デジタル

追跡!ネットアンダーグラウンド

北朝鮮のハッカー集団「ラザルス」とは何者か?

北朝鮮のハッカー集団「ラザルス」とは何者か?

2022.12.02

連日のようにミサイルを発射する北朝鮮。各国から厳しい経済制裁を受ける中、その費用はどこから捻出しているのか。

北朝鮮の「外貨獲得」の手段の一つとされるのが、サイバー攻撃だ。「ラザルス」と呼ばれるハッカー集団が、日本を含む世界中の暗号資産を盗み続けているという。

一体何者なのか。その正体に迫る。

政府が異例の名指し

先月、国家公安委員長が記者会見で行った「ある発言」、関係者の間に衝撃が走った。

北朝鮮当局の下部組織とされるラザルスが(日本の)暗号資産関連の事業者などを標的としたサイバー攻撃を行ったと判断するにいたった

政府がサイバー攻撃の実行者とその背後の国家機関を特定して公表することを「パブリック・アトリビューション」と呼ぶが、これまで日本政府は、ほとんど行っておらず、極めて異例のことだった。

警察庁と金融庁、それに内閣サイバーセキュリティセンターは、この日、連名で、暗号資産の事業者などに向けて注意喚起の文書を出した。

政府が、異例の宣言を行った、ハッカー集団「ラザルス」とは、何者なのか。

映画会社、そして中央銀行も

ラザルスの名前が広く知られるようになったのはいまから8年前。

アメリカの「ソニー・ピクチャーズ エンタテインメント」へのサイバー攻撃だ。

北朝鮮の最高指導者の暗殺をテーマにしたコメディー映画を製作していて、それに対する報復が目的と見られた。劇場未公開の新作を含む、社内の機密情報が漏えいするなどの被害が出た。

アメリカ政府などが、ラザルスによる犯行だとしている。

さらに世界を驚かせたのは、国の中央銀行に対するハッキングだった。2016年、バングラデシュの中央銀行のコンピューターシステムに侵入し、8100万ドルを不正送金したとされる。

アメリカ司法省は、送金には世界各国の銀行が国境を越えて送金する際に使うシステム「SWIFT(スウィフト)」=「国際銀行間通信協会」のネットワークが悪用されていたとしている。

ほかにも、アメリカ司法省は、ラザルスが17年に世界中で猛威を振るった身代金要求型のコンピューターウイルス「WannaCry=ワナクライ」にも関与していると指摘している。

近年は暗号資産がターゲットに

最近になり、だんだん暗号資産にターゲットをシフトしているのは確かです

セキュリティー会社の「トレンドマイクロ」の岡本勝之さんが指摘するのは、近年、ラザルスが暗号資産を標的としている点だ。

取引所など、暗号資産に関連する事業者に対して攻撃を仕掛け、巨額の通貨を盗み続けているという。

暗号資産は、攻撃者にとってメリットが大きい。

暗号資産は国をまたいで動かすことが容易であるし、匿名性が高いことから、追跡を免れるのも簡単だといえます。ユーザーにとって利便性が高いのはもちろんですが、裏を返せば、サイバー犯罪者、ラザルスにとっても非常に都合がよいのです。

NFTも、マネロンも

暗号資産の分析会社「チェイナリシス」によると、北朝鮮による暗号資産の盗みだしは、18年から急増している。

毎年のように2億ドルを超える多額の暗号資産を奪っているという。去年1年間では、少なくとも7回の攻撃が行われ、約4億ドル相当が盗まれた。

暗号資産を狙ったのは、ラザルスだと、チェイナリシスは見ている。

ことしも被害は続いている。

3月には、ブロックチェーンゲーム(NFTゲーム)「アクシー・インフィニティ」のネットワークで使われる暗号資産を奪ったとされ、被害額はおよそ6億2000万ドルに上った。

そして、6月には、「ホライゾン・ブリッジ」という、異なる種類のブロックチェーンでやりとりを可能にするサービスでもハッキング被害が発生。1億ドル相当の流出が確認されている。

