3.最新のサイバー活動とサイバー組織

 2023年10月10日、米サイバーセキュリティコンサルト会社マンディアント(Mandiant)は、「2023 年の北朝鮮のサイバー構造と連携の評価」と題するリポートを公表した。その概要は、以下の通りである。

(1)サイバー活動の要約

 北朝鮮の攻撃プログラムは進化を続けており、北朝鮮政権がサイバー侵入を利用してスパイ活動や金融犯罪を継続し、パワーを誇示し、サイバー能力と軍事力の両方に資金を供給しようとする決意を示している。

 最新の北朝鮮の活動は、ソフトウエアのサプライチェーンを連鎖させる攻撃(注1)が初めて観測されたり、ブロックチェーンやフィンテックを標的とする攻撃が一貫して行われているなど、適応力と複雑性の増大を示唆している。

(注1)ソフトウエア・サプライチェーン攻撃とは、攻撃者が大企業と取引のあるソフトウエア開発会社のシステムに侵入し、納品物であるソフトウエアや更新プログラムに不正を施して、大企業のシステムへ侵入する攻撃手法である。

 様々なハッカーグループがツールやコードを共有する一方で、北朝鮮の脅威活動は、LinuxやMacOSを含む様々なプラットフォーム向けにカスタマイズされたマルウエアを構築するために、適応と変化を続けている。

 マンディアントは、北朝鮮と連携する悪意のあるハッカーグループを継続的に監視しており、北朝鮮のサイバー態勢が数年にわたり大きく変化し、融合していることを明らかにしている。

 標的の重複とツールの共有は、敵対的な活動を効率化する一方で、調査機関による帰属(アトリビューション)の試みを混乱させている。

(2)北朝鮮のサイバー組織

 北朝鮮は、半島内外に配置された軍部隊と工作員によって攻撃的な作戦を実施しているが、新型コロナウイルス感染症(COVID-19)のパンデミックによって世界各地の国境が閉鎖され、特に朝鮮半島と中国における国境が閉鎖されたため、政権は2020年に作戦の修正を余儀なくされた。

 マンディアントは、パンデミック後の北朝鮮のサイバー組織構造は下図2のようなものであろうと評価している。

 下図2は、様々な公開情報、標的パターン、マルウエアの使用状況、脱北者の報告から導き出されたサイバー組織図である。       

図2:2023年現在の北朝鮮のサイバー組織

出典:マンディアントリポート「2023 年の北朝鮮のサイバー構造と連携の評価」を参考に筆者作成
ギャラリーページへ

(3)各ハッカーグループの活動

 マンディアントは、北朝鮮の攻撃的サイバー作戦に関するキャンペーン履歴を管理、追跡、報告している。

 以下は、マンディアントが現在追跡している最も一般的なグループと、各グループの簡単な概要、および主要な標的の優先順位である。

注:以下のグループは、マンディアントが指定する名称(UNC番号)と、同社がその基本的なグループに属する活動を特定するために公に使用されている名称を併記している。

ア. Andariel(UNC614:このグループは、外国企業、政府機関、金融サービスインフラ、民間企業、防衛産業を標的としている。

 UNC614は、「MAUI(マウイ)」と名付けられた独自のランサムウエアを使用した病院の身代金要求など、活動資金を得るための副収入源としてサイバー犯罪にも関与している。

 主な標的:防衛、航空宇宙、医療関連(自己資金で運営する場合)、原子力。

イ.TEMP.Hermit:このグループは少なくとも2013年から活動している。

 このグループは、世界中の政府、防衛、電気通信、金融機関を標的としており、「ラザルス・グループ」という用語はこの一連の活動を指すことが最も多くなっている。

 主な標的:政府、防衛、電気通信。

ウ.AppleJeus(UNC1720):このグループは、少なくとも2018年から活動している。

 主として暗号通貨業界を標的とし、デジタル資産を盗んで政権の優先事項に資金を供給することを目的としている。

「TraderTraitor」と同様、この暗号通貨に特化したグループは、バングラデシュの強盗事件で悪評が広まり、従来の通貨を盗みロンダリングする問題が発生した後に出現したようである。

 主な標的:暗号通貨。

エ.APT37:このグループの主な任務は、北朝鮮の戦略的軍事、政治、経済的利益を支援するための秘密情報収集である。

 このグループは、主に韓国の幅広い産業を標的としていることが確認されている。

 主な標的:脱北者、政府。

オ.APT38:このグループは、金融機関に対する重大な金融侵害と破壊的なマルウエアの使用で知られている。

 このグループの現在の活動は、関連するサブグループによって行われている。

 主な標的:金融。

カ.APT43:このグループは、北朝鮮政権の情報収集の利益を直接支援する大規模なグループである。

 この組織は、偵察総局と北朝鮮指導部の情報機関として、また大使館の代わりとして機能している。

 主な標的:政府、原子力、外交。

キ.CryptoCore(UNC1069):このグループは、少なくとも2018年から活動している。

 以前APT38として追跡された個人または部隊を含んでいる可能性があり、APT43とわずかな共通点があるものの、別個のものであると考えられている。

 主な標的:金融、暗号通貨。

ク.Hybrid Units:マンディアントは、複数のグループの戦術やツールを含む作戦を観察しており、特定のケースでは、別のグループを支援するため、または一時的な任務のため、流動的にその場限りのタスクを実行する複数のグループによって作戦が実施される可能性があることを示唆している。

ケ.IT Workers:北朝鮮のITワーカーは、米国財務省によれば、主に労働党の軍需産業部門に属し、北朝鮮出身の数千人の高度に熟練したIT業務従事者で構成されている。

 彼らは国内外に配置され、収益を上げ、北朝鮮の大量破壊兵器と弾道ミサイル計画の資金を調達している。

 これらのワーカーは、世界中のクライアントからフリーランス契約を獲得し、時には雇用を確保するために米国やその他の国に拠点を置くふりをすることもある。

 彼らは主に合法的なIT業務に従事しているが、そのアクセス権を悪用して北朝鮮による悪質なサイバー侵入を可能にしている。

コ.TraderTraitor(UNC4899):このグループは、スピアフィッシング・メッセージを通じてブロックチェーン企業を標的としている。

「TraderTraitor」は、以前APT38の活動を担当していた攻撃者の仕業である可能性がある。

 主な標的:暗号通貨。