北朝鮮のハッカー、「副業」で中小企業にランサムウェア攻撃か

今回は「北朝鮮のハッカー、「副業」で中小企業にランサムウェア攻撃か」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Microsoftは、北朝鮮に拠点があるとみられる、中小企業を標的として活動しているランサムウェア攻撃グループについて注意喚起した。

　Microsoft脅威インテリジェンスセンター（MSTIC）は、このグループをDEV-0530と名付け、新たな脅威として追跡している。同社によれば、このグループは「H0lyGh0st」と呼ばれるペイロードを使用して、過去1年間に複数の国の中小企業に被害を与えたという。DEV-0530は、ファイルを暗号化した上で、身代金の支払いを拒否すれば情報を漏えいさせると脅す二重脅迫を行っているが、その動機は不明確だ。

　Microsoftによれば、このグループの一般的な手口は、標的となったデバイスのすべてのファイルを暗号化し、被害者に一部のファイルをサンプルとして送って、ファイルへのアクセスを回復する代わりにビットコインでの支払いを要求するというものだ。

　Microsoftは、北朝鮮に拠点を置き同国政府の指示を受けているとされる「PLUTONIUM」と呼ばれるグループ（「DarkSeoul」または「Andariel」とも呼ばれる）とDEV-0530が連絡を取っているのを確認したという。DEV-0530は、PLUTONIUMが作成したツールも使用している。Symantecは、2019年にDarkSeoulが韓国に対して一連のハッキング攻撃を行ったとしている。DarkSeoulは2013年から活動している。

　Microsoftによれば、DEV-0530の主な目的は金銭的な利益だ。

　同社は、DEV-0530の既知の電子メールアカウントが、PLUTONIUMの既知のアカウントと連絡を取っていることを確認している。これらのグループは使用するツールも共通しており、これにはカスタムマルウェアコントローラーも含まれている。Microsoftは、DEV-0530の活動時間のパターンを分析して、同グループが北朝鮮に拠点を置いていると判断した。同社は、ツールは共有しているものの、これらのグループは別のものだと考えている。

　このことは、このグループがどういった種類のものかを評価するのを難しくしている。Microsoftは、北朝鮮のハッキンググループがランサムウェアを使用する主な動機は、経済制裁や自然災害、干ばつ、新型コロナウイルスによるロックダウンなどが原因で、同国の経済が低迷しているためである可能性が高いと述べている。ところが、DEV-0530の標的は非常に限定的であり、従来の北朝鮮政府の指示を受けたグループによるハッキング攻撃とは異なっている。

　「北朝鮮政府は、経済的な問題による損失を埋め合わせるために、数年間にわたってサイバー攻撃グループを支援し、銀行や仮想通貨ウォレットからの窃盗を行わせてきた可能性がある。もし、北朝鮮政府がこれらのランサムウェア攻撃を指示しているのであれば、今回の攻撃も政府が経済的な損失を埋め合わせるための別の戦術かもしれない」とMicrosoftは述べている。

　しかし同社は、北朝鮮政府の指示を受けた仮想通貨業界の組織に対する攻撃は、より幅広い被害者を標的としたものであることが多く、今回の攻撃は、ハッカーが副業として個人的な利益を得るために行っている活動である可能性があると指摘している。

　Microsoftは、「この副業説が正しければ、DEV-0530の標的となった被害者が無作為に選ばれているように見えることを説明できるかもしれない」と述べている。

　Microsoftによれば、DEV-0530が要求する身代金は、多くの場合1.2～5ビットコイン（約360万～1530万円）だという。