北朝鮮側が行っている事案は大規模なものばかりです。彼らも、恐らく小粒のものを狙うというよりも、一獲千金を狙って、大きなところを狙っているのでしょう。そうすると、攻撃が成功すれば、被害額もおのずと数億、数百億ドル規模になってしまいます

チェイナリシスの重川隼飛さんが着目するのは、盗み取った暗号資産の「資金洗浄」が年々巧妙化し、追跡が困難になっていることだという。

たとえば、保有者の情報や送金先などをわからなくする「ミキシング」と呼ばれる技術を使うことが急増している。

一種のマネーロンダリングのテクニックだ。ことし、アメリカ政府は、北朝鮮のマネーロンダリングに利用されたミキシング業者に対して、異例の経済制裁に踏み切る事態になっている。

手口がどんどん高度化しています。以前は、盗まれた資金が複数のアドレスを転々とした後、そのままどこかの取引所に行き着くケースが見られており、分析技術を使えば追跡はさほど困難ではありませんでした。ところが、最近は、ミキシングなどの資金経路を秘匿化する手法を活用するなどして、北朝鮮の手が込んできています。調査の難易度は上ってしまう

狙われる世界のベンチャーキャピタル、手口は

ラザルスは、こうした暗号資産を盗む攻撃キャンペーンを世界中で展開しているとみられている。

セキュリティー会社の「カスペルスキー」が特定した「スナッチクリプト」と呼ばれるキャンペーンでは、3年以上にわたり、世界中の暗号資産事業者や関連する企業、特に新興企業=スタートアップ企業に対して、攻撃を仕掛けている。

このキャンペーンで特徴的なのは、そのアプローチ方法だ。

攻撃者側は、まず、ターゲットに対して、ビジネスパーソン向けの交流サイト「LinkedIn=リンクトイン」やメールなどを介して、コンタクトをとってくる。

具体的には、新興企業の多い暗号資産関連の従業員に対して、ベンチャーキャピタルのふりをして、接近する。そこで、チャットを通じて、ウイルスをダウンロードさせるリンクを踏ませるなどして感染させる。こうして社内システムに入り込み、送金プログラムのコードを改ざんするなどして、不正な送金を行うのだ。

実際に、カスペルスキーの調査では、世界中のベンチャーキャピタルが、ラザルスによると見られる被害にあっていて、中には、日本の投資機関のロゴも悪用されていることもわかっている。

こうして、組織の内部の人をだまして、ウイルスに感染させる形をとって侵入する手法は「ソーシャルエンジニアリング」と呼ばれるが、けっして高いセキュリティーの壁を突破するようなハッキングではないと、トレンドマイクロの岡本さんは指摘する。

(トレンドマイクロ 岡本勝之さん)
ラザルスのような標的型の攻撃者が狙う対象は、ある程度のセキュリティーがしっかりしており、外から簡単に入れるような弱点が残ってない。そこで、どうやってそこを侵害するのか。それは、やはり、人間をだますことだ。組織の内部の人をだまして、ウイルスに感染させるという形をとって、侵入する手口のほかには、逆にいえば、ない

この、人をだます「ソーシャルエンジニアリング」は、日本の暗号資産が実際に攻撃されている別のキャンペーンも確認されている。

セキュリティー専門機関「JPCERTコーディネーションセンター」などが発見した19年夏頃から行われているキャンペーンだ。

JPCERT/CC 佐々木勇人さん

攻撃のキャンペーンは、いまも、延々と継続しています。暗号資産の取引事業者、従業員を狙っていて、最終的には、秘密鍵を盗んで、不正な送金やウォレットの強奪をもくろんでいると思われます。

「夢の仕事」で近づく

2020年5月から日本でも観測されたキャンペーンにも、この手法が使われていた。

その名は「Operation Dream Job=夢の仕事作戦」。

ターゲットは主に防衛産業に関わる企業だった。

こちらでもビジネスパーソン向けの交流サイト「LinkedIn=リンクトイン」を介して、コンタクトをとってきた。

その際に、「ロッキードマーチン」といった大手有名企業の人事担当者をかたった。

有名企業のアカウントを悪用することで「夢の仕事」をちらつかせ、接近する。

有名企業からのアプローチに思わず心を許した被害者は、チャットでやりとりを続ける中で、会社紹介のパンフレットを受け取った。

チャットツールで送られたそのファイルを開き、気付かぬ間に、ウイルスに感染してしまったという。

ウイルスは、主に情報収集目的とみられている。防衛に関わる機密情報が、知らぬ間に盗まれていたことになる。

実際の被害がどこまであったのかなど、詳しいことは公表されていないが、この攻撃キャンペーンは、いまも継続中だという。

そして、国内の暗号資産の取引所では、ラザルスの関与は明らかになっていないが、ハッキングが相次いでいる。

金融庁によれば、18年には「テックビューロー」が67億円相当の資産を盗まれたほか、翌年は「ビットポイント」で35億円相当の資産が盗まれるなど、被害があった。

「とにかく金がほしい」

元FBI捜査官で、セキュリティー会社「クラウドストライク」のショーン・ヘンリー氏は、北朝鮮が「外貨獲得」のために、サイバー攻撃を展開していると指摘する。

背景にあるのは、世界各国からの経済制裁だ。

クラウドストライク ショーン・ヘンリーさん

彼らはとにかくお金が必要なのです。北朝鮮政府は、世界中から課されている経済制裁のために、商取引で金を生み出す能力を失っています。経済や軍事を支えるために、政府は、ラザルスに暗号資産を盗ませています

連日、日本などに向けて発射されているミサイルにかかる資金も、ハッキングで得た金銭が原資となっている可能性があるのか、問うと、ヘンリー氏は、大きく頭を縦に振った。

可能性が明らかにあるといえるでしょう。国家が背景にある攻撃者グループは、中国やロシアでも、その存在が指摘されていますが、情報収集が主な目的です。ところが、北朝鮮はそれだけはない。いまや、経済的な利益を得るために(サイバー空間で)犯罪的な手段に手を染めているのです

政府との関係は

ラザルスと、北朝鮮政府との関係はどうなっているのか。

アメリカ司法省は、18年と去年の2度にわたり、ラザルスが行ったサイバー攻撃に関与したとして、あわせて北朝鮮の男3人を起訴している。身柄は拘束できていないため、指名手配中となっている。

起訴された内容は、14年の「ソニー・ピクチャーズ エンタテインメント」や16年のバングラデシュの中央銀行などへのサイバー攻撃だ。

このうち、2度続けて起訴されたパク被告は、北朝鮮政府に雇われたプログラマーだとしている。

起訴状によると、パク被告は、北朝鮮の大学で教育を受け、複数のプログラミング言語に堪能で、さまざまなシステムのソフトウェアやセキュリティーの開発経験があるという。

アメリカの捜査では、少なくとも2002年から、北朝鮮政府の偵察局傘下のハッカー組織の1つ「Lab 110」と提携している企業で勤務してきた。

いわば、北朝鮮当局のフロント企業の従業員だったのだ。

起訴状では、パク被告は11年から13年までしばらく中国で働いていたものの、「ソニー・ピクチャーズ エンタテインメント」によるサイバー攻撃が行われる14年までには北朝鮮に帰国したという。

アメリカ司法省は、パク被告のメールアドレスやSNSのアカウントが、一連のサイバー攻撃に使われたSNSアカウントや端末などと、つながりがあることを捜査で発見し、いずれも、パク被告が、犯行に関与したとしている。

顔写真も公開されているが、実際に身柄を拘束されたという情報は明らかになっていない。

JPCERTコーディネーションセンターの佐々木さんは、これまで各国の捜査機関やセキュリティー会社の分析を考慮すると、パク被告の役割は、コンピューターウイルスの開発担当だった可能性があると指摘する。

(JPCERT/CC 佐々木勇人さん)
これをヒントにして考えると、ラザルスには、バックオフィス=後方支援チームがいるのではないでしょうか。このチームが、マルウェア開発などを行い、複数のサブグループは、提供されたツールを使っているかもしれません。

