米サイバーセキュリティインフラセキュリティ庁(CISA)は米国時間8月19日、2020年に入って発見された、北朝鮮政府が支援するハッカーらの手による新たなマルウェアに関するセキュリティアラートを発表した。
情報筋らが米ZDNetに語ったところによると、この新たなマルウェアは、軍事防衛分野や航空宇宙分野で事業を展開している米企業や海外企業を標的とした攻撃で発見されたという。こうした攻撃については、McAfee(「Operation North Star」)やClearSky Cyber Security(「Operation Dream Job」)がレポートを公開している。
こうした攻撃は、狙いを定めた企業の従業員に近づくために、大企業の人材採用担当者になりすますという、北朝鮮のハッカーらが使うパターンを踏襲したものとなっている。
標的となった従業員は面接を受けるよう求められ、その過程でたいていの場合、被害者のコンピューターにマルウェアを送り込むよう北朝鮮のハッカーらによって細工されたOffice文書やPDF文書を受け取ることになる。
こういった攻撃の最終的なペイロードが、今回CISAが発出したセキュリティアラートに記されている、同組織が「BLINDINGCAN」(ClearSkyのレポートでは「DRATzarus」)と呼んでいるリモートアクセス型のトロイの木馬(RAT)だ。
CISAの専門家らによると、北朝鮮のハッカーらはこのマルウェアを利用して被害者のシステムへのアクセスを得て、偵察活動を実行した上で、「重要な軍事技術やエネルギー技術に関する情報を収集する」という。
こういったことができるのは、BLINDINGCANが多岐にわたる技術的能力を持ち、RATによって以下のような操作が可能だからだ。
- ディスクの種類や空き容量など、インストールされている全てのディスクに関する情報を取得する
- OSのバージョン情報を取得する
- プロセッサー情報を取得する
- システム名を取得する
- ローカルIPアドレス情報を取得する
- 被害者のMACアドレスを取得する
- 新しいプロセスとそのプライマリースレッドを作成、開始、終了する
- ファイルを検索、読み込み、書き込み、移動、実行する
- ファイルやディレクトリーのタイムスタンプを取得、改変する
- プロセスやファイルのカレントディレクトリーを変更する
- 感染したシステムからマルウェアとそれに関連するアーティファクト(痕跡)を削除する
CISAの警告には不正侵入の徴候に関する技術的詳細も記載されており、システム管理者やセキュリティ専門家がルールを作成して、不正侵入の徴候がないかネットワークをスキャンするのに役立ちそうだ。
米国政府が北朝鮮の悪意ある活動についてセキュリティ警告を出したのは、これで35回目となる。2017年5月12日以降、CISAはウェブサイトで、北朝鮮が使用した31種のマルウェアに関する報告を公表している。
北朝鮮政府が関与すると見られるハッカーは近年、中国やイラン、ロシアなどのハッカー集団と並んで、米国を狙う最も活動的な脅威アクターとなっている。
米国は、こうした国々のハッカーを刑事告発したり、諜報スパイ活動の域を超えたハッキング活動を公に非難したりして、攻撃を止めさせようとしてきた。
2020年4月には、米国務省が北朝鮮のハッカーやその所在地、現在の活動に関する情報を求める500万ドルの報奨金制度を設けて、北朝鮮によるハッキングを阻止する取り組みを強化した。
米陸軍は7月に発表した報告書で、北朝鮮のハッカーの多くが北朝鮮だけでなく、ベラルーシや中国、インド、ロシアなど同国外で活動していることを明らかにした。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
