編集部からのお知らせ
新着PDF:「Emotetの脅威」
新着記事まとめ「6G始動?」

北朝鮮のハッカーがソーシャルメディアを介してセキュリティ研究者を攻撃--グーグルが警告

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2021-01-26 12:34

 Googleは米国時間1月26日、北朝鮮政府が関与するハッキンググループが脆弱性調査に取り組むサイバーセキュリティ関係者を標的とした攻撃を行っていると警告した。

cybersecurity
提供:Michael Borgers, Getty Images/iStockphoto

 これらの攻撃は、高度で継続的な脅威(APT)グループの追跡を専門とするGoogleのThreat Analysis Group(TAG)が発見した。

 同社が発表した報告書によると、北朝鮮ハッカーはTwitter、LinkedIn、Telegram、Discord、Keybaseなど、さまざまなソーシャルネットワークで、幾つもの偽のプロフィールを使ってセキュリティ研究者に接触していた。また、電子メールを使うケースもあったという。

 「最初のコミュニケーションを確立後、ハッカーは標的とした研究者に脆弱性の共同研究を持ちかけ、研究者に『Visual Studio』を用いたプロジェクトを提供した」とGoogle TAGのセキュリティ研究者のAdam Weidemann氏は話す。

 そのプロジェクトには悪意のあるコードが含まれており、研究者のオペレーティングシステム(OS)にマルウェアをインストールした。このマルウェアはバックドアとして機能し、リモートにあるコマンド&コントロール(C&C)サーバーからのコマンドを待っていたという。

 Wiedemann氏によると、攻撃者が悪意のあるファイルを送りつけなかった場合もあったという。セキュリティ研究者に攻撃者が用意したブログを訪れるよう促すケースも報告されている。

Google
提供:Google

 このブログには悪意のあるコードが埋め込まれており、サイトにアクセスしたセキュリティ研究者のコンピューターを感染させた。

 「研究者のシステムに悪意のあるサービスがインストールされ、インメモリーのバックドアが、攻撃者のC&Cサーバーを誘導する仕組みになっていた」(Weidemann氏)

 Google TAGによると、サイトにアクセスした多くの被害者は「完全にパッチが適用された最新の『Windows 10』と『Chrome』のブラウザー」を使用していたにも関わらず感染したという。

 ブラウザーを悪用したこれらの攻撃に関する詳細はまだ限られている。しかし、一部のセキュリティ研究者は、北朝鮮グループがChromeとWindows 10のゼロデイ脆弱性を組み合わせて悪意のあるコードを展開した可能性が高いと見ている。

 このためGoogle TAGチームは現在、感染したと思われるセキュリティ研究者に攻撃の詳細を共有するように呼びかけている。

 TAGの報告書には、北朝鮮のハッカーがセキュリティ研究者を騙すために用いた偽のソーシャルメディアのプロフィール一覧が掲載されている。

 セキュリティ研究者は閲覧履歴をチェックし、これらのプロフィールを持つユーザーと接触したり、悪意のあるドメインにアクセスしたりしていないか確認する必要がある。

 仮に接触やアクセスを行っている場合は、適切な手段を講じて自身のシステムを調査すべきだろう。

 セキュリティ研究者を標的にした理由は明白だ。感染した研究者が発見済みの脆弱性を盗み出し、それを悪用するためだ。そうすれば開発コストをほとんどかけずに独自の攻撃を展開できる。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]