北朝鮮ハッカー、デジタル資産への攻撃を継続

イランの国家ハッカーがランサムウェア攻撃や暗号通貨のマイニングを行い、ロシアが一部で民間のランサムウェアグループを利用していると理解されている中、北朝鮮政府だけが金融サイバー犯罪を攻撃活動の核心的目的として組み込んでいる唯一の主要な敵対勢力です。

北朝鮮のサイバー犯罪プログラムは多面的で、銀行強盗からランサムウェアの展開、オンライン取引所からの暗号通貨盗難まで様々な手口が用いられています。

ラザルス、キムスキー、ビーグルボーイズと呼ばれる北朝鮮のハッカーは、ますます高度なツールを駆使して世界中の軍事、政府、企業、防衛産業のネットワークに侵入し、サイバー諜報活動や機密データの流出を行い、北朝鮮の兵器開発を支援しています。

悪意ある攻撃者は個人を騙してアクセス権を取得したり、セキュリティを侵害したりして、インターネットに接続されたウォレットから北朝鮮が管理するアドレスへデジタル資金を流出させました。制裁を受けている同国は、盗まれた暗号通貨を洗浄するために、数千のアドレスから暗号通貨を集約・暗号化するソフトウェアツールの使用を強化するなど、巧妙な手法に転じています。

昨年、米国司法省は、北朝鮮のコンピュータプログラマー3名を、金融機関や企業から13億ドル以上の金銭と暗号通貨を盗み、恐喝する広範な犯罪陰謀に参加し、破壊的なサイバー攻撃を実行し、複数の悪意ある暗号通貨アプリケーションを作成・配布し、ブロックチェーンプラットフォームを開発・詐称販売したとして起訴しました。

実際、北朝鮮の暗号通貨への攻撃は止むことがなく、前回のブルマーケット以降に10億ドル以上を蓄積しています。

2017年以降に12億ドルが盗まれた

先週、韓国の国家情報院（NIS）は新たな報告書を発表し、過去5年間で北朝鮮のハッカーが推定1.5兆ウォン（12億ドル）相当の暗号通貨を盗んだと指摘しました。この金額の半分以上が今年だけに集中しており、その膨大な総額のうちわずか7800万ドルが韓国からのものです。

韓国の情報機関によると、今年だけで8000億ウォン（6億2000万ドル）相当の暗号通貨が盗まれました。この件についてNISの広報担当者は、今回のハッキングはすべて海外で行われたと述べ、さらに「韓国では仮想資産取引が実名取引に切り替えられ、セキュリティが強化されたため、被害はありません」と付け加えました。

この動向をご存じない方のために、2021年に韓国政府は暗号通貨取引に関するKYC（顧客確認）新規則を導入しました。この規則により、国内のすべての暗号通貨取引所は、顧客が入出金に使用する銀行と同じ銀行で実名口座を作成することを求められます。

取引所と銀行の双方が顧客の身元を確認することが義務付けられます。さらに、取引所は営業開始前に金融委員会（FSC）からライセンスを取得しなければなりません。

北朝鮮のハッカーグループは、今年いくつかの大規模な暗号通貨侵害に関与しており、100億ドル規模のHarmony攻撃も含まれます。専門家は、これらの攻撃が国の外貨準備を増やす手段であると指摘しており、国際社会からの厳しい商業制裁に直面しています。

NISによると、北朝鮮は世界でも最高水準のデジタル資産窃盗能力を有しています。これは、2017年に核・ミサイル実験に対する国連経済制裁が強化されて以来、同国がサイバー犯罪に注力してきたためです。

同機関はまた、北朝鮮のサイバー攻撃が来年にさらに激化すると警告しています:「防御と同様に攻撃を綿密に分析する必要があります。ハッカー組織はすべての攻撃情報を保持し、忘れません。さまざまな攻撃者が散在させた悪意あるコードに関する情報を収集し、意味のある洞察を見つけ出すことが必要です。」

北朝鮮のハッカーは、他の国家支援ハッキンググループやサイバー犯罪者が使用する一般的な手口、例えばソーシャルエンジニアリング、フィッシング、ソフトウェアの脆弱性利用などを駆使しています。

