米セキュリティ企業SecurityScorecardは2025年1月30日、北朝鮮のハッカー集団Lazarusグループが使用する新たな管理インフラストラクチャ「Phantom Circuit」を発見したと発表した。
主な事実は以下の通り
- 発見のきっかけは「Operation 99」と呼ばれる世界規模の攻撃キャンペーンの調査(2024年9月から活動開始)
- 攻撃者は平壌から6つの異なるIPアドレスを使用
- React/Node.jsベースの管理パネルを実装
- Sky Freight Limited名義の中間プロキシを使用
- C2サーバーは架空の「Stark Industries, LLC」名義で運営
from:Researchers Uncover Lazarus Group Admin Layer for C2 Servers
【編集部解説】
北朝鮮のサイバー攻撃は、これまでも暗号資産の窃取や機密情報の収集を目的として行われてきましたが、今回発見された「Phantom Circuit」は、その手法が格段に洗練されていることを示しています。
特筆すべきは、ReactとNode.jsという最新のWeb開発技術を活用した管理システムの存在です。これは、Lazarusグループが単なるハッカー集団ではなく、組織的な開発体制を持つ専門家集団へと進化していることを示唆しています。
また、AstrillVPNを経由した多層的な通信経路の構築は、サイバーセキュリティ対策の盲点を突いています。VPNサービスは本来、プライバシー保護のためのツールですが、攻撃者によって悪用される可能性があることを示した重要な事例といえます。
暗号資産業界への影響
今回の攻撃で特に注目すべきは、2024年7月に発生したインドの暗号資産取引所WazirXからの2億3500万ドル相当の資産窃取との関連性です。この事例は、Lazarusグループの攻撃が理論上の脅威ではなく、実際に巨額の経済的損失をもたらすことを示しています。
開発者コミュニティへの警鐘
GitHubリポジトリを悪用した攻撃手法は、オープンソースコミュニティに深刻な影響を与える可能性があります。開発者間の信頼関係を基盤とするオープンソース文化において、このような攻撃は単なるセキュリティ上の脅威を超えて、コミュニティの在り方自体に再考を迫るものといえます。
今後の展望と対策
SecurityScorecardの調査によって明らかになった攻撃インフラの詳細は、今後のサイバーセキュリティ対策に重要な示唆を与えています。特に、正規のソフトウェア開発ツールチェーンを標的とする攻撃に対しては、従来の境界防御だけでは不十分であることが明確になりました。
企業や組織は、開発環境のセキュリティ強化、特に1224番ポートや1245番ポートなど、特定のネットワークポートの監視を強化する必要があります。また、VPNの使用状況の監視や、開発ツールの定期的な監査も重要な対策となります。
日本企業への示唆
特に日本の企業にとって重要なのは、開発プロセスにおけるセキュリティ対策の見直しです。オープンソースソフトウェアの利用が一般的となっている現在、サプライチェーンを通じた攻撃に対する備えは必須といえます。