Paradigm:北朝鮮のハッカー組織ラザルス・グループの脅威の謎を解く
TechFlow厳選深潮セレクト
Paradigm:北朝鮮のハッカー組織ラザルス・グループの脅威の謎を解く
組織構造、攻撃手法および防御戦略の観点から、Bybitのハッキング事件の黒幕とされるLazarus Groupについて考察する。
Web3業界の深掘り報道に専念し潮流を洞察執筆:samczsun、Paradigm 研究パートナー
翻訳:Bright、Foresight News
2月のある朝、SEAL 911 グループのランプが点灯した。私たちは困惑しながら、Bybitが自社のコールドウォレットから10億ドル以上のトークンを新しいアドレスに移動し、直後に2億ドル以上のLSTを迅速に決済し始めたのを目撃した。数分以内に、Bybitチームおよび独立系アナリスト(マルチシグ署名。以前は公開検証済みSafe Wallet実装を使用していたが、現在は未検証の新規デプロイ契約を使用)からの情報により、これは通常のメンテナンスではないことが確認された。誰かが暗号通貨史上最大規模のハッキングを実行しており、我々はその歴史的瞬間の最前列に座っていたのだ。
チームの一員(およびより広範な偵察コミュニティ)が資金追跡と協力取引所への通知を開始した一方で、他のメンバーは一体何が起きたのか、そして他にも危険にさらされている資産があるのかを突き止める作業に取り組んでいた。幸運にも、攻撃者の特定は容易だった。過去数年間で、数十億ドル規模の暗号通貨取引所を成功裏にハッキングしたのはただ一つの脅威主体だけだった――北朝鮮、すなわちDPRKである。
しかし、それ以外についてはほとんど手掛かりがなかった。北朝鮮のハッカーは巧妙かつ高度な匿名化技術を持ち合わせており、侵入の根本原因を特定するのはもちろん、どの具体的な内部チームが責任を負っているのかさえ判別することが極めて困難だった。私たちが頼りにできたのは、「北朝鮮はソーシャルエンジニアリングを通じて暗号通貨取引所に侵入するのが好きだ」という既存のインテリジェンスのみであった。そのため、私たちは北朝鮮がBybitのマルチシグ署名者をハッキングし、署名プロセスを妨害するマルウェアを展開したのだろうと推測した。
だがこの推測はまったくの的外れだった。数日後、北朝鮮が実はSafe Wallet自体のインフラを破壊し、Bybit専用の悪意あるオーバーライドを展開していたことが判明した。このような複雑さは誰も予想しておらず、準備もできていなかったものであり、市場における多くのセキュリティモデルにとって重大な挑戦となった。
北朝鮮のハッカーは我々の業界に対し、ますます深刻な脅威となっている。理解していない敵を打ち負かすことはできない。北朝鮮のサイバー活動に関する記録や記事は多数存在するが、それらを統合的に把握することは難しい。本稿を通じて、彼らの運営方法、戦略、手順についてより包括的な理解を得ることで、適切な緩和策を講じやすくなることを願っている。
組織構造
まず解決すべき最大の誤解は、北朝鮮の膨大なサイバー活動をどのように分類・命名すべきかという点である。「ラザルスグループ(Lazarus Group)」という言葉を口語的に総称として使うことは許容されるが、北朝鮮の体系的なサイバー脅威について詳細に議論する際には、より厳密な表現を用いるのが望ましい。
まず、北朝鮮の「組織図」を理解しておくとよい。北朝鮮の最高指導部は、唯一の执政党である朝鮮労働党(WPK)であり、すべての政府機関はこれに従属している。これには朝鮮人民軍(KPA)および中央委員会が含まれる。人民軍内には参謀総長(GSD)がおり、偵察総局(RGB)はそこに所属している。また、中央委員会の下には軍需工業部(MID)が存在する。
RGBは、ほぼすべての北朝鮮サイバー戦争活動を担当しており、暗号通貨業界で観測されたほとんどの北朝鮮関連活動もここに由来する。悪名高いラザルスグループに加え、RGBに所属する脅威行為者にはAppleJeus、APT38、DangerousPassword、TraderTraitorなどがいる。一方、MIDは北朝鮮の核・ミサイル計画を担っており、北朝鮮ITワーカーの主な出所でもあり、情報機関はこれをContagious InterviewおよびWagemoleと呼んでいる。
ラザルスグループ (Lazarus Group)
ラザルスグループは極めて高度なハッカー集団であり、サイバーセキュリティ専門家によれば、史上最大かつ最も破壊的ないくつかのサイバー攻撃はこのグループによるものとされている。2016年、Novettaがソニー・ピクチャーズ・エンタテインメント(Sony)へのハッキング事件を分析した際に初めてラザルスグループの存在が明らかになった。
2014年、ソニーはアクションコメディ映画『ゼロ・ダーク・ジョニー』の制作中だった。この映画の中心的なプロットは、金正恩が屈辱を受け、その後暗殺されるというものであった。当然ながら、これは北朝鮮政権にとっては好ましくない内容であり、政権はソニーのネットワークに侵入し、数TBのデータを窃取、数百GBの機密または敏感な情報をリークし、元のファイルを削除することで報復した。当時のCEOマイケル・リンデン氏の言葉を借りれば、「こういうことをした奴らは、家の中にあるものをすべて盗んだだけでなく、家そのものに火を放った」。最終的に、ソニーは今回の攻撃に対する調査および修復費用として少なくとも1500万ドルを費やし、実際の損失はさらに大きかったとされる。
その後、2016年にはラザルスグループと非常に類似したハッカーがバングラデシュ銀行を攻撃し、約10億ドルの盗難を試みた。彼らは1年間にわたり、バングラデシュ銀行の職員に対して地道なソーシャルエンジニアリングを行い、最終的にリモートアクセス権を獲得し、銀行内部ネットワーク内で移動してSWIFTネットワークと通信するコンピュータに到達した。そこから、彼らは絶好の攻撃タイミングを待っていた――バングラデシュでは木曜日が週末であり、ニューヨーク連邦準備銀行では金曜日が週末である。現地時間の木曜日の夜、脅威行為者はSWIFTネットワークへのアクセスを利用して、ニューヨーク連邦準備銀行に36件の個別の送金要求を送信した(現地時間では木曜日の朝)。その後24時間以内に、ニューヨーク連邦準備銀行はこれらの送金をフィリピンのリサル商業銀行(RCBC)に転送し、RCBCは処理を開始した。その後、バングラデシュ銀行が営業を再開した際に攻撃を発見し、RCBCに取引の中止を依頼しようとしたが、RCBCは旧正月の祝日で休業中だったため連絡がつかなかった。
さらに2017年には、世界的な産業に甚大な被害を与えた大規模なWannaCry 2.0ランサムウェア攻撃が発生し、その一部はラザルスグループによるものとされている。WannaCryはNSAが開発したMicrosoft Windowsの0day脆弱性を利用し、数十億ドルの損害を引き起こした。このランサムウェアはローカルデバイスを暗号化するだけでなく、他の接続可能なデバイスに感染を拡大し、最終的には世界中で数十万台のデバイスが感染した。幸運にも、セキュリティ研究者Marcus Hutchins氏が8時間以内にキルスイッチを発見・作動させたため、被害は一定範囲内に留まった。
ラザルスグループの歩みを振り返ると、彼らは極めて高い技術力と実行力を示しており、その目的の一つは北朝鮮政権の収入創出である。したがって、彼らが暗号通貨業界に注目するのは時間の問題だった。
派生グループ
時とともに、「ラザルスグループ」という言葉がメディアによって北朝鮮サイバー活動の総称として使われるようになると、サイバーセキュリティ業界はより正確な名称を考案した。APT38はその一例であり、2016年ごろにラザルスグループから分離し、金融犯罪に特化した。当初は銀行(バングラデシュ銀行など)を標的にしていたが、後に暗号通貨業界へと矛先を向けた。さらに2018年には、AppleJeusと呼ばれる新たな脅威が、暗号通貨ユーザーを狙ったマルウェアを拡散していることが発見された。また、2018年にOFACが北朝鮮人が利用していた2つの架空企業に対して制裁を課した際、ITワーカーを装う北朝鮮人がすでにテック業界に浸透していたことが明らかになった。