新たなマルウェア配布手法のテスト

ラザルスのBlueNoroffサブグループは、企業を対象に多面的な攻撃で多様なマルウェアを展開し、不正に資金を取得することで知られています。高度なフィッシング手法とマルウェアを組み合わせて資金を洗浄します。

サイバーセキュリティ研究所Kasperskyのレポートによると、BlueNoroffは今年の大半は沈黙していたものの、ベンチャーキャピタル企業、暗号スタートアップ、銀行への標的を再開し、現在活動が急増しています。

BlueNoroffはVC企業に見せかけた70以上の偽ドメインを作成しました。多くは有名な日本企業を装っており、他は米国やベトナムの企業になりすましています。

最近の報告によると、同グループは新しいファイル形式やその他のマルウェア配布手法を試しています。導入されると、マルウェアはWindowsのMark‑of‑the‑Web（MoTW）によるダウンロード警告を回避できます。その後、”大規模な暗号通貨転送を傍受し、受取人のアドレスを変更し、転送額を上限まで増やすことで、実質的に単一取引で口座を枯渇させる”という動作を行います。

サイバー脅威が悪化する中、企業はこれまで以上に警戒して自社を守る必要があります。これはKasperskyの研究者、パク・ソンスが警告していることで、”来年はこれまでにない規模と影響力を持つサイバー流行が顕在化する”と述べています。

ラザルスのBlueNoroffサブグループに関与するオペレーターは、世界中の中小企業を標的とした複数のサイバー攻撃に関与していることが判明しています。NFTもハッキンググループの標的から外れておらず、ラザルスグループに関連する北朝鮮の脅威アクターはここ数週間で非代替性トークンの盗難を試みています。

フィッシングによるNFT盗難

ブロックチェーンセキュリティ企業SlowMistは公開した報告書で、北朝鮮APTグループがNFTユーザーを標的にした大規模フィッシング活動を詳細に調査しました。

SlowMistは、最近のフィッシング攻撃で使用された手法の一つとして、悪意あるミント機能を持つ偽のNFT関連デコイサイトを作成することが判明しました。これらのNFTはOpenSea、Rarible、X2Y2などの人気プラットフォームで販売されました。

米国政府は、この高度持続的脅威（APT）グループを2020年初頭からTraderTraitorと特定しており、最大500の異なるドメイン名を使用したフィッシングキャンペーンで暗号通貨およびNFTユーザーを標的にしました。

これらのハッカーが一般的に使用する独自のフィッシング特性は、訪問者データを記録して外部サイトに保存するフィッシングサイト、NFTアイテムの価格リストの要求、そして対象プロジェクトの画像にリンクする「imgSrc.js」ファイルの提供です。

フィッシング手法の分析において、SlowMistはハッカーがWETH、USDC、DAI、UNIなど複数のトークンをフィッシング攻撃に利用していることも明らかにしました。

Roninへの最大規模攻撃

今年初め、ラザルス・グループは6億ドル超の暗号通貨を流出させたと報告され、NFTゲームAxie Infinityが使用するRoninブロックチェーンから資金が奪われました。ブロックチェーン分析会社Chainalysisは、この攻撃を史上最大の暗号通貨ハックと呼んでいます。

ベトナムのゲームスタジオが開発したAxie Infinityは、かつて100万人以上のアクティブプレイヤーを抱えていました。そして今年初め、ゲームの仮想世界を支えるブロックチェーンが北朝鮮のハッキングシンジケートに襲撃され、約6億2000万ドル相当のイーサリアムが奪われました。

その暗号資産のうち約3000万ドルのみが、法執行機関と暗号分析会社の連携により、複数のDEXと「暗号ミキサー」（多くのユーザーの暗号通貨を混合し、資金の所有者と出所を曖昧にするサービス）を通じて追跡された後、回収されました。

米国はその後、Tornado Cashミキサーに制裁を課しました。米国財務省は、このミキサーがハッカーにより4億5000万ドル超のイーサリアムを洗浄するために使用されたと述べています。

