北朝鮮のサイバー攻撃グループ「Kimsuky」による新たなフィッシング攻撃が確認された。正規のメールサービスを巧妙に悪用し、従来の防御システムを回避する手法が特徴だ。
攻撃の概要と特徴
2024年9月中旬から、ロシアの大手メールサービス「Mail.ru」の5つのドメイン(mail.ru、internet.ru、bk.ru、inbox.ru、list.ru)を使用したフィッシング攻撃が開始された。攻撃者は「mmbox[.]ru」「ncloud[.]ru」などの偽装ドメインを用い、NaverのMYBOXクラウドストレージサービスを模倣したメールを送信している。
技術的背景
攻撃者はエヴァンゲリア大学のメールサーバーを不正に利用し、「Star」と呼ばれるPHPベースのメーラーサービスを使用。DMARCの設定不備を突くことで、正規の送信者を装う高度な手法を展開している。
from:North Korean Kimsuky Hackers Use Russian Email Addresses for Credential Theft Attacks
【編集部解説】
今回のKimsukyによる新たな攻撃手法は、サイバーセキュリティの観点から非常に重要な示唆を含んでいます。特に注目すべきは、攻撃手法の巧妙化と、地政学的な要素が絡み合っている点です。
従来の北朝鮮発のサイバー攻撃は、マルウェアを使用する手法が主流でしたが、今回の攻撃ではマルウェアを使用せずにフィッシングを行うという特徴があります。これにより、従来の防御システムをすり抜けやすくなっています。
技術的特徴
特筆すべきは、正規のメールサービスを悪用する手法です。VKのMail.ruというロシアの有名なサービスを使用することで、攻撃の発信元を偽装し、検知を困難にしています。
さらに、DMARCレコードポリシーの設定不備を突く手法は、多くの組織が見落としがちな脆弱性を狙っているという点で注目に値します。
最近の活動と影響範囲
Kimsukyグループは今年に入って活動を活発化させており、10月にはドイツの防衛企業Diehl Defenceへの攻撃も確認されています。また、建設業界や機械製造業界への攻撃も報告されており、産業スパイ活動の様相を呈しています。
企業への影響と対策
特に日本企業にとって重要なのは、NaverのMYBOXを装った攻撃が確認されている点です。日韓のビジネス関係者の間でNaverサービスの利用が一般的であることを考えると、より警戒が必要です。
今後の展望
このような高度な標的型攻撃は、今後さらに巧妙化することが予想されます。特に、正規サービスの悪用やマルウェアレス攻撃の増加は、従来型のセキュリティ対策の限界を示唆しています。
企業は、従業員教育の強化とともに、多層的な防御戦略の構築が求められます。特に、DMARCなどの電子メール認証技術の適切な設定と運用が重要となってきています。