北朝鮮のAPT(Advanced Persistent Threats)グループであるLazarus、Kimsuky、Andarielが、少なくとも1年半にわたり韓国の防衛産業を対象にスパイ活動を行っていた。これらのグループは、韓国の防衛業者から「重要な」データを盗み出した。韓国警察は、これらのグループによる同時進行のスパイ活動を明らかにしたが、被害を受けた防衛組織の名前や盗まれたデータの詳細は公表していない。
この発表は、北朝鮮が初めて核反撃を想定した演習を行った翌日に行われた。Lazarusは2022年11月に、内部ネットワークと外部ネットワークを別々に運用していた防衛請負業者を標的にし、外部ネットワークサーバーを侵害してから6台の従業員のコンピュータから「重要なデータ」を収集し、外部に送信した。Andarielは2022年10月頃、ある防衛請負業者が利用していたリモートITメンテナンス会社の従業員のログイン情報を入手し、その会社のサーバーにマルウェアを感染させて防衛技術に関するデータを外部に送信した。
また、Kimsukyは2023年4月から7月にかけて、ある防衛会社のパートナー企業が使用していたグループウェアのメールサーバーの脆弱性を利用し、内部で送信された大量のファイルを不正にダウンロードした。これらのAPTグループは、使用したマルウェア、そのアーキテクチャ、IPアドレスを通じて特定された。一部のIPアドレスは中国の瀋陽にトレースされ、2014年の韓国水力原子力公社への攻撃と関連があった。
韓国国家警察庁は、防衛技術を狙った北朝鮮のハッキング試みが続くと予想しており、防衛会社とそのパートナーに対し、二要素認証の使用、アカウントに関連するパスワードの定期的な変更、内部ネットワークと外部ネットワークの隔離、不正な外国のIPアドレスからのアクセスのブロックを推奨している。
【ニュース解説】
北朝鮮のAPT(Advanced Persistent Threats、高度持続的脅威)グループであるLazarus、Kimsuky、Andarielが、韓国の防衛産業を対象にしたスパイ活動を行っていたことが明らかになりました。これらのグループは、少なくとも1年半にわたり、韓国の防衛業者から重要なデータを盗み出していました。韓国警察によると、これらのスパイ活動は同時進行で行われていたものの、被害を受けた防衛組織の名前や盗まれたデータの詳細については公表されていません。
この発表は、北朝鮮が初めて核反撃を想定した演習を行った翌日に行われました。これは、北朝鮮がサイバー空間においても積極的に情報収集やスパイ活動を行っていることを示しています。Lazarus、Andariel、Kimsukyの各グループは、それぞれ異なる手法を用いて韓国の防衛産業から情報を盗み出していました。例えば、Lazarusは外部ネットワークサーバーを侵害し、従業員のコンピュータからデータを収集して外部に送信しました。AndarielはリモートITメンテナンス会社の従業員のログイン情報を入手し、マルウェアを感染させてデータを盗み出しました。Kimsukyはメールサーバーの脆弱性を利用して大量のファイルを不正にダウンロードしました。
これらのAPTグループは、使用したマルウェア、そのアーキテクチャ、IPアドレスを通じて特定されました。一部のIPアドレスは中国の瀋陽にトレースされ、過去の攻撃との関連が指摘されています。韓国国家警察庁は、防衛技術を狙った北朝鮮のハッキング試みが続くと予想しており、防衛会社とそのパートナーに対して、セキュリティ対策の強化を推奨しています。
このようなスパイ活動は、国家間の緊張関係を高める可能性があります。また、盗まれた情報が軍事的な利用につながる場合、国際的な安全保障に対するリスクも考えられます。一方で、この事件はサイバーセキュリティの重要性を改めて浮き彫りにしています。特に、防衛産業などの重要インフラを守るためには、二要素認証の使用やパスワードの定期的な変更、内部ネットワークと外部ネットワークの隔離など、より強固なセキュリティ対策が求められます。また、不正なアクセスを防ぐために、外国のIPアドレスからのアクセスを制限することも有効な手段の一つです。この事件を教訓に、国家や企業はサイバーセキュリティ対策の強化に向けてさらなる努力をする必要があるでしょう。
from North Korea APT Triumvirate Spied on South Korean Defense Industry For Years.
