【北のハッキンググループ「ラザルス」複数か所に「トラップ」を設置…数年に渡って情報を抜き取るケースも】S2W紹介記事
こんにちは、S2W NOTE編集です。
本日の記事では、北のハッキンググループ「ラザルス(Lazarus)」に関してS2Wが韓国の大手日刊紙「朝鮮日報」の取材に協力しましたので、その内容をご紹介します。
以下は、2024年5月13日付の韓国の大手日刊紙『朝鮮日報』の記事を翻訳・編集した内容になります。
韓国の最高裁判所の電算網をハッキングした「ラザルス」は「HIDDEN COBRA」というニックネームでも呼ばれており、「キムスキー(Kimsuky)」と共に偵察総局傘下の二大ハッキンググループとして知られています。
米中韓など国を選ばず公共機関や銀行などを攻撃し機密情報を盗み、暗号資産を奪取して収益を得ています。
「ラザルス」は2009年から4年間、韓国と在韓米軍を標的とした「トロイ作戦」を通じて存在が明らかになりました。この攻撃は、彼らが送信したメールの添付ファイルを開くと、ギリシャ神話のトロイの木馬のように、ユーザーが気付かないうちにマルウェアがインストールされデータが流出する手口です。
また、2017年に世界100か国を混乱に陥れた「WannaCry」マルウェア流布事件も彼らの犯行です。この事件は、ユーザーの重要ファイルを暗号化した後、一定金額を出さなければパスワードのロックが解除されないという手口でした。
このほか、ソニーピクチャーズやバングラデシュ中央銀行へのハッキングなどの重大事件に関与しています。
「ラザルス」をはじめとする北朝鮮のハッカーの攻撃に関する検知が難しい理由として、長期に渡って攻撃が執拗に行われている点が挙げられます。
通常、特定の標的を対象にマルウェアを流布した後、ハッキングと同時に大量のデータを奪取しますが、北朝鮮のハッカーの場合、複数の内部職員のアカウントや端末を対象にハッキングメールなどのトラップを仕掛け、ハッキングが成功した場合、数か月、長い場合は数年にわたってデータを少しずつ抜き取る手法が特徴です。
S2Wのソ・サンドク代表は「このようにハッキングされたシステムは、大量の流出や外部通信などの異常な兆候がないため、検出が難しく、途中で検出されても自社のシステムが更新される過程で以前の記録が削除され、いつからどのくらいの被害が発生したのかが分かりにくいのです」と述べ、 北朝鮮のハッキング攻撃の検知の難しさを強調しました。
「ラザルス」は2021年の1年間、韓国の大手セキュリティ認証企業をハッキングした後、同社のプログラムがインストールされたPCが特定のメディアにアクセスするとマルウェアが埋め込まれるいわゆる「水飲み場攻撃(ウォーターリングホール)」手法を用いて韓国メディアと公共機関のPCをハッキングしました。調査の結果、マルウェアのインストールが「100万分の1秒」で行われていたことが明らかになりました。
このように高度化していく北朝鮮のハッキング手法に対する積極的なセキュリティ対策が必要です。
