウェアを作り、ウェブサーバーのアップロード脆弱性を突いて埋め込む方式だ。
ウェブシェルを経由することで、攻撃者は認証を回避してターゲットのシステムに接続できる。その後、サーバー内でコマンドを実行し、管理者権限を獲得する。
データの持ち出し過程では、攻撃者がセキュリティ担当者の注意を逸らすための妨害工作をすることもある。
業界では、APTの多くが国家の支援を受けた組織による「情報戦」の様相を呈していると分析している。グローバルセキュリティ企業Group-IBの年次報告書によれば、韓国はアジア太平洋地域におけるAPTの主要標的国の上位10カ国に入っている。隣国である北朝鮮・中国との安全保障上の緊張関係が背景にある。
◇誰でも始められる“犯罪ビジネス”
金銭奪取を目的とした「ランサムウェア」も、防御自体が困難だ。開発知識がなくても、誰でもパッケージ化されたランサムウェア攻撃ツールを購入して使用できる時代になった。これがいわゆる「サービス型ランサムウェア(RaaS)」である。
SKシールドスは、2024年の世界的ランサムウェア被害の約15%を引き起こした「ランサムハブグループ」グループを例に挙げている。ランサムハブグループは、提携業者に対して収益の約90%を分配するという破格の条件で勢力を拡大してきた。
最近、韓国のウェルカム金融グループの系列会社や中小型資産運用会社を攻撃したロシア系組織「キリン(Qilin)」もRaaSを基盤とするグループである。他の犯罪者にランサムウェアや各種ツールを提供し、収益の15~20%を取り分として得ているとされる。
攻撃の対象面が広がったことで、APTでもランサムウェアでも、初期侵入を100%防ぐのは事実上不可能だ。現実的な対策としては、サーバー間の異常トラフィックを検出する「管理型セキュリティ(MDR)」や、多要素認証ソリューションなどが挙げられる。
長期的には、データにアクセスするすべての主体を常に検証する「ゼロトラスト」モデルへのインフラ転換が必要だ。ただし、そのためにはセキュリティおよびネットワーク機器の大幅な刷新が求められ、具体的な導入手法もまだ開発段階であるため、実現には時間がかかりそうだ。
【用語解説】
◇スピアフィッシング:特定の個人、グループ、または組織を標的とするフィッシング攻撃の一種。こうした個別化された詐欺により、被害者を騙して機密情報を盗み取ったり、マルウェアをダウンロードさせたりする。
◇VPN(バーチャル・プライベート・ネットワーク):仮想専用ネットワーク。公共ネットワーク上においても、安全に内部ネットワークへ接続できるようにするセキュリティサービス。
◇ランサムウェア:ランサム(身代金)とソフトウェアを組み合わせた言葉で、システムをロックしたり、データを暗号化して使用できなくし、その解除の見返りに金銭を要求する悪質なプログラム。
(c)news1
