ウィズセキュアは、北朝鮮の偵察総局が関与しているとされる国家ハッカーグループ『Andariel』によるものと強い確信をもって特定した侵害について、公共・法務セクターのユーザーに対して通知・警告しました。この帰属判断は、TigerRATなどのAndariel特有のマルウェアの使用、特徴的なコマンド実行パターン、インフラの関連性、およびAndarielの過去の活動と一致する技術的・非技術的指標によって裏付けられています。
先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (本社: フィンランド・ヘルシンキ、以下、ウィズセキュア) は、北朝鮮 (朝鮮民主主義人民共和国) の偵察総局 (RGB) が関与しているとされる国家ハッカーグループ『Andariel』によるものと強い確信をもって特定した侵害について、公共・法務セクターのユーザーに対して通知・警告しました。この帰属判断は、TigerRATなどのAndariel特有のマルウェアの使用、特徴的なコマンド実行パターン、インフラの関連性、およびAndarielの過去の活動と一致する技術的・非技術的指標によって裏付けられています。
ウィズセキュアは、この侵害の主な目的がサイバー諜報活動であったと判断しています。その最も明確な証拠は、Andarielが反マネーロンダリング (AML) 文書にアクセスした点にあります。北朝鮮は国際制裁回避のためのマネーロンダリング活動で悪名を馳せており、今回の侵入は彼らの長年にわたる諜報を主目的とした活動と合致します。
今回のリサーチではさらに、2025年に韓国のERPソフトウェアベンダーを標的としたAndarielのオペレーションも明らかになりました。ウィズセキュアは、このERPソフトウェアが2017年にAndarielの標的となり、2024年にもほぼ確実に再び標的とされていたことを確認しました。これらの複数回にわたる攻撃は、Andarielのサプライチェーンの悪用に対するの継続的な関心を示しています。
ウィズセキュアのリサーチチームは「Andarielは進化を続ける中で新たなツールと既知の手法を組み合わせて、北朝鮮の諜報活動の優先事項のサポートをしているのです。」と述べています。
2件の攻撃と関連するAndarielのステージングサーバーから、ウィズセキュアはStarshellRAT、JelusRAT、GopherRAT の3つの新規未公開RAT (リモートアクセス型トロイの木馬) を発見し、これらの侵入を結びつける追加の痕跡も確認されました。ステージングサーバーからは、PrintSpoofer、カスタマイズされたPetitPotatoサンプル、アンチウィルス/EDR製品を無効化する「Bring Your Own Vulnerable Driver (BYOVD)」手法など、新旧のツール群の使用実態も明らかになりました。
ウィズセキュアは企業/団体のユーザーおよびMSPに対し、エンドポイント可視性の強化、ソフトウェアサプライチェーンの完全性検証、詳細レポートに記載の侵害指標 (IoC) の確認を推奨しています。
本件に関する詳細なレポート (英語) は以下のページでご覧いただけます:
(リンク »)
ウィズセキュアWebサイト:
(リンク »)
ウィズセキュアプレスページ:
(リンク »)
ウィズセキュアは、この侵害の主な目的がサイバー諜報活動であったと判断しています。その最も明確な証拠は、Andarielが反マネーロンダリング (AML) 文書にアクセスした点にあります。北朝鮮は国際制裁回避のためのマネーロンダリング活動で悪名を馳せており、今回の侵入は彼らの長年にわたる諜報を主目的とした活動と合致します。
今回のリサーチではさらに、2025年に韓国のERPソフトウェアベンダーを標的としたAndarielのオペレーションも明らかになりました。ウィズセキュアは、このERPソフトウェアが2017年にAndarielの標的となり、2024年にもほぼ確実に再び標的とされていたことを確認しました。これらの複数回にわたる攻撃は、Andarielのサプライチェーンの悪用に対するの継続的な関心を示しています。
ウィズセキュアのリサーチチームは「Andarielは進化を続ける中で新たなツールと既知の手法を組み合わせて、北朝鮮の諜報活動の優先事項のサポートをしているのです。」と述べています。
2件の攻撃と関連するAndarielのステージングサーバーから、ウィズセキュアはStarshellRAT、JelusRAT、GopherRAT の3つの新規未公開RAT (リモートアクセス型トロイの木馬) を発見し、これらの侵入を結びつける追加の痕跡も確認されました。ステージングサーバーからは、PrintSpoofer、カスタマイズされたPetitPotatoサンプル、アンチウィルス/EDR製品を無効化する「Bring Your Own Vulnerable Driver (BYOVD)」手法など、新旧のツール群の使用実態も明らかになりました。
ウィズセキュアは企業/団体のユーザーおよびMSPに対し、エンドポイント可視性の強化、ソフトウェアサプライチェーンの完全性検証、詳細レポートに記載の侵害指標 (IoC) の確認を推奨しています。
本件に関する詳細なレポート (英語) は以下のページでご覧いただけます:
(リンク »)
ウィズセキュアWebサイト:
(リンク »)
ウィズセキュアプレスページ:
(リンク »)
このプレスリリースの付帯情報
Identity-security-BlueClouds 用語解説
WithSecureについて
ウィズセキュアは、多くのヨーロッパ企業に選ばれるサイバーセキュリティパートナーです。世界中のITサービスプロバイダー、MSSP、ユーザー企業から、中堅・中小企業を保護するアウトカム(成果)ベースのサイバーセキュリティソリューションにおいて大きな信頼を勝ち取っています。ウィズセキュアはヨーロッパにおけるデータ保護の規制に準拠し、プライバシー、データ主権、コンプライアンスに注力しています。
当社は35年以上の経験を持ち、ユーザー企業の消極的/保守的なサイバーセキュリティ対策から積極的/先進的なアプローチへのパラダイムシフトのサポートのためのポートフォリオを持っています。ウィズセキュアはパートナーとの協力的な成長へのコミットメントに基づく柔軟なビジネスモデルを提供し、ダイナミックなサイバーセキュリティの世界において両者の成功を保証します。
ウィズセキュアの最先端のポートフォリオの中心となるのは、AIを搭載したテクノロジー、人の専門知識、コ・セキュリティ (共同セキュリティ) サービスをシームレスに統合するElements Cloudです。さらに、エンドポイントおよびクラウドの保護、脅威の検出と対応、エクスポージャー管理にまたがるモジュール式の機能により、中堅・中小企業ユーザーのセキュリティ対策を強固なものとします。
1988年に設立されたウィズセキュアは本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。詳細は www.withsecure.com をご覧ください。また、X (旧Twitter) アカウント @WithSecure_JP でも情報の発信をおこなっています。
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