暗号投資スタートアップも標的に

これらの攻撃が続く中、Microsoftは今月初めに暗号通貨投資スタートアップを標的とする脅威アクターを特定したと発表しました。MicrosoftがDEV-0139と呼ぶこのグループは、Telegram上で暗号通貨投資会社を装い、遠隔でアクセスしたシステムに武装したExcelファイルを使用して感染させます。

この脅威は高度な洗練性を示し、OKX従業員の偽プロフィールで自らを偽装し、Telegramの「VIPクライアントと暗号通貨取引所プラットフォーム間のコミュニケーションを円滑にする」ためのグループに参加していましたとMicrosoftは記述しています。

脅威アクターが非常に熟練しており、ペイロードを展開する前に標的との信頼関係を築くなど、準備に時間をかける高度な攻撃が増加しています。

例えば、数か月前に標的があるグループに招待され、暗号通貨取引所HTX、Binance、OKXのVIP手数料構造を比較したExcel文書へのフィードバックを求められました。その文書は正確な情報と暗号通貨取引に関する高度な知識を提供しましたが、同時に悪意ある.dll（ダイナミックリンクライブラリ）ファイルを目に見えない形でサイドロードし、ユーザーのシステムにバックドアを作成していました。標的は議論中に自らその悪意あるファイルを開くよう求められました。

Microsoftは、DEV-0139がサイバーセキュリティ企業Volexityがラザルス・グループと関連付けたアクターと同一であり、AppleJeusマルウェアの変種とMicrosoftインストーラ（MSI）を使用していると示唆しました。

2021年、AppleJeusは米国連邦のサイバーセキュリティ・インフラストラクチャー安全保障局（CISA）によって文書化されました。

暗号攻撃の継続的な増加

Chainalysisによると、北朝鮮政府が実行する暗号通貨攻撃の規模は最近実際に増加しています。

ブロックチェーン分析会社の報告によれば、ラザルス・グループは暗号通貨プラットフォームへの7件の攻撃に関与しており、2021年だけで約4億ドルのデジタル資産を獲得しました。これは2020年の3億ドルと比較されます。

記録上最も成功した年の一つで、北朝鮮関連ハックの件数は2021年に4件から7件に増加し、ハックから得られた価値は40％増加しました。

報告書によれば、北朝鮮が資金の管理権を得た直後、検知されないように資金を現金化するための慎重な洗浄プロセスを直ちに開始しました。

Chainalysisはすべての暗号通貨ハックの標的を特定できなかったものの、主に投資会社と集中型取引所が標的であると述べました。さらに、これらの取引所の一つであるLiquid.comは、8月に不正ユーザーが同社の暗号通貨ウォレットの一部にアクセスしたことを発表しました。

Chainalysisによれば、攻撃者はフィッシングの誘引、マルウェア、コードエクスプロイト、そして高度なソーシャルエンジニアリングを用いて、これら組織の「ホット」ウォレットから北朝鮮が管理するアドレスへ資金を流出させました。

報告書はさらに、研究者が2017年から2021年にかけての49件の別個のハックから、未洗浄の古い暗号通貨保有額170百万ドルを特定し、すべてを現金化するための慎重な計画が示唆されており、「焦って行われたものではない」と述べました。

最終コメント

ハッカーは、暗号通貨テック企業、ゲーム企業、取引所の脆弱性を引き続き悪用し、北朝鮮体制を支援するために資金を生成・洗浄し続けると予想されています。

北朝鮮が核兵器計画を支えるために資金を盗む目的でサイバー攻撃を使用していることは周知の事実であり、これは深刻な問題です。このことは、特に国家支援ハッカーが標的にする可能性のある企業や組織にとって、サイバーセキュリティの重要性を浮き彫りにしています。

北朝鮮政府はこのような活動への関与を否定していますが、証拠はハッカーが体制の支援を受けて活動していることを示唆しています。北朝鮮ハッカーによる継続的な脅威を考慮し、企業や個人は警戒を続け、デジタル資産を保護するための対策を講じるべきです。