【北のハッカーが韓国の建設業を標的に、昨年比で攻撃が増加】サイバー脅威と政策に関する重要ニュース
こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。
以下、2024年8月5日の韓国のメディア『アジア経済』の記事を翻訳・編集した内容になります。
金正恩「地方の発展」指示直後にキムスキーが韓国の建設業を攻撃
国家情報院など情報共同団体セキュリティ勧告声明を発表
「建設・機械」産業分野を標的とした北のハッキング攻撃が前年比で急増
「地方発展20×10」金正恩の政策との関連性
韓国の情報当局が韓国の建設・機械産業分野を狙った北朝鮮ハッキンググループによる技術窃取の可能性を警告する合同セキュリティ勧告声明を出しました。
5日、国家サイバー安保センターによると、国家情報院と検察庁、警察庁、国軍防衛司令部、サイバー作戦司令部などが参加する「サイバー安保情報共同体」は、同日発表した合同セキュリティ勧告声明を通じて「建設・機械産業、自治体の公務員を標的としたハッキング攻撃が前年に比べ急増したことを確認した」とし「北が無断で盗んだ韓国の建設・機械、都市建設分野の資料を工業工場建設と地方発電計画に利用するものと推定する」と明らかにしました。
特に今回の勧告声明に含まれるハッキング活動の主体組織は、北の偵察総局傘下のハッキンググループ・キムスキーとアンダリエルだとし、「偵察総局傘下のハッキンググループが同時期に同じ政策を達成するために特定の産業分野を集中的に攻撃するのは異例」と警告しました。
キムスキーは今年1月、韓国の建設産業の職能団体ホームページを通じてマルウェアを配布しました。マルウェアはホームページログイン時に使用されるセキュリティ認証ソフトウェアに隠されており、これによりホームページにアクセスした自治体、公共機関、建設企業の関連業務担当者のPCが感染しました。
有効なデジタル証明書を事前に盗み取り、改ざんされたソフトウェアファイルに署名し、正常なセキュリティ認証ソフトウェアと共に配布するなど、緻密な準備作業を行ったことが調査により判明しました。
今年4月には、別のハッキンググループ「アンダリエル」が攻撃を実施しました。韓国の情報セキュリティソフトウェアに対する脆弱性を悪用し、アップデートファイルをマルウェアに交換・実行する方法を通じて、建設・機械メーカーなどに遠隔制御ウィルス(DoraRAT)を配布したことが判明しました。攻撃に使われた遠隔操作型のマルウェアは、ファイルのアップロード・ダウンロード、コマンド実行などのシンプルで軽量化された形で開発されました。感染したPCから大量のファイルを盗み取ることが可能な「ファイル切取型マルウェア」も確認されました。
情報共同体は、キムスキーの攻撃などについて北が建設分野の公務員へのハッキングを足掛かりにして、建設に関わる主な公共事業に関する情報と事業に参加した建設企業の技術資料を盗み取ろうと試みたものと推定しています。
特に、このような事例が個人の不注意ではなくホームページや情報セキュリティソフトウェアの脆弱性によって発生したとし、「北がサービス・製品の脆弱性を今後も引き続き狙うと見られるだけに、関連部署の公務員とIT(情報技術)・セキュリティ担当者の被害緩和に対する努力が重要だ」と明らかにしました。
韓国の建設・機械関連団体に対するハッキングの試みは、北朝鮮の工業政策と無関係ではないという分析が出ています。金正恩国務委員長が今年1月、最高人民会議で「人民生活を向上させる上で重要な課題は首都と地方の違い、地域間の不均衡を克服すること」といわゆる「地方発展20×10政策」を提示してから、北は毎年20の市・郡に近代化された工業工場建設を推進しています。
一方で、サイバー安保情報共同体は、国際・国家支援型ハッキンググループの違法サイバー活動に対する抑止力の確保を目標に、関係部署間の緊密な協力体制構築のため、昨年7月に発足しました。
主な任務は▲国際・国家支援型ハッキンググループの主な攻撃方法の共有と公開 ▲サイバー安保のための公開手配・起訴など法的措置 ▲違法活動に対する牽制、抑止力確保などです。
