はじめに
- 国内の暗号資産取引所から約482億円相当のビットコインが流出した事件に、北朝鮮のAPTグループ「TraderTraitor」が関与していたと、警察庁などが24日付で断定しました[1]。
- この事件への北朝鮮APTグループの関与の可能性は、事件直後からリサーチャーにより指摘されていました[2]。今回は、警察庁などが捜査・分析で判明した内容を踏まえて「パブリックアトリビューション」を行った形です。
- 報道によると、TraderTraitorはリクルーターを装い、LinkedIn経由で被害組織の関連会社の従業員に接触。採用前の試験を装ってURLを送り不正プログラムを仕込み、アクセス権限を乗っ取ってこの関連会社のシステムに侵入し、被害企業の取引内容を改ざんし暗号資産を盗んだとのことです[3]。したがって、ソーシャルエンジニアリングとサプライチェーン侵害の要素を併せ持つ事案です。
- なお、被害に遭った取引所は、資金調達により流出相当分の資産の調達を完了したものの、最終的には廃業となりました[4]。
- SNSでIT技術者のリクルーターや求職中のIT技術者を装って企業に接近する北朝鮮アクターの手法は、本事案が発生した6月以降も継続して報告されており、金融・軍事・製造業などに従事する方々は、強く警戒することが望まれます。以下、過去3か月間(2024年10月~12月)に報じられた類似する事例を紹介します。
ブロックチェーンやWeb3の偽求人を利用してマルウェアBeaverTailを配布
Lazarus GroupやFamous Chollimaとの関連が想定される北朝鮮アクターが10月、SecurityScorecard社のDevOpsエンジニアを標的に、リモートアクセストロイの木馬BeaverTailを使用するフィッシングキャンペーンを行いました。この攻撃は阻止され損害は発生しなかったとのことです。
攻撃ではLinkedIn上の偽求人が用いられました。標的はパキスタン、米国、ブラジルにいて、ブロックチェーンやWeb3を扱った経験のある同社DevOpsエンジニアなどでした。偽求人で行われたスキルテストには、クレデンシャル・ハーベスティング用スクリプト付きのNodeJSアプリケーションが含まれる、Bitbucketリポジトリが使われていました。このキャンペーンは2024年初頭から同社の記事公開時点まで継続しているとのことです。
情報源:SecurityScorecard, 2024年10月29日, Inside a North Korean Phishing Operation Targeting DevOps Employees
MiroTalkやFreeConferenceを装ったファイルでマルウェア配布
またPalo Alto NetworksのUnit 42は10月、ハッカーがLinkedInなどでリクルーターを装って、テック業界の求職者を狙う北朝鮮のサイバーキャンペーン「Contagious Interview」について報告しました。攻撃者はアップデートされたマルウェア系統のBeaverTailとInvisibleFerretを使用し、機密情報と暗号資産を窃取していました。
BeaverTailはアップデートにより、13種類の暗号資産ウォレットのブラウザ拡張機能を狙うことが可能になり、MiroTalkやFreeConferenceといった正式なビデオ会議ツールを装ったファイルを通じて配布されます。BeaverTailはインストール後、バックドアInvisibleFerretの展開につながり、InvisibleFerretはキーロギング、ファイルの抜き取り、感染機器のリモートコントロールを可能にします。このキャンペーンからは、北朝鮮アクターが手法の改良を継続している事実や、被害を受けた求職者を通じて企業環境に侵入されるリスクが浮き彫りになっています。
情報源:Unit42, 10月9日, Contagious Interview: DPRK Threat Actors Lure Tech Industry Job Seekers to Install New Variants of BeaverTail and InvisibleFerret Malware
北朝鮮の手法をイランのAPTグループが模倣か
イランのハッカーグループ「Charming Kitten」がLinkedInユーザーを標的に偽の求人募集を行い、マルウェアSnailResinを展開しているとの調査結果を、ClearSky Cyber Securityが公表しました。同マルウェアはバックドアSlugResinをアクティベートするとされ、活動は2023年9月には始まっていたとのことです。このキャンペーンの標的は、航空宇宙、航空、防衛部門(特にイスラエルとヨーロッパ)の個人とのこと。ハッカーはリクルーターを装い、仕事関連のドキュメントに偽装した有害な実行可能ファイルの仕込まれたzipファイルを送信します。ハッカーはまた、偽の求人サイト「Careers 2 Find」を作成し、マルウェアを実行するよう仕向けるPDF形式のガイドを被害者に提供していました。
ClearSky Cyber Securityは、キャンペーンをCharming Kittenによるものと断定。このキャンペーンで用いられたルアー、攻撃技法、マルウェアファイルから、Charming KittenがLazarusになりすまして自ら活動を秘匿しようとしたか、北朝鮮が攻撃手法とツールをイランと共有したか、どちらかだろうとの見立てを示しています。
情報源:ClearSky Cyber Security, 2024年11月12日, Iranian “Dream Job” Campaign 11.24 – ClearSky Cyber Security
北朝鮮のダミー企業が米ソフトウェア企業のなりすましサイトを使用
北朝鮮の不正IT労働者の窓口として機能する新たに発見された企業4社によって運営されるなりすましWebサイトを、SentinelOneのリサーチャーが分析しました。4社は、Independent Lab LLC、Shenyang Tonywang Technology LTD、Tony WKJ LLC、HopanaTech。いずれも、米国の実在するソフトウェア・テクノロジーコンサルティング企業へのなりすましを試みていました。
