編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事まとめ:DX推進、IT人材や内製化動向
海外コメンタリー

北朝鮮における資金調達専門のハッカーグループ「APT38」--その実態に迫る

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子

2018-10-10 06:30

 サイバーセキュリティを手がける米企業FireEyeが米国時間10月3日に公開したレポートによると、北朝鮮のハッカーグループは明確かつ目に見えるかたちで役割が分けられているという。同社が確認しているのは、国家を相手にしたサイバー諜報活動を手がける2部隊と、銀行や金融機関からの金銭強奪に特化した部隊だ。

 Sony Pictures Entertainmentに対するハッキング事件が発生した2014年、すなわち北朝鮮がサイバー諜報活動における脅威的存在だという事実が明らかになった時からこれまでの4年間、北朝鮮の関与が疑われるハッキング事件は常に、北朝鮮サイバー部隊の総称である「Lazarus Group」の手によるものだと報道されてきた。

 しかしFireEyeの専門家らは、明らかに振る舞いの異なる3つのグループが存在していることを今回のレポートで明らかにしている。それらはサイバー諜報に特化したグループ(「TEMP.Hermit」とLazarus Group)と、金融犯罪に特化したグループ(「APT38」)だ。


APT38とTEMP.Hermit、Lazarusの役割分担とその関係
提供:FireEye

 TEMP.HermitとLazarus Groupは長期にわたって追跡/分析されてきており、セキュリティ業界や政府機関によって数多くのレポートが発表されているものの、APT38についてはほとんど知られていなかった。

 APT38の所有する金融分野向けのハッキングツールの多くは、Lazarus Groupに関する調査レポートに含まれていることも多いが、サイバー諜報活動を目的としたマルウェアとして眺めた場合、それらは異質なものとして際立っていた。

 しかし、これら金融関連のツールを切り分け、明らかになったハッキング事件を追跡していくと、Lazarus Groupのほとんどの活動とは違った意図を持って独自に活動しているように見える、まったく異なったハッキンググループの存在が浮かび上がってくる。

 FireEyeによるとこのグループは、日常的に見られるサイバー犯罪グループ特有の素早い一撃離脱型の戦略を採るのではなく、攻撃を実行する最適なタイミングが来るまでじっくり待ち構えられるだけの時間とツールを有した、国家の支援を受けた犯罪グループ特有の忍耐力を持っているという。


APT38による攻撃のライフサイクルとその戦術
提供:FireEye

 FireEyeは、これらツールと過去の事件をすべて考え合わせたうえで、APT38の活動開始は2014年にまでさかのぼれると述べている。これはLazarus Group関連の部隊すべてが活動を開始した時期と一致するという。

 とは言うもののFireEyeは、Sony Pictures Entertainmentに対するハッキングや、映画「ザ・インタビュー」の公開にまつわる事件でAPT38が台頭したわけではないと考えている。FireEyeの専門家らによると、同部隊が活動を開始するきっかけになったのは、2013年に実施された北朝鮮による一連の核実験に対する国連制裁だという。

 北朝鮮は国家財政のひっ迫にともない、違法な手段による外貨獲得を軍のハッキング部門に支援させるようになったと専門家ら(FireEyeの専門家に限らない)は確信している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]