Last Updated on 2025-05-14 10:23 by 乗杉 海
北朝鮮のサイバー脅威グループTA406(別名:Konni、Opal Sleet)が2025年2月からウクライナ政府機関を標的とした新たなサイバースパイ活動を展開している。
セキュリティ企業Proofpointの2025年5月13日の報告によると、この活動はロシアの侵攻に対するウクライナの継続的な抵抗意欲を評価し、すでに展開されている北朝鮮軍へのリスクやモスクワからの追加軍事支援要請の可能性を判断するための情報収集が目的である。
TA406は「王立戦略研究所」という架空のシンクタンクの上級研究員を装い、ウクライナの国内政治に関連するフィッシングメールを送信した。攻撃手法としては、MEGAファイルホスティングサービスにホストされたパスワード保護されたRARアーカイブ(AnalyticalReport.rar)をダウンロードさせ、CHMファイルを介してPowerShellスクリプトを実行する方法が使用された。このスクリプトは被害者のコンピュータからIPアドレス設定、システム情報、ファイル名、ディスク情報、インストールされたアンチウイルスソフトウェアなどの情報を収集し、攻撃者が管理するサイトに送信する。
また、TA406はProtonMailアカウントを使用して偽のMicrosoftセキュリティアラートを送信し、ウクライナ政府職員の認証情報を窃取しようとする試みも行っていた。
北朝鮮は2024年秋にロシアを支援するために軍隊を派遣しており、ロシアとの軍事協力を強化している。Proofpointによれば、TA406の活動は主に政治的情報収集と戦略的分析に焦点を当てており、戦場の戦術的情報を収集することに重点を置くロシアのハッカーグループとは対照的である。
References:
North Korea’s TA406 Targets Ukraine for Intel
【編集部解説】
北朝鮮のサイバー攻撃グループTA406(別名Konni、Opal Sleet)によるウクライナ政府機関へのサイバースパイ活動は、北朝鮮とロシアの軍事協力の深化を示す重要な動きです。この活動は2025年2月から確認されており、複数のセキュリティ企業が報告しています。
北朝鮮がロシアの侵攻を支援するために2024年秋に軍隊を派遣したことは、国際社会でも大きな懸念となっていました。今回のサイバー攻撃は、その軍事協力の延長線上にあるものと考えられます。
特筆すべきは、TA406の活動目的がロシアのハッカーグループとは異なる点です。ロシアのサイバー攻撃が主に戦場での戦術的情報収集や破壊工作に重点を置いているのに対し、北朝鮮のTA406は政治的・戦略的情報収集に焦点を当てています。これは北朝鮮が自国軍のリスク評価や、今後のロシアからの追加支援要請の可能性を判断するための情報を集めていることを示唆しています。
技術的な観点では、TA406の攻撃手法は洗練されており、社会工学的手法と技術的な侵入手段を組み合わせています。架空のシンクタンク関係者を装ったフィッシングメールは、ウクライナの政治状況に精通した内容で作成されており、標的型攻撃の高度化を示しています。
また、この活動はTA406の標的の変化も示しています。これまで主にロシア、米国、韓国、日本などを標的としていたTA406が、ウクライナへと活動範囲を拡大したことは、北朝鮮のサイバー戦略の変化を表しています。
北朝鮮のサイバー能力は年々向上しており、国家の重要な外貨獲得手段となっています。国連の報告によれば、北朝鮮は2022年から2023年にかけて約7億ドルをサイバー犯罪から得たとされています。今回のような情報収集活動は直接的な金銭目的ではありませんが、軍事的・政治的意思決定を支援する重要な役割を担っています。
企業や組織にとっては、このような国家支援型の高度な脅威に対する防御が一層重要になっています。特に政府機関や重要インフラを運営する組織は、多層防御戦略の採用や、従業員へのセキュリティ意識向上トレーニングが不可欠です。
今後も北朝鮮のサイバー活動は継続・拡大する可能性が高く、ウクライナだけでなく、ウクライナを支援する国々も標的となる恐れがあります。日本を含むアジア太平洋地域の組織も警戒が必要でしょう。
サイバー空間が現代の紛争における「第5の戦場」として重要性を増す中、このような国家間のサイバー活動は今後も国際安全保障の重要な要素となっていくでしょう。
【用語解説】
TA406(Konni、Opal Sleet):
北朝鮮政府が支援するサイバー攻撃グループの一つで、主に情報収集活動を行っている。Kimskyという大きな傘下グループの一部として、他のグループ(TA408、TA427)と共に活動している。
フィッシング攻撃:
偽のメールやウェブサイトを使って個人情報や認証情報を盗み出す攻撃手法。釣り(フィッシング)のように「餌」で相手を騙す手法からこの名前がついている。
CHMファイル:
Microsoft Compiled HTML Help(コンパイル済みHTMLヘルプ)の略で、Windowsのヘルプファイル形式。悪用されると、埋め込まれた悪意あるコードを実行できる。
PowerShellスクリプト:
Windowsに