発見されたWebサイトは、2024年10月10日時点で米国の法執行機関により閉鎖済みです。リサーチャーは発見された活動を、中国国内で設立が続くさらに大規模な企業群と関連付けています。これには、Shenyang Huguo Technologyなど、記事時点で活動を続ける新たな企業が含まれます。
情報源:SentinelOne, 2024年11月21日, DPRK IT Workers | A Network of Active Front Companies and Their Links to China – SentinelOne
「ブロックチェーン企業数十社が北朝鮮のIT労働者を雇用」とCoinDesk社
Injective、ZeroLend、Fantom、Sushi、Yearn Finance、Cosmos Hubといった暗号資産企業が、意図せず北朝鮮のIT労働者を雇用していたとの調査結果を、CoinDeskが発表しました。これらのIT労働者は偽の身分証を用い、面接と推薦状チェックも通過していました。雇用した企業の中には後に北朝鮮労働者によるハッキングを受けたところもあるとのことです。
情報源:CoinDesk, 2024年10月2日, How North Korea Infiltrated the Crypto Industry
元雇用主に身代金要求した事例も
北朝鮮アクターによる活動の中には、不正なリモートIT労働者が内部関係者としてのアクセス権を獲得した後、元雇用主に身代金の支払いを要求した事例も含まれていたとの調査結果を、Secureworksが報告しました。
このアクターは「NICKEL TAPESTRY」と呼ばれ、企業の支給するノートPCの使用を避け、代わりに私用機器と仮想デスクトップインフラの使用を希望していました。これにより、組織のネットワークへのリモートアクセスが可能になります。また同アクターは、通常はビデオ会議中のカメラオンを避ける傾向にあり、SplitCamと呼ばれるソフトウェアを使って身元を隠していることを窺わせる証拠もあるとのことです。また、ITワーカー同士が、推薦状の提供や職務の遂行などで互いを支援しているのも確認されたとのことです。
Secureworksは、提出書類の名前、国籍、連絡先情報、職務経歴に一貫性があるかチェックし、応募者の身元をよく確認するよう助言しています。また、オンボーディングプロセス中の住所変更などを求める応募者に注意することも助言しています。
情報源:Secureworks, 10月17日, 2024 State of the Threat Report
考察
上記の通り、リクルーターを装ってエンジニアに接近してマルウェアに感染させる手口は10月に入っても継続しており、マルウェアのアップデートも確認されています。したがって、冒頭の事例と同様の手法を用いた攻撃は現在進行形であることが分かります。また、他国のアクターが北朝鮮による戦術を何らかの動機で模倣した例では、航空宇宙、航空、防衛部門が標的となっていました。よって、暗号資産や金融部門以外も同様の攻撃で標的となり得ることが一層明確になっています。
リクルーターへのなりすましだけでなく、身分を隠したIT技術者を企業に採用させる例も報告されています。これに関しては、マルウェア感染を伴わない例もあるものの、制裁をすり抜けて資金を得たり、機密情報を盗み出したりすることを目的としており、企業にとって大きなリスクであることには変わりありません。
今回の警察庁などの注意喚起[1]では、システム管理者向け、従業員向けの「対処例と緩和策」や、マルウェア感染が疑われる場合の対応について記されています。ここには「多要素認証を導入する」「業務付与期間に限定した必要最小限のアクセス範囲と権限を付与する。(業務付与期間終了後、速やかに縮小・削除する。)」といった基礎的対策のほか、「SNSでアプローチを受けた際は、ビデオ通話を要求する」といった最新の手口に対応した対策も盛り込まれています。EDRなどのセキュリティ製品を適切に導入するだけではなく、北朝鮮アクターのソーシャルエンジニアリングやマルウェア関連の最新情報を注視し、その攻撃手法について組織に従事する関係者に対し迅速に周知することが、対策には不可欠といえます。
付記
今回の情報収集には、OSINT型脅威インテリジェンスツール「Silobreaker」を使用しました。Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。18か国語のニュース、ブログ記事、ソーシャルメディアなどのコンテンツを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理することで、迅速な意思決定を支援します。
参考記事
[1] 警察庁/内閣サイバーセキュリティセンター/金融庁, 2024年12月24日, 北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について (注意喚起)
Codebook, 2024年12月25日, 北朝鮮のハッカーTraderTraitorがDMMビットコインから約482億円相当の暗号資産を強奪
[2] @zachxbt(on X), 2024年7月14日, https://x.com/zachxbt/status/1812466959109521649
[3] 朝日新聞デジタル, 2024年12月24日, DMMビットコイン流出は「北朝鮮の攻撃」 SNSで接触、日米特定
[4] 日本経済新聞, 2024年12月2日,不正流出のDMMビットコインが廃業へ SBI系に資産譲渡
関連投稿
Writer
一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳を担当。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。