実際に、異なるサブグループであっても、一部に、使う攻撃ツールなどが重複するケースも見つかっているという。

(JPCERT/CC 佐々木勇人さん)
ここまでの体制を整え、しかも10年以上、体系だって活動するというのは、これはもう民間企業の下請レベルではないと考えていいのではないか。

日本はどう備えるか

日本の暗号資産も標的しているとされるラザルスによるサイバー攻撃。

10月中旬、金融庁は、暗号資産の事業者や、銀行、証券会社などの金融機関を対象に、サイバー攻撃への対応を学ぶ訓練を実施。オンラインで各地とつなぎ全国およそ160の機関が参加した。

金融庁の担当者は、危機感をあらわにした。

(金融庁サイバーセキュリティ対策企画調整室 齊藤剛室長)
国内外で大規模なサイバー攻撃が発生し、手口が巧妙化している。今回の訓練で金融機関全体の対応能力の向上を図りたい

1週間にわたる訓練は、非公開で行われたが、実際にサイバー攻撃を受けたという想定で、初動対応や復旧の手順などを確認した。

暗号資産業者を対象にした訓練では「情報漏えいをきっかけに資産が流出した」という具体的なシナリオを元に、さまざまな状況に対応する方法を学んだという。

ただ、業界全体が対策強化に乗り出していくのは、まだ課題も多い。

金融業界で発生したサイバー攻撃の事例は、金融庁や業界団体「金融情報システムセンター=FISC」で情報共有するという仕組みを整えている。ところが、とりわけ、暗号資産のようなベンチャーも多い業界では、業界団体に加盟していない小規模な事業者も多い。

被害の事例を共有することが、なにより、次の被害への対策につながる。

金融庁は「次に狙われるのは中小事業者」だとして、注意喚起に力を入れることにしている。

具体的な対策は

では、それぞれの企業の担当者、社員などは、具体的にどう備えればいいのか。

警察庁などが出した注意喚起では、社内で使っているソフトウエアや機器などで、新しいぜい弱性が見つかれば、速やかにパッチ=修正を行うなど、まずは、基本的なセキュリティー対策の徹底を求めている。

そして、やはり「ソーシャルエンジニアリング」への備えが重要だ。

人間の心理を突いた攻撃の手口について、従業員にしっかりと理解をしてもらう啓発が大切だ。

カスペルスキーの石丸傑さんが強調するのはメールやチャットといったコミュニケーションツールへの意識だ。

カスペルスキー 石丸傑さん

メールやチャットには並々ならぬ注意を払う必要があります。もちろん不審な添付ファイルを開かないのは、当たり前ですが、それ以外にも、明らかに送り元が同僚や取引先だったとしても、本当にファイルを開いていいのか。直接確認する。できれば、そもそも開かない仕組みを今後整備していく必要性があります

石丸さんによると、ぜい弱性をついた攻撃では、ファイルを単に開いただけでウイルスに感染するケースもある。

さらに踏み込んだ対策として、社内のネットワークにアクセスできる権限を誰にどこまで与えるか、きちんと管理できるよう強化していくこともあげている。

いつのまにか不審なアカウントがつくられていないか、常に監視することも重要だ。

アクセス権限を奪った上、ウイルス対策ソフトを勝手にオフにする手口もある。ソフトをオフにしたら、アラートを鳴らす仕組みを整備するなど、できるかぎり、きめ細かな対策が求めれる。

私たちの日常が脅かされるまでになっている北朝鮮の動勢。

目に見えないサイバー空間でも、日々、私たちの「資産」を狙った攻撃が行われていることを、決して忘れてはいけない。

LockBit3.0とは何者か?

NEWS UPLockBit3.0とは何者か?

「キルネット」とは何者か?

NEWS UP「キルネット」とは何者か?

“見えない戦い”~現地取材で見えてきた「ハイブリッド戦」の実態~

NEWS UP“見えない戦い”~現地取材で見えてきた「ハイブリッド戦」の実態~

ご意見・情報 お寄せください