
北朝鮮ハッカーの脅威:企業データ保護が喫緊の課題
TechFlow厳選深潮セレクト

北朝鮮ハッカーの脅威:企業データ保護が喫緊の課題
北朝鮮のハッカーによるセキュリティ攻撃を防ぐにはどうすればよいですか?
執筆:MetaTrust Labs
2024年1月1日、Orbit Chainに対するハッキング攻撃が世界中の暗号資産関係者の注目を集めた。報道によると、ハッカーはOrbit Chainの脆弱性を悪用し、8150万ドル相当の暗号資産を盗み出し、他のアドレスへ転送した。Orbit Chain公式はこの出来事を確認済みであり、国際的な法執行機関と連携して攻撃者の身元および動機の調査を進めている。一部のセキュリティ専門家は、今回の攻撃手法や標的が北朝鮮のハッカー組織ラザルス(Lazarus)のスタイルに類似していると考えており、同組織による新たなサイバー犯罪行為の可能性があるとしている。
ラザルスとはどのような組織なのか?なぜ彼らの活動が国際的にこれほど高い警戒心を呼び起こすのか?また、彼らはどのように暗号資産を利用して国際制裁やマネーロンダリング対策を回避しているのだろうか?
北朝鮮出身のハッカー組織「ラザルス」
ラザルス・グループは、北朝鮮政府の支援を受けた著名なハッカー組織であり、2009年以降10年以上にわたり活動を続けている。この組織は世界的な規模で金融機関、メディア、政府機関などを標的として攻撃を仕掛けてきたことで知られている。ラザルス・グループは、北朝鮮の偵察総局傘下の第121局によって管理・運営されている。銀行や暗号資産取引所への攻撃で特に有名であり、資金やデータの窃取を通じて経済的利益を得ている。同組織はプログラマーに対して高い待遇を提供しており、コンピュータに才能を持つ人材を国家公認の「ハッカー」として採用することを奨励している。
平壌自動化大学は、ラザルス・グループのハッカー人材の主要な供給源の一つである。同組織はかつての政治目的の攻撃から徐々に経済目的の攻撃へと重心を移しており、特に暗号資産分野に集中している。その活動には、セキュリティ研究者への標的型攻撃、オープンソースの暗号資産プラットフォームへの悪意あるコードの埋め込み、大規模な暗号資産強盗事件、偽の求人面接を通じたマルウェア拡散などが含まれる。こうしたハッカー組織が違法手段で得た資金は、従来のサイバー犯罪グループが行う典型的なマネーロンダリングプロセスを経ており、盗まれた暗号資産はしばしば法定通貨に変換され、マネーロンダリング対策を回避するために利用される。
韓国、アメリカ、日本は一貫して北朝鮮ハッカー組織の活動に対して高い警戒を続けてきた。報告によれば、過去数年間で北朝鮮のハッカー組織は30億ドル相当の暗号資産を成功裏に盗み出してきており、これらの資金は北朝鮮の核兵器および弾道ミサイル開発計画の資金源として使われている。米国、韓国、日本の安全保障顧問らはソウルで会談し、北朝鮮のサイバースペースにおけるリスクに対処する方法について協議した。その結果、新たに三カ国共同の協力イニシアティブを発表し、北朝鮮によるサイバー犯罪および暗号資産を用いたマネーロンダリング活動の阻止に重点を置くことを宣言した。この会合は朝鮮半島の緊張状態が高まる中で行われたものであり、北朝鮮は核兵器およびミサイル開発計画の拡大を加速させ、先制使用を公然と示唆していた。
ラザルス・グループの攻撃手法および標的は多岐にわたり、金融機関のSWIFTネットワークへの攻撃から広範な暗号資産強盗まで、高度な技術力と脅威性を示している。しかし、こうした攻撃に対する防御策は依然として不十分である。2018年以降、北朝鮮のハッカーは約20億ドルの仮想通貨を盗んできた。2023年のみでも約2億ドルの暗号資産を盗んでおり、同年の全世界での盗難額の20%を占めている。こうしたハッカー集団の存在は仮想通貨エコシステムに対して継続的な脅威となっており、そのサイバー攻撃手法はますます進化し、複雑化している。
北朝鮮ハッカー組織の活動規模は、他の悪意ある行動主体と比べて10倍以上に上るとも言われており、分散型金融(DeFi)エコシステムにも積極的に攻撃を仕掛けている。彼らはフィッシング、サプライチェーン攻撃、その他さまざまなハッキング手法を駆使している。そのため、企業および個人ユーザーはサイバーセキュリティ対策を強化し、ソフトウェアの定期的な更新、パスワードポリシーの強化、そしてセキュリティ意識の向上を図る必要がある。同時に、規制当局も監督を強化し、こうしたサイバー犯罪を抑止するためのより厳格な法律・規制の制定が求められる。
攻撃事例1:ラザルス、Log4Shell脆弱性を悪用した「Blacksmith(鉄工房)作戦」
攻撃の流れと手法:
1. Log4Shell脆弱性の悪用:ラザルスはまずLog4Shell脆弱性を利用した。これはLog4jログライブラリに存在するリモートコード実行(RCE)の欠陥であり、2年前に発見・修正されたものの、多くのシステムでは未パッチのまま残っており、ラザルスにとっては侵入経路となった。
2. プロキシツールの設置:初期アクセスを確立すると、ラザルスは攻撃対象サーバー上で持続的なアクセスを可能にするプロキシツールを構築した。このツールにより、調査用コマンドの実行、新たな管理者アカウントの作成、さらなる認証情報窃取ツールの展開が可能になった。
3. NineRATの展開:第二段階として、ラザルスはシステムにNineRATというマルウェアを展開した。NineRATはリモートアクセストロイの一種であり、システム情報の収集、新バージョンへのアップグレード、実行停止、自己削除、感染したコンピュータからのファイルのアップロードが可能である。また、永続性の確保とメインバイナリの起動を行うリリーサー機能も含んでいる。
4. DLRATとBottomLoaderの使用:ラザルスはDLRATおよびBottomLoaderも使用した。DLRATはトロイの一種であり、ダウンローダーとしても機能し、感染したシステムに追加のペイロードを導入できる。BottomLoaderは悪意あるソフトウェアのダウンローダーであり、ハードコードされたURLからペイロードを取得・実行する。
5. 認証情報の窃取と永続化:ProcDumpやMimiKatzなどのツールを使用して認証情報のダンプを行い、さらなるシステム情報を取得した。また、システムのスタートアップディレクトリにURLファイルを作成することで、新しいバージョンまたはその削除に関するペイロードの永続化を実現した。
参考リンク:https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.html https://nvd.nist.gov/vuln/detail/cve-2021-44228
攻撃事例2:ラザルス、MagicLine4NXソフトウェアを悪用したサプライチェーン攻撃
攻撃の流れ:
1. ウォーターホーリング攻撃:ラザルスは特定のユーザーが頻繁に訪れるWebサイトに侵入し、悪意あるスクリプトを埋め込んだ。MagicLine4NX認証ソフトウェアを利用しているユーザーがこれらのサイトにアクセスすると、埋め込まれたコードが実行され、ハッカーはシステムを完全に掌握できるようになる。
2. システム脆弱性を悪用したマルウェア拡散:ハッカーはMagicLine4NXソフトウェア内のゼロデイ脆弱性を悪用し、ネットワークに接続されたPCが彼らのインターネットサーバーにアクセスするようにした。その後、データ同期機能を通じて業務用サーバーにマルウェアを拡散させた。
3. データ転送の試み:マルウェアは2つのC2サーバーとの接続を試みた。1つは内部ネットワークのゲートウェイ、もう1つは外部インターネット上にある。接続に成功すれば、大量の内部ネットワーク情報が漏洩する可能性があった。
技術的手法:
1. ゼロデイ脆弱性の悪用:ハッカーはまだ公開されていないMagicLine4NXソフトウェアのゼロデイ脆弱性を悪用し、許可なくターゲットシステムにアクセスした。
2. サプライチェーン攻撃:サプライチェーンの弱点を突くことで、通常のセキュリティ対策を迂回し、直接ターゲットシステムを攻撃した。
3. データ同期とC2サーバー接続:データ同期機能を使ってマルウェアを業務用サーバーに拡散させ、外部のC2サーバーとの接続を試みることで、さらにシステムを制御し、データを窃取した。
参考リンク:https://www.zerofox.com/advisories/22471/ https://nvd.nist.gov/vuln/detail/CVE-2023-45797
攻撃事例3:暗号資産を標的とした攻撃
標的:暗号資産取引所、ウォレット、分散型金融(DeFi)エコシステム
攻撃時期:2018年以降、特に2023年
攻撃の流れと技術的手法:
1. 脆弱性と漏洩した秘密鍵の悪用:北朝鮮のハッカーは、漏洩した秘密鍵やシードフレーズを狙ったフィッシング攻撃やサプライチェーン攻撃により、ターゲットに侵入した。
2. クロスチェーン攻撃:特にAxie Infinity Ronin Bridgeのようなクロスチェーンブリッジを標的とし、大量の仮想通貨を盗み出した。
多段階マネーロンダリングプロセス:北朝鮮のハッカーはこれまで、資金の出所や行き先を隠蔽するために「多段階マネーロンダリングプロセス」を巧みに活用してきた。盗んだ仮想通貨をまず別のトークンに交換し、次にオートプログラム、ミキサー、クロスチェーン交換などを通じて何度も混ぜ合わせ、トレースの難易度を高めてきた。
3. 分散型取引所の利用:盗んだ仮想通貨を分散型取引所(DEX)を通じてイーサリアム(ETH)に交換し、さらに複数回の混在・交換を行った。
