偵察の例=Infobloxレポートcnews1-1024x569.jpg)
民間企業を越えて韓国政府を標的にしているハッカー集団の背後には、北朝鮮や中国など、政治・安全保障において敏感な関係を持つ国家が関与している可能性があるとみられている。
これらの集団が使う主な攻撃手法は、政府機関や企業のサーバーに不正に侵入し、マルウェアを埋め込んでデータを奪うものだ。単なる金銭目的にとどまらず、政治的な目的や国家安全保障を脅かす行為に発展する可能性がある。
◇公務員の電子署名を奪う
IT・セキュリティ業界関係者によると、北朝鮮のハッカー集団「キムスキー(Kimsuky)」は、特定の人物や組織を狙った「スピアフィッシング」手法を主に使用しているとされる。
キムスキーは、北朝鮮偵察総局が育成していると推定される国家支援型のハッカー組織であり、韓国のみならず、米国を含む西側諸国まで攻撃対象を拡大し、外交・防衛など機密性の高い分野の情報を収集して北朝鮮政権に提供している。
スピアフィッシングは、政府機関や企業など特定の対象を狙ったハッキング手法であり、メールに正規のURLに見せかけたサイトや、HWP・Microsoft Officeの文書ファイル、Windows PowerShellなどさまざまなマルウェアを添付して、標的にメールを送り、フィッシングサイトに誘導して情報を奪う手口である。
世界的ハッキング専門誌「Phrack Magazine」に掲載された北朝鮮のハッキング動向分析レポート「APT Down – The North Korea Files」では、キムスキーとみられる攻撃者が韓国政府の統合電子文書システム「オンナラ」サーバーに侵入し、公務員の行政電子署名(GPKI)検証ログを奪取したと分析されている。
報告書によると、「Go言語(プログラミング言語)」で作成されたマルウェア「トロール・スティーラー(Troll Stealer)」が、感染した端末に保存されているGPKIの証明書とキーを盗むことができ、攻撃者はこのマルウェアを含むファイルを数千個保有していた。
このトロール・スティーラーは、国内の特定ウェブサイトにアクセスした際に実行されるセキュリティプログラムのダウンロードページを通じて配布されており、「TrustPKI」や「NX_PRNMAN」といったセキュリティプログラムに偽装してサーバーに侵入したことが確認されている。
◇Chrome拡張機能に偽装
米国のセキュリティ企業Zscalerは2024年、キムスキーが開発した新たなGoogle Chrome拡張機能「Translatext」を発見した。この拡張機能は、ネイバーやカカオ、GoogleのGmailなど、韓国国内のユーザーが多いメールサービス提供会社のセキュリティを回避して情報を盗むことができる。
具体的には、ポータルサイトのログインページにアクセスした後、偽のフィッシングサイトを表示し、ユーザーがアカウント情報を入力するとその情報を奪うという仕組みだ。
Zscalerは、キムスキーがこの拡張機能を2024年3月7日に開発者向けプラットフォーム「GitHub」のアカウントにアップロードし、翌日に削除したと指摘している。同社は「キムスキーが露出を最小限に抑え、特定の個人を狙って短期間でマルウェアを使用しようとしたことを示している」と分析している。
◇目立たず侵入、密かに奪う
中国のハッカー集団「SecShow」は、DNS(ドメインネームシステム)を偵察し、DDoS攻撃に適した環境を整えている兆候が確認された。
SecShowは中国を拠点とするハッカー組織で、中国政府の教育・研究ネットワークと連携し、世界中のサイバーセキュリティ情報を収集していると推定されている。
DNSは、数字の羅列であるIPアドレスの代わりに、覚えやすいドメイン名を使用してウェブサイトにアクセスできる仕組みだ。SecShowは中国教育科学研究計算機ネットワーク(CERNET)を拠点に、世界のDNSを探索しているとされる。
米国のセキュリティソリューション企業インフォブロックスは報告書で「SecShowの作戦の最終目的は明らかになっていないが、収集された情報は悪意のある活動に利用される可能性があり、攻撃者の利益のために使われる」と分析している。
また、中国系ハッカー集団は、目立たない形で作動する「BPFドア」系列のマルウェアを使うことで広く知られている。
BPFドアは「バークレーパケットフィルター(Berkeley Packet Filter/BPF)」を悪用したLinuxベースのバックドア型マルウェア。セキュリティソリューションの目をかいくぐりながら、サーバー内のデータを密かに奪取することができる。2025年4月に発生したSKテレコムのハッキング事件でも、このマルウェアが加入者認証サーバー(HSS)を侵害したことが確認されている。
【用語解説】
◇DDoS(ディードス):分散サービス拒否攻撃(Distributed Denial of Service)。複数の端末を用いて、サーバーやネットワーク機器に過剰なトラフィックを発生させ、正常な通信を妨害する攻撃の一種。
◇キムスキー(Kimsuky):北朝鮮偵察総局傘下のハッカー組織。外交・安全保障・防衛などの分野で個人や機関から情報を収集し、技術を奪って北朝鮮政権に提供しているとされる。
◇SecShow(セクショウ):中国を拠点とするサイバー攻撃集団。世界のDNSを偵察する活動が確認されている。セキュリティ企業「インフォブロックス」の分析によれば、中国政府が支援する中国教育科学研究計算機ネットワーク(CERNET)と連携しているとみられている。
(c)news1
偵察の例=Infobloxレポートcnews1.jpg&description=%5BKW%E3%83%AC%E3%83%9D%E3%83%BC%E3%83%88%5D+%E5%9B%BD%E5%AE%B6%E3%81%8C%E3%83%8F%E3%83%83%E3%82%AF%E3%81%95%E3%82%8C%E3%82%8B%E6%97%A5%E2%80%A6%E3%80%8C%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%BE%8C%E9%80%B2%E5%9B%BD%E3%83%BB%E9%9F%93%E5%9B%BD%E3%80%8D%E3%81%AE%E7%8F%BE%E5%AE%9F+%285%29){kind=link}