北朝鮮のサイバー攻撃による脅威が、世界規模で拡大しているようだ。標的型マルウェア「SpyAgent」は、当初韓国の仮想通貨ユーザーを狙っていたそうだが、現在では英国、さらには米国にも被害が及んでいるという。
SpyAgentは、AndroidだけでなくiOSデバイスのセキュリティ対策も回避できる高度なマルウェアで、フィッシング攻撃を通じて急速に拡散している。仮想通貨ウォレット情報を盗み出すだけでなく、テキストメッセージ、連絡先、画像など、幅広い個人データを収集するスパイウェアとしての機能も備えているそうだ。
このマルウェアは、ユーザーが画像形式で保存していることが多い仮想通貨ウォレットへのアクセスに使用する画像情報をスキャンして見つけることができる。さらに、被害者のスマホを乗っ取り、偽のSMSを送信することで、他のマルウェアよりも急速に拡散することが可能という。かなり危ないものだ。
先日、FBIとCISA(米国のサイバーセキュリティ・インフラセキュリティ庁)は、北朝鮮のハッカー集団が仮想通貨業界の調査とデータ収集を行っていると警告した。興味深いことに、SpyAgentは仮想通貨ウォレットを空にするだけでなく、被害者に関する多くの情報を収集し、より巧妙な詐欺に利用するそうだ。
北朝鮮の仮想通貨への執着は周知の事実であり、国連によると、北朝鮮の朝鮮人民軍偵察総局の下部組織のLazarus Groupのようなグループは、北朝鮮政府に30億ドル以上をもたらしたと言われる。違法に取得したこれらの資金は、大量破壊兵器や弾道ミサイルの開発など、国際的に制裁を受けている軍事および政府プログラムの資金源となっている。
SpyAgent以外にも、これまでも、北朝鮮は多様なサイバー攻撃を行ってきた。主な例として以下が挙げられる。
- WannaCry ランサムウェア攻撃 2017年に世界中で大規模な被害をもたらしたランサムウェア攻撃。150カ国以上の30万台以上のコンピューターに影響を与え、病院や企業などに甚大な被害をもたらした。
- ソニー・ピクチャーズへの攻撃 2014年にソニー・ピクチャーズエンターテインメントを標的とした大規模なサイバー攻撃。機密情報の流出や社内システムの破壊などの被害が発生。
- バングラデシュ中央銀行からの資金窃取 2016年にバングラデシュ中央銀行のSWIFTシステムに侵入し、約8100万ドルを不正送金した。
- 暗号通貨取引所への攻撃 複数の暗号通貨取引所を標的としたハッキング攻撃を行い、多額の暗号資産を窃取。
- APT38グループによる金融機関への攻撃 APT38と呼ばれるハッカー集団が、世界中の金融機関を標的とした持続的な攻撃を行っている。これは今も続いている。
- 核関連施設への諜報活動 インドのKudankulam原子力発電所など、核関連施設に対するサイバースパイ活動。
これらの攻撃は、資金獲得や情報収集、政治的目的など様々な動機で行われており、北朝鮮のサイバー能力の高度化と多様化を示している。
最近のCISAとFBIの勧告も、北朝鮮のハッカー組織が持つ高度な能力を裏付けている。今回のSpyAgentのようなフィッシング攻撃は、金銭だけでなく、標的の考え方、興味、習慣など、人間的な要素を理解することも目的としている。これで得られたデータを利用して、さらに、北朝鮮のサイバー犯罪活動は規模と能力を増して、新たなバージョンが登場する危険性が高まっている。
北朝鮮のサイバー攻撃の主な目的は、ロケット開発などの資金提供だが、これらの攻撃はさらにエスカレートすることが予想されているという。SpyAgentは、北朝鮮から生まれた最新のマルウェアだが、これは、長年にわたるブロックチェーン・仮想通貨ハッキングの経験を持つ北朝鮮のサイバー部隊は、次のレベルに進んでいることを証明しているのだそうだ。
繰り返すと、SpyAgentの高度な機能とその能力は、二重の動機がある。北朝鮮は、仮想通貨だけでなく、被害者のスマホにある基本的にすべての情報を狙っている。スマホがデータの宝庫であることを考えると、大規模な作戦で自動的に情報を収集できるマルウェアの存在は、非常に憂慮すべき事態だ。まずできることは、最近多いフィッシングに特に注意することだろう。