以上のケースからわかるように、攻撃者は機密ビジネス情報、顧客データ、個人識別情報など、重要なデータを盗み出すことができる。これによりプライバシーの侵害や法的責任が生じる可能性がある。ハッカーがターゲットシステムを完全に掌握できれば、企業の内部データや顧客情報といった大量のセンシティブ情報を取得することができ、ラザルスの攻撃は被害組織のデータ漏洩やシステム損傷だけでなく、事業運営全体に深刻な影響を与えることもある。
こうした攻撃は多くの場合、複雑なサプライチェーン攻撃を伴うため、防御および検出が極めて困難となる。金融的損失も発生しやすく、マルウェアの除去、データ復旧、システム修復にかかるコストや、事業中断による収益減少も問題となる。ハッカーの攻撃により大量の仮想通貨が盗まれたことで、被害者には経済的損失だけでなく、個人情報や取引データの暴露リスクも生じる。クロスチェーンブリッジに対する攻撃は、システム全体の停止につながり、正常な取引の遂行を妨げる恐れもある。
このようなセキュリティ脅威に対処するため、組織には以下の予防策を講じることが推奨される
1. 脆弱性の早期パッチ適用:既知の脆弱性については速やかにセキュリティパッチを適用し、修復を徹底する。特にサプライチェーンで使用されるソフトウェアやコンポーネントについては、MetaScanの自動監査機能を活用することで、潜在的な脆弱性を早期に発見・修復できる。
2. サプライチェーンセキュリティの強化:サプライチェーンのパートナーと安全な協働体制を構築し、ソフトウェアやコンポーネントの審査・検証を実施し、サプライチェーン全体がハッカー攻撃の影響を受けないよう確保する。MetaScoutの監視機能を活用することで、動的にブラックリストを更新し、潜在的な北朝鮮ハッカー由来のアドレスからの攻撃を遮断できる。
3. セキュリティ意識教育:従業員に対するセキュリティ意識の研修を強化する。ウォーターホーリング攻撃、悪意あるスクリプト、サプライチェーンセキュリティの重要性について教育し、人的要因によるセキュリティインシデントを減らす。ScantistのDevSecOpsソリューションは、組織に対してワンストップのセキュリティ教育およびガイドを提供できる。
4. ネットワークトラフィックの監視:ネットワークトラフィック監視および侵入検知システム(IDS/IPS)を導入し、異常な活動や攻撃行為を早期に発見する。MetaScoutの攻撃遮断メカニズムはネットワークトラフィック監視と連携し、ハッカーの攻撃取引をリアルタイムで識別・阻止できる。
5. 多層防御の採用:ファイアウォール、侵入検知システム、ウイルス対策ソフトなど、多層的な防御策を導入し、システムの安全性を高める。MetaScanのProver機能は既存のセキュリティツールと統合運用でき、より包括的な防御体制を構築できる。
6. 持続的な監視と対応:セキュリティ監視およびインシデント対応体制を構築し、ネットワークおよびシステム活動をリアルタイムで監視することで、異常行動を早期に発見し、適切な対応措置を講じることで、被害を最小限に抑える。Scantistのコンポーネント分析機能は、ソフトウェアサプライチェーン内の脆弱性を継続的に監視し、問題のあるオープンソースやサードパーティコンポーネントを即座にブロックできる。
7. 暗号資産取引所およびウォレットのセキュリティ強化:暗号資産取引所やウォレットは、強固なパスワードの使用、定期的な秘密鍵の交換、多層的なセキュリティ戦略の実施など、セキュリティ対策を強化すべきである。MetaScoutの遮断機構は、動的ブラックリストに基づく攻撃遮断保護を提供し、ユーザーのデジタル資産の安全を守ることができる。
8. 定期的な監査と点検:組織は定期的にシステムのセキュリティ監査および点検を実施し、潜在的なセキュリティ脆弱性がないか確認すべきである。MetaScanの自動監査機能は、組織に対して包括的なセキュリティ評価を支援し、潜在的な脆弱性やリスクを迅速に発見できる。
9. 公共の意識向上:一般市民に対してサイバーセキュリティの重要性を啓発し、自身のデジタル資産をどう守るべきかを理解してもらう。組織はキャンペーンやSNSなどのチャネルを通じて、一般のサイバーセキュリティ意識を高め、関連する安全アドバイスやガイドラインを提供できる。
なお、セキュリティ脅威および予防策の提案は、実際の状況および最新のセキュリティインテリジェンスに基づいて評価・カスタマイズする必要がある。また、定期的なバックアップとデータ復旧、強力なパスワードおよび多要素認証の使用、特権アクセスの制限なども、セキュリティを高める有効な手段である。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










