情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年5月27日号
***************************************************************
身分詐称で潜入する北朝鮮のサイバー脅威
***************************************************************
昨年、日本政府はサイバーセキュリティ戦略本部を開き中国、ロシア、北朝鮮の国名を明記して
戦略案を決定している。
それから半年経過したが、やはり日本に対するサイバー攻撃が多く確認されているのは、その3国
からではないだろうか。
表向きは中国からの攻撃は以前から圧倒的に多いものの、ロシアのウクライナ侵攻以降はロシアから
の攻撃も大幅に増加している。
では北朝鮮はどうだろうか?普段より弾道ミサイルの発射を繰り返し、核実験と言うようなニュースも
聞こえ始め、実際の軍事行動の方が気になるが、実際にはサイバー攻撃もかなり行っている。
よく考えてみると、貧困な国でコロナウイルスの影響もあり、各国が経済制裁している中で、どこから
ミサイル発射をするお金が捻出されているのか不思議である。
先月米FBIは、北朝鮮のハッカー集団「ラザルス」と「APT38」が、オンラインゲームのネットワークに
サイバー攻撃を仕掛け、暗号資産約780億円を不正に奪い取ったと発表している。
暗号資産とは仮想通貨でネット上の取引やハッカー達が利用しているが、匿名で取引できるもの
が多く、資金洗浄、いわゆるマネーロンダリングというお金の流通経路を不明にさせる手法として、
利用されることも多い。
このように、ハッキングにより資金源を暗号資産でマネーロンダリングして自国で現金化しているもの
と考えられる。しかし、それだけではない。
5月17日米国政府は北朝鮮のIT労働者を雇う事に対する注意喚起を行った。
これによると、北朝鮮の大量破壊兵器等に貢献しようとするIT労働者が、身分を偽って各国で
働いていると警告したのである。
身分証は世界中の身分証がブラックマーケットで販売しているから誰にでもなりすませるのである。
ハッカー集団の技術力を侮ってはならない。現在の身分証で使われる電子チップ情報でさえ自由
に書き換えられるのである。正にミッションインポッシブルの世界だ。
北朝鮮はアメリカや国連各国の制裁に反し、大量破壊兵器や弾道ミサイル計画に対する収入を
得るために、高度な技能を持つ数千人のIT労働者を世界中に派遣しているという。
各国に潜入した北朝鮮IT労働者は、アメリカ、日本、韓国、中国などと身分を偽り働きながら企業
に潜入し、高額な報酬を得る。
それだけではなく、企業の特権アクセス権を使い、環境の整った場所からハッキングによるサーバ侵入
やマネーロンダリングの支援などを行い、実際の企業の報酬とは別にサイバー犯罪により多額の金銭
を不正に得て自国に送っているのである。
それ以外のターゲットは各国の銀行、決済システムと雇用サイトの顧客情報で、次なる偽装を実行
するための布石である。そして勿論国家機密情報も狙う。
日本でも、中国在住の北朝鮮労働者が日本在住の知人の名義を使い、日本のスマートフォンアプリ
の開発業務を請け負っていたことが明らかになっている。
何とも馬鹿げた話ではあるが、企業は多分気がつかないのであろう。
しかも仕事ができるから疑いもしない、気がついた時には本人はいなく、企業の極秘データも盗まれて
いるという事だ。そう考えれば、あれほど何回も弾道ミサイルを発射できるのも納得がいく。
しかしこのような身分偽装による潜入行為は北朝鮮に限った事ではない。中国、ロシア、そして他の
国からも多くの人間が潜入しているのが現在の実状なのである。
少し周りを見回してみると、挙動が不自然な人がいるかもしれない。
何故かそんな気持ちになってしまう。
日本人は疑う事をせず、隠蔽体質もあるため、この手の事件は大きなニュースにはならない。
しかし実際にこのようなスパイは、驚く程の人数が日本にも潜入してきているのである。
そして最も安易にできるサイバー攻撃がマルウェアを使った攻撃である。
勤務する会社内部で感染を爆発させ、取引先にも影響を与える。
このようなマルウェアは感染しても直接PCに影響を与えず、各種情報を窃取するプログラムであり
場合によってはリモートコントロールできるゾンビマシンとなりボットネットを構築する。
こうなれば、遠隔から操作され、様々な攻撃が可能になる。
もう一度言う。このようなマルウェアはPCに影響を与えない。
つまり情報を盗まれても、ゾンビ化してリモートコントロールされても、使っている本人は全く分からない
のである。もちろんセキュリティソリューションも回避してしまうので発見されないのだ。
ボットネットが構築され攻撃インフラが整えば、攻撃される。
ランサムウェアもこれで可能になる。
米国Symantec社の調査では、東京はPCやスマートフォン、IoT機器の6割以上が既にゾンビ化
していて、遠隔でサイバー攻撃者にコントロールされる状態にあるというが、東京以外も同じだろう。
監視され、リモートコントロールされて日本は丸裸の状態にある。
それを裏付けるかのように中国ブラックマーケットではゾンビマシンの販売も行っている。
5月19日には【日本のゾンビサーバ、ゾンビPC、ゾンビ化したIoTの販売】という書き込みを確認した。
これを必要とする人は様々な攻撃を実行したいサイバー攻撃者だろう。そして攻撃が始まる。
同日に【日本円のマネーロンダリング情報の販売】【各種身分証、携帯電話番号の販売】という書き
込みも確認したが、何か冒頭の北朝鮮の話と似てきた・・・。
通常ブラックマーケットに書き込みが発生すると、間もなく攻撃の被害が確認される事が多い。
昨今、都市銀行のシステムエラー、ショッピングサイトのシステム停止など、不可解なシステムエラーの
ニュースが多く聞こえてくるが、もしかしたら、既に攻撃が始まっているのかもしれない。
5月もランサムウェア攻撃は減っていなく、有名企業を含め多くの企業が被害を受けている。
各企業も十分気をつけなければならない。
最後に、セキュリティ対策の導入に対して悩んでいる中小企業に朗報がある。
中小企業等のサイバー対策強化に対する補助金制度が政府から発表されている。
最大で導入から2年間で50%の補助があるため、このチャンスを逃してはならない。
100台のPCがあり1台1万円のセキュリティ対策費であれば、企業は100万円かかるところが50万円で
対策できるのだ。是非、確認されると良い。
現在企業の8割以上に攻撃が行われていると言われている。
攻撃を受けて大きな被害を受ければ何億円もの損失がでてしまう。
これを機に、決断されることをお奨めしたい。
-----------------------------------------------------------------------------------
<参考URL>
GigaZine:2022/5/19
「北朝鮮のハッカーを誤って雇わないように」とFBIが警告
https://gigazine.net/news/20220519-hire-north-korean-hacker-warns/
TREND
MICRO:2022/5/10
国内標的型攻撃分析レポート2022年版を発表
~4つの標的型攻撃者グループによるサイバー攻撃を国内で観測~
https://www.trendmicro.com/ja_jp/about/press-release/2022/pr-20220510-01.html
Real
Sound:2022/5/25
サイバー攻撃に遭いやすいパスワードって? 使われがちな「人名」と「動物」が判明
https://realsound.jp/tech/2022/05/post-1035958.html
自民党:2022/5/19
中小企業等のサイバー対策強化に補助金の活用を
https://www.jimin.jp/news/information/203580.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved