北朝鮮と関係する脅威アクターが、ヨーロッパの防衛産業企業を標的とした新たな攻撃を実施している。この攻撃はOperation Dream Jobと呼ばれる長期キャンペーンの一環である。
ESETのセキュリティ研究者Peter KálnaiとAlexis Rapinによると、標的企業の一部は無人航空機(UAV)セクターに深く関わっており、北朝鮮のドローンプログラム拡大と関連する可能性がある。
攻撃の目的はScoringMathTeaとMISTPENというマルウェアを使用した企業秘密情報と製造ノウハウの略奪である。ESETは2025年3月下旬からこのキャンペーンを観測した。標的には東南ヨーロッパの金属加工会社、中央ヨーロッパの航空機部品メーカー、中央ヨーロッパの防衛会社が含まれる。
攻撃者は魅力的な求人を餌にソーシャルエンジニアリングを活用し、標的に求人説明書とトロイの木馬化されたPDFリーダーを送付する。ScoringMathTeaは約40のコマンドをサポートする高度なRATで、侵害されたマシンを完全に制御する。
From: 
North Korean Hackers Lure Defense Engineers With Fake Jobs to Steal Drone Secrets
【編集部解説】
今回の攻撃が示すのは、サイバー攻撃の標的が「組織」から「技術そのもの」へとシフトしている現実です。北朝鮮のLazarus Groupは、少なくとも2009年から活動する世界で最も早くから活動が確認されているAPT(Advanced Persistent Threat)グループの一つで、長年にわたり防衛産業や航空宇宙分野を標的としてきました。今回の作戦では、破壊ではなく「知的財産の窃取」という明確な目的を持っています。
特に注目すべきは、UAV(無人航空機)技術への執着です。ESETの研究者が発見した悪意のあるファイルには「DroneEXEHijackingLoader.dll」という名前が付けられており、ドローン技術への特化した関心が窺えます。北朝鮮が開発するSaetbyol-4やSaetbyol-9といったドローンは、米国のRQ-4 Global HawkやMQ-9 Reaperと酷似した外観を持ち、リバースエンジニアリングと知的財産窃取に大きく依存していることが報告されています。
攻撃手法の「予測可能性」も興味深い点です。ESETの研究者が指摘するように、Lazarusは2022年以降、同じマルウェア(ScoringMathTea)と同じ手口(偽求人とトロイの木馬化されたPDFリーダー)を使い続けています。古い手法であるにもかかわらず成功し続けているのは、人間の心理的脆弱性、つまり「魅力的な仕事のオファー」への反応が、技術的な防御より突破しやすいことを物語っています。
防衛産業のサプライチェーンにおけるリスクも深刻化しています。標的となった3社には航空機部品メーカーや金属加工会社が含まれており、大手防衛企業だけでなく、その周辺のサプライヤーも狙われています。特に中小企業は十分なセキュリティ体制を持たないケースが多く、そこから大手への侵入経路が開かれる可能性があります。
Microsoft Graph APIを悪用したC2通信など、正規サービスを隠れ蓑にする手法も洗練されています。BinMergeLoaderやMISTPENといったダウンローダーは、正規のクラウドサービスと通信することで、ネットワーク監視をすり抜ける設計となっています。
攻撃が観測された2025年3月という時期も重要です。標的となった企業が製造する軍事装備の多くは、ヨーロッパ諸国の軍事支援によってウクライナに配備されているものです。北朝鮮がロシアを支援している状況下で、西側諸国の兵器システムに関する機密情報の収集を目的としていた可能性も指摘されています。技術窃取は単なる知的好奇心ではなく、地政学的な戦略の一部なのです。
【用語解説】
Lazarus Group(ラザルスグループ)
北朝鮮を背景に持つとされる世界で最も早くから活動が確認されているAPTグループの一つで、少なくとも2009年から活動が確認されている。APT-Q-1、Black Artemis、Diamond Sleet(旧Zinc)、Hidden Cobra、TEMP.Hermit、UNC2970など多数の別名で追跡される。防衛産業、航空宇宙分野、金融機関、暗号資産取引所への攻撃など、組織的なサイバースパイ活動と資金調達を目的とした攻撃で知られる。
Operation Dream Job(オペレーション・ドリームジョブ)
2020年にイスラエルのサイバーセキュリティ企業ClearSkyによって初めて報告されたLazarus Groupによる持続的攻撃キャンペーン。Boeing、Lockheed Martin、BAEなど著名な防衛・航空宇宙企業を装った魅力的な求人オファーで標的を誘い、マルウェアに感染させる手法を用いる。日本でもJPCERT/CCが同様の攻撃を継続的に確認している。
APT(Advanced Persistent Threat)
高度で持続的な標的型攻撃を意味する用語。国家や国家支援を受けた組織が、特定の組織に対して長期間にわたり継続的に実施するサイバー攻撃を指す。通常の攻撃と異なり、高度な技術と豊富なリソースを持ち、検知を回避しながら長期間潜伏して機密情報を窃取することを目的とする。
UAV(Unmanned Aerial Vehicle)
無人航空機の総称。軍事用途では偵察、監視、攻撃などに使用され、民生用途では物流、農業、インフラ点検などに活用される。近年の技術進歩により、高度な自律飛行機能や長距離飛行能力を持つ機体が開発されている。
