2024年5月、仮想通貨交換業者「DMMビットコイン」から約482億円相当の仮想通貨が流出する衝撃的な事件が発生しました。この攻撃の背後にいたのは、北朝鮮のハッカー集団とされています。しかし、この事件は北朝鮮のサイバー攻撃の一端に過ぎません。北朝鮮のハッカー集団は仮想通貨だけでなく、防衛や核関連組織をも標的として活動しているのです。その巧妙な手口と狙いに迫ります。
仮想通貨を狙う北朝鮮のハッカー集団
2024年5月、仮想通貨交換業者「DMMビットコイン」で約482億円相当の仮想通貨が流出する事件が発生しました。この事件について、警察庁と米連邦捜査局(FBI)は、北朝鮮のハッカー集団「TraderTraitor(トレーダートレーター)」が関与したと発表しています。この攻撃では、リンクトインを使った巧妙なフィッシングが用いられ、社員のパソコンに不正プログラムを仕込む手法が取られました。具体的にはヘッドハンティングを装った攻撃者が社員を称賛し、スキル確認という口実で、パソコンに不正なソフトウェアをインストールさせたようです。
その後、不正プログラムによって社員がアクセスできる出入金管理システムの権限を取得。次に偽の仮想通貨取引を実行させるプログラムを仕掛けることで、意図しない資金移動をさせ、最終的に仮想通貨の流出を引き起こしたとみられています。
以下の動画では、DMMビットコインの流出事件に関する詳細が報じられています。
ですが、この事件は北朝鮮のサイバー攻撃の氷山の一角にすぎません。仮想通貨の窃取は同国の主な資金源として広く知られていますが、実際には他にも多くのターゲットが存在します。その中でも特に厄介なのが、核関連組織への攻撃です。
核関連組織への攻撃
北朝鮮は国際社会の経済制裁を受ける中で、サイバー攻撃を通じて資金や機密情報を獲得する手段を模索しています。仮想通貨取引所を狙う一方で、防衛や核関連組織への攻撃も活発化しています。このような組織への攻撃の多くは、北朝鮮のハッカー集団「Lazarusグループ」によるものです。
例えば、2024年1月某国において「CookiePlus」というマルウェアを使い、核関連組織の社員を標的にした攻撃が確認されました。この手法では、偽の求人情報やスキル評価を装い、被害者を信じ込ませることでマルウェアを拡散しました。これは、仮想通貨攻撃と同様に社会的な信頼を利用した手法であり、北朝鮮が標的ごとに攻撃の手段を柔軟に変化させていることを示しています。
CookiePlusについて
このマルウェアは、被害者が偽の求人情報を通じてトロイの木馬化されたVNC(仮想ネットワークコンピューティング)アプリをダウンロードすることで感染します。
VNCというのはリモートで他のコンピュータを操作するためのソフトウェアです。本来は、遠隔地から自分のPCを操作したい時などに使用されるもので、ネットワーク越しに画面を操作することができます。しかし、攻撃者はこのVNCを「トロイの木馬」という手法で悪用します。トロイの木馬とは、一見無害なソフトウェアに見えるが、実際は密かに攻撃を行う悪意のあるプログラムのことです。
このようなアプリをターゲットに送りつけ、被害者がそれをインストールすると、攻撃者はそのPCをまるで自分のPCのように操作できるようになります。そして、重要な情報を盗んだり、さらなる不正アクセスを行ったりすることが可能になるのです。
攻撃者は次のような手法を用いていました。
ターゲット特化型フィッシング
攻撃対象は、核関連の研究や開発に携わる職員でした。著名な防衛関連企業を装ったスキル評価のメールやドキュメントを送り、被害者の信頼を得てマルウェアを実行させます。
多段階的なマルウェア感染
初期感染後、追加のマルウェアをダウンロードし、ネットワーク内での横展開や重要な情報の窃取を可能にします。この段階で核関連の機密情報が外部に送信される危険性があります。
長期的な監視と情報収集
攻撃者は感染したデバイスを通じて、長期的に情報収集を行うことを目的としています。これにより、核開発プロジェクトや防衛計画に関する機密情報を北朝鮮へ送信する仕組みが明らかになっています。
繋がる戦略—北朝鮮の目的
仮想通貨と核関連組織、一見すると全く無関係に思えるこれらのターゲットには、実は共通する目的があります。それは、北朝鮮の「資金調達」と「情報収集」という二つの戦略的な目標です。これらの攻撃は、単なるサイバー犯罪にとどまらず、北朝鮮が直面している国際的な経済制裁や外交的圧力を乗り越えるための重要な手段となっています。
まず、仮想通貨に関して言えば、北朝鮮は自国の経済制裁を回避するための手段として、サイバー攻撃を活用しています。特に、仮想通貨交換所や取引プラットフォームへの攻撃は、非常に高い収益を得る手段として利用されており、Lazarusグループをはじめとするサイバー攻撃者が複数回にわたり大規模なハッキングを実行してきました。これにより得た仮想通貨は、核・ミサイル開発の資金として流用されることが知られていますが、まず大前提として仮想通貨は、取引が匿名で行えるため、北朝鮮にとっては追跡されにくい資金源となっており、国際的な監視をかいくぐるための重要な手段となっています。
一方で、核関連組織への攻撃も、同じく自国の軍事力強化を目的としています。北朝鮮は、サイバー攻撃を通じて、防衛関連の情報を収集し、これを自国の技術力向上に役立てているのです。例えば、核開発に必要な高度な技術や設計図、さらにはミサイル技術に関するデータがターゲットにされることがあります。こうした情報が手に入れば、北朝鮮は独自にミサイルや核兵器の開発を進め、国際的な軍事力としての存在感を強化することができるわけです。要するにサイバー攻撃は単なる金銭的な目的だけでなく、軍事的な意味合いも大きいのです。
つまり、仮想通貨の窃取と核関連組織への攻撃は、北朝鮮の戦略的な「二重の目的」を果たすための手段として密接に関連しています。仮想通貨で得た資金は、軍事開発を支えるための資金源となり、核開発に関する情報収集は、自国の防衛能力を向上させるために利用されます。このように、北朝鮮はサイバー攻撃を一貫して「資金調達」と「情報収集」のために駆使しており、その戦略的な効率性を高めるためにターゲットの幅を広げています。
。
出典
The Hacker News, “Lazarus Group Spotted Targeting Nuclear Organizations in Latest Cyber Attack,” 2024年12月, https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html
Yahoo News, “DMMビットコイン流出、北朝鮮ハッカーの攻撃 警察庁が非難声明” 2024年12月, https://news.yahoo.co.jp/articles/4ac23b7d1078911797baf86f1cb9c73b579d41ca?utm_source=chatgpt.com
