米国政府は、ソニー・ピクチャーズへのハッキング、英国の国民保健サービスやその他の機関を機能不全に陥れたWannaCryランサムウェア、バングラデシュ国立銀行から盗まれた8100万ドルを含む一連のオンライン銀行強盗の背後に北朝鮮政府がいると正式に非難した。
FBIと米司法省は木曜の記者会見で、国家が支援する攻撃は、朝鮮エキスポ合弁会社というダミー会社に勤務する北朝鮮のハッカー集団によって実行されたとされると発表した。
彼らは、その行動に対抗する警備会社がラザルス・グループと呼ぶグループのメンバーの一人の名前を挙げ、その人物のパク・ジンヒョクの名前と顔をFBIの指名手配ポスターに掲載し、現在は逃亡犯とみなされていると付け加えた。
司法省報道官は、捜査結果を受けて米国は北朝鮮に対し追加制裁を課すだろうと述べた。
北朝鮮は長い間、ソニーへのハッキングを実行した、あるいはWannaCryランサムウェアの背後にいるとして疑われ、非難されてきたが、本日、それらの非難が正式に発表された。
捜査を担当した特別捜査官による179ページに及ぶ長大な宣誓供述書[PDF]には、攻撃がどのようにしてHyok氏、彼のハッキンググループ、そして最終的には北朝鮮政府にまで遡ったかが詳細に記述されている。
報告書では、このグループが複数のGmailアカウントを使用し、痕跡を隠すためにあらゆる手段を講じたが、最終的にハッカーに繋がる一連の電子的な痕跡と、北朝鮮政府関係者も使用していたとみられるメールアカウントを残し、政府とのつながりを明らかにした経緯が詳述されている。
グローバル
当局はハッキング集団の活動が世界規模で広がっていることを強調し、100件以上の捜索令状が発行され、さらに情報を求める要請が諸外国に85件出されたことを強調した。
「告訴状で申し立てられたサイバー犯罪の規模と範囲は驚異的で、法の支配と責任ある国家が受け入れているサイバー規範を尊重するすべての人にとって不快なものだ」と国家安全保障担当のジョン・デマーズ司法次官は述べた。
このグループはエンターテインメント企業や銀行を標的とし、その後同じコードを使って、英国の国民保健サービスに機能不全を起こすなど世界的な大混乱を引き起こしたWannaCryランサムウェアを作成した。
エンターテインメント業界が標的となったのは、北朝鮮政府を不当に描写した映画が原因だった。ソニーは、北朝鮮指導者暗殺を題材にした架空の映画『ザ・インタビュー』を制作した。スピアフィッシング攻撃によって同社のシステムが侵入され、幹部の個人メールがオンラインに流出し、甚大な被害をもたらした。『ザ・インタビュー』を含む公開予定の映画のコピーもオンライン上に流出した。
捜査官らは、映画館チェーンのAMCも同映画の上映を予定していたため標的にされたほか、北朝鮮を描いた映画を制作していた名前の明かされていない英国の制作会社も標的にされたと明らかにした。
2015年から銀行への侵入を企てた試みが数多く行われ、最も成功したのは2016年2月にバングラデシュ銀行から8100万ドルが盗まれたことだと明らかにされた。しかし、訴状によると、世界中で他の試みも行われ、「10億ドルをはるかに超える損失」が出たという。
そして残り
そしてその後、病院、大学、公益事業会社、防衛関連企業、ビットコイン通貨など西側諸国の標的に対して、数え切れないほどの他の攻撃の試みが行われた。
捜査官らは、これらの攻撃では同じデバイス、IPアドレス、暗号化キーが繰り返し使用されており、マルウェアにハードコードされたドメイン名がハッカーの管理下にあったと指摘した。fancug.comはその一例に過ぎない。
NorkハッカーのLazarusがAppleJeusによって復活し、初めてMacに感染
続きを読む
また、ハッキングチームは攻撃前に、標的企業の特定の個人のソーシャルメディアアカウントを追跡し、事実上オンライン監視を行っていたこと、システムの穴を見つけて従業員にスピアフィッシングを仕掛ける最も効果的な方法を見つけ出すためにドメイン名や企業記録を引き出していたことも判明した。
ある攻撃では、Facebookから被害者に送信された、アカウントが別のIPアドレスからアクセスされたことを警告するメールがハッカーによって盗まれ、メール内のハイパーリンクがFacebookのウェブサイトからハッカーが管理するドメインに変更されて再送信されました。被害者は、正規のFacebookメール内の正規のリンクのように見えるリンクをクリックしたところ、コンピュータにマルウェアがインストールされたと捜査官が推測するウェブページにアクセスしました。同様の攻撃が、被害者が使用していたGoogleドライブやその他のサービスにも行われました。
宣誓供述書には、サーバーのログやその他の電子証拠を通じて攻撃がどのように追跡されたかが詳細に記されている。
告発状によると、名前が挙がっているパク・ジンヒョクという人物は、合法的なコンピューター関連業務を行うために頻繁に中国を訪れ、その後北朝鮮に戻り、政府のためにハッキング業務を続けていた。捜査官は彼の履歴書を発見し、活動を追跡した。
長い記憶
米国政府は、パク・ジンヒョク氏を捕らえる可能性は低いと認めた。同氏の最後の居場所は北朝鮮であり、米国は同独裁政権と犯罪人引渡し条約を結んでいないからだ。しかし、同氏の氏名を公表し、正式な苦情を申し立てることは依然として重要だと主張した。
「我々は長い記憶力を持っており、彼が逮捕される日に備えて万全の準備を整えている」と司法省の担当者は述べ、さらにこう付け加えた。「グループ名を公表することと、誰が犯人か分かっていると言い、その名前を公表することは全く別問題だ。我々から隠れることはできない、というのがメッセージだ」
これとは関係のないニュースだが、ドナルド・トランプ大統領は記者会見と北朝鮮への追加制裁発動の数時間前に、予想外に北朝鮮の指導者を称賛した。
「北朝鮮の金正恩氏は『トランプ大統領への揺るぎない信頼』を表明した」と、第45代アメリカ合衆国大統領はツイートした。「金委員長に感謝します。共に成し遂げましょう!」®