ScoringMathTea(別名ForestTiger)
Lazarus Groupが2022年以降、継続的に使用している高度なRAT(Remote Access Trojan)型マルウェア。約40のコマンドをサポートし、侵害されたマシンを完全に制御する能力を持つ。同グループの主要なペイロードとして使用され、インド、ポーランド、英国、イタリアの企業への攻撃で観測されている。
MISTPEN
2024年9月にGoogle Mandiantによって文書化されたマルウェア。エネルギーおよび航空宇宙分野の企業を標的とした侵入に使用される。Microsoft Graph APIとトークンを利用して追加のペイロードを取得する洗練されたダウンローダー機能を持つ。
RAT(Remote Access Trojan)
遠隔操作型トロイの木馬。感染したコンピュータを攻撃者が遠隔から完全に制御できるようにするマルウェアの一種。キーボード入力の記録、ファイルの窃取、カメラやマイクの操作、追加マルウェアのインストールなど、多様な機能を持つ。
DLLサイドローディング
Windowsの正規のプログラムが必要なDLL(動的リンクライブラリ)ファイルを読み込む仕組みを悪用する攻撃手法。正規の実行ファイルと同じフォルダに悪意のあるDLLを配置することで、正規プログラムの実行時に悪意のあるコードを実行させる。セキュリティソフトによる検知を回避しやすい。
Microsoft Graph API
Microsoftが提供するクラウドサービス(Microsoft 365、Azure ADなど)にアクセスするための統一されたAPI。本来は正規の開発用途で使用されるが、攻撃者は正規のクラウドサービスとの通信に見せかけてC2(Command and Control)通信を行うために悪用する。
【参考リンク】
ESET(イーセット)公式サイト(外部)
スロバキアに本拠を置くヨーロッパを代表するサイバーセキュリティ企業で、今回の調査レポートを発表した。
The Hacker News(外部)
サイバーセキュリティ分野で最も信頼されているニュースメディアの一つで、最新の脅威情報を発信。
ClearSky Cyber Security(外部)
2020年にOperation Dream Jobキャンペーンを初めて公開したイスラエルのサイバーセキュリティ企業。
Google Mandiant(外部)
APT攻撃の追跡と分析における世界的権威で、MISTPENマルウェアを2024年9月に文書化。
MITRE ATT&CK Framework(外部)
サイバー攻撃者の戦術、技術、手順を体系化した世界標準のナレッジベース。
JPCERT/CC(外部)
日本のコンピュータセキュリティインシデント対応チームで、国内での攻撃事例を監視・報告している。
【参考記事】
Lazarus Group’s Operation DreamJob Targets European Defense Industry(外部)
ESETの調査レポートに基づき、ドローン技術への特化した関心を示す悪意のあるファイルについて詳細報告。
North Korean Lazarus group targets the drone sector in Europe(外部)
標的企業が製造する軍事装備がウクライナに配備されている事実と、西側兵器システム情報収集の可能性を指摘。
How Lazarus Group used fake job ads to spy on Europe’s defense sector(外部)
ESETの研究者へのインタビューを含み、偽求人とトロイの木馬化されたPDFリーダーの技術的詳細を解説。
North Korea’s Lazarus group attacked three companies involved in drone manufacturing(外部)
ScoringMathTeaが2022年以降継続使用され、予測可能だが効果的な戦略を維持していることを報告。
Lazarus targets European defense firms in UAV-themed Operation DreamJob(外部)
北朝鮮のUAVプログラムがリバースエンジニアリングと知的財産窃取に依存している証拠を提示。
Beware of Contacts through LinkedIn: They Target Your Organization(外部)
JPCERT/CCによる日本でのOperation Dream Job攻撃事例とLinkedInを通じた攻撃手法を詳述。
Lazarus Group (APT38) Explained: Timeline, TTPs, and Major Attacks(外部)
Lazarus Groupの2009年からの活動史と使用する戦術・技術・手順を包括的に解説。
【編集部後記】
今回のような攻撃から自分や組織を守るため、私たちにできることは何でしょうか。まず、どんなに魅力的な求人オファーでも、送られてきたファイルを開く前に一度立ち止まる習慣が大切です。
LinkedInなどのビジネスSNSを通じた連絡であっても、相手企業の公式サイトから直接問い合わせるなど、別ルートでの確認をお勧めします。また、防衛産業に限らず、あらゆる業界のサプライチェーンが標的となり得る時代です。皆さんの職場ではどのようなセキュリティ対策が取られているか、改めて確認してみてはいかがでしょうか。技術的な防御だけでなく、「人間の警戒心」こそが最も重要な防壁になります。