北朝鮮ITワーカー
北朝鮮ITワーカーに関する最初の記録は2018年のOFAC制裁まで遡るが、Unit 42の2023年報告書はより詳細な分析を行い、2つの異なる脅威行為者を特定している:Contagious InterviewとWagemoleである。
Contagious Interviewは、有名企業の採用担当者を装い、開発者を偽の面接プロセスに誘導する。その後、候補者は「コーディング課題」と称してローカルでのデバッグ用にリポジトリをクローンするよう指示されるが、実際にはこのリポジトリにバックドアが仕込まれており、実行すると攻撃者がそのマシンを完全に制御できるようになる。この活動は継続中であり、最新の記録は2024年8月11日まで確認されている。
一方、Wagemole工作員の主な目的は候補者を雇用することではなく、企業に雇用されることにある。彼らは普通のエンジニアのように働き、必ずしも高効率ではないものの、業務を通じて得たアクセス権を悪用するケースがある。例えばMunchables事件では、北朝鮮関連の従業員がスマートコントラクトへの特権的アクセスを利用して全資産を盗み出した。
Wagemole工作員の洗練度はさまざまであり、一律の履歴書テンプレートとビデオ通話拒否といった初歩的なものから、深くカスタマイズされた履歴書、ディープフェイクを使った面接、運転免許証や水道光熱費請求書などの身分証明書を提示するような高度なものまで存在する。場合によっては、工作員が被害組織に最大1年間にわたり潜伏し、その後アクセス権を悪用して他のシステムを侵害したり、資産を完全に持ち逃げしたりするケースもある。
アップルイエス(AppleJeus)
AppleJeusは主にマルウェアの拡散に焦点を当てており、複雑なサプライチェーン攻撃に長けている。2023年、3CXのサプライチェーン攻撃により、3CX VoIPソフトウェアの1,200万人以上のユーザーが感染の可能性に晒されたが、後に3CX自体が上流のサプライヤーであるTrading Technologiesのサプライチェーン攻撃の影響を受けていたことが判明した。
暗号通貨業界において、AppleJeusは当初、取引所ソフトウェアや暗号通貨ウォレットなど合法的なソフトウェアを装ってマルウェアを配布していた。しかし、時間の経過とともに戦術が進化した。2024年10月、Radiant Capitalは、信頼できる請負業者を装った脅威行為者からTelegramを通じて送られたマルウェアにより攻撃を受け、MandiantはこれをAppleJeusの仕業と断定した。
デンジャラスパスワード(Dangerous Password)
Dangerous Passwordは、低複雑度のソーシャルエンジニアリング型攻撃を暗号通貨業界に対して行っている。2019年には、JPCERT/CCがDangerous Passwordが魅力的な添付ファイル付きのフィッシングメールを送信し、ユーザーにダウンロードさせる事例を記録している。それ以前には、業界の著名人を装って「ステーブルコインと暗号資産は極めてリスクが高い」といった件名のフィッシングメールを送信していた。
現在でもDangerous Passwordはフィッシングメールを送信し続けているが、他のプラットフォームにも拡大している。例えば、Radiant CapitalはTelegram上で、セキュリティ研究者を装った人物から「Penpie_Hacking_Analysis_Report.zip」というファイルを配布するフィッシングメッセージを受け取ったと報告している。また、記者や投資家を装った人物が、目立たないビデオ会議アプリを使って通話を設定しようと接触してくる事例も報告されており、Zoomと同様に、これらのアプリはワンタイムインストーラーをダウンロードするが、実行時にデバイスにマルウェアをインストールしてしまう。
トレーダートレイター(TraderTraitor)
トレーダートレイターは、暗号通貨業界に対して最も洗練された北朝鮮ハッカーであり、Axie InfinityやRain.comなどへの攻撃を指揮してきた。トレーダートレイターは、大量の準備金を持つ取引所や企業に限定して標的を絞っており、ゼロデイ脆弱性を用いず、代わりに極めて高度なスピアフィッシング技術を用いて攻撃を行う。Axie Infinityへの攻撃では、LinkedInを通じて上級エンジニアに接触し、一連の面接に応じさせた上で「提案書」と称してマルウェアを送り込んだ。その後、WazirXの攻撃では、トレーダートレイター工作員が署名パイプライン内の不明なコンポーネントを破壊し、繰り返しの入出金操作によって取引所のホットウォレットを枯渇させた。その結果、WazirXのエンジニアがコールドウォレットからホットウォレットへの再バランスを行おうとした際、彼らは冷やかしの取引を署名するよう誘導され、結果としてコールドウォレットの支配権をトレーダートレイターに渡してしまうことになった。これは2025年2月のBybitへの攻撃と非常に似ており、このときトレーダートレイターはまずソーシャルエンジニアリングによってSafe{Wallet}インフラを破壊し、その後Bybitのコールドウォレット専用に設計された悪意あるJavaScriptをSafe Walletフロントエンドに展開した。Bybitがウォレットの再バランスを試みた際、悪意あるコードが作動し、エンジニアが冷やかしの取引を署名することで、コールドウォレットの支配権がトレーダートレイターに移行したのである。
安全を保つために
北朝鮮はゼロデイ脆弱性を相手に使用する能力を持っているが、現時点で暗号通貨業界に対してゼロデイ攻撃を行った記録や既知の事例はない。したがって、ほぼすべての北朝鮮ハッカーに対する典型的なセキュリティ対策が有効である。
個人としては、常識を活かし、ソーシャルエンジニアリングに警戒することが重要である。例えば、ある人物が極秘情報を保持しており、それを共有したいと申し出た場合、慎重に行動すべきである。あるいは、ある人物があなたに時間的圧力をかけ、ソフトウェアのダウンロードと実行を急かしてきた場合、それはあなたを論理的思考ができない状態に追い込もうとする試みかもしれない。
組織としては、可能な限り最小権限の原則を適用すべきである。機密システムへのアクセス権を持つ人数を最小限に抑え、パスワードマネージャーと2段階認証(2FA)の使用を徹底する。個人用デバイスと業務用デバイスは分離し、業務用デバイスにはモバイルデバイス管理(MDM)およびエンドポイント検知・対応(EDR)ソフトウェアを導入し、侵入前の防御と侵入後の可視化を確保する。
残念ながら、大手取引所やその他の高価値ターゲットに対しては、トレーダートレイターはゼロデイを使わずとも予想を超えるダメージを与えることができる。したがって、単一障害点(Single Point of Failure)がないように、追加の予防策を講じることが不可欠である。一度の侵入で全資産が失われるような状況は回避しなければならない。
しかし、すべてが失敗したとしても希望は残っている。米国連邦捜査局(FBI)には、北朝鮮の侵入を専門に追跡・防止する部署があり、長年にわたり被害者への通知を続けてきた。最近、私はその部署の捜査官が潜在的な北朝鮮ターゲットと連絡を取るのを支援できたことに喜びを感じている。最悪の事態に備えて、公開された連絡先情報を確実に保持するか、エコシステム内で十分な数の人々とつながりを持つ(たとえばSEAL 911のような)ようにし、ソーシャルグラフを通じての情報伝達が最速で届く体制を整えておくべきである。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Paradigm
