北朝鮮政府の支援を受けたハッカーらが、資金難に苦しむ孤立国家のために資金を集めるため、外国の銀行を襲撃しようとしている。
FireEyeの研究者らは、APT38*と呼ばれる集団が10億ドルの金を奪おうとしており、悪名高いNorkが支援するLazarusグループとは別に活動していると述べている。
FireEyeによると、APT38グループは、TEMP.Hermitとして知られる北朝鮮のより大規模なハッキング活動のサブセットとして活動しているようです。銀行を標的とするこのグループは、2016年のバングラデシュ銀行強盗事件や2018年のチリ銀行攻撃など、これまでTEMP.Hermitによるものとしか考えられていなかった北朝鮮によるサイバー攻撃の背後にいると考えられています。
その結果、研究者たちは北朝鮮のハッキング作戦に関する見解を再評価せざるを得なくなり、作戦全体が実際にはますます専門化が進む多数の作戦の成果であることがわかった。
APT38の場合、その活動は16の異なる政府機関に所属する個人で構成され、少なくとも11カ国で活動しています。このグループは、SWIFT取引システムを介して銀行から巨額の現金を搾取することに特化しており、以前は政府機関へのスパイ活動に使用されていた高度な攻撃ツールをしばしば使用しています。
「APT38は、長期にわたる計画、金銭を盗む前に侵害された被害者の環境に長期間アクセスすること、さまざまなオペレーティングシステム環境に精通していること、カスタム開発されたツールを使用すること、調査を阻止するための継続的な努力、そしてその後侵害されたマシンを完全に破壊する意志など、洗練された銀行強盗を実行する」とファイア・アイは述べた。
核兵器は自力で資金を調達できない
なぜ銀行攻撃のためだけに、これほどまでに高度で複雑な作戦が用いられるのだろうか?ファイア・アイは、長年にわたり北朝鮮に対して積み重ねられてきた政治的圧力と経済制裁が、同国が新たな資金注入を得るためにあらゆる手段を講じる原因となっていると考えている。
他に資金を持ち込む手段がないため、北朝鮮はハッキング資源を使って他国から資金を流用することに頼っている。
米財務省、北朝鮮への資金流出でIT企業を追及
続きを読む
ファイア・アイは「北朝鮮政権による兵器開発と実験の継続を受けて、同国に対する国際制裁はますます厳しく厳しいものとなっている」と説明した。
「APT38の活動のペースは、平壌への経済的圧力が高まっているにもかかわらず、国家の利益を追求するために資金を盗もうとする必死の努力を反映していると思われる。」
研究者たちは、攻撃がすぐに弱まるとは予想していない。トランプ政権による啓発活動や、米国司法省による個々のハッカーへの取り締まり強化の圧力にもかかわらず、APT38グループは活動を弱める兆候を見せていない。
「過去数年間、標的への侵入と資金窃盗に投入された大規模なリソースと広大なネットワークを踏まえると、APT38の活動は今後も続くとみられる」とファイア・アイは述べた。
「特に、近年SWIFTの強盗が最終的に阻止された件数の増加と、金融メッセージングシステムのセキュリティに対する意識の高まりが相まって、北朝鮮の通貨アクセスが悪化し続ければ、APT38は資金獲得のために新たな戦術を採用する可能性がある。」®
* 情報セキュリティ用語では、「高度で持続的な脅威」の頭字語。ネットワーク上で悪意のあるグループが継続的に行う攻撃で、長期間、場合によっては何年も検出されないままです(通常は十分な資金があり、場合によっては国家によって資金が提供されるため、グループは「持続的」であり続けることができます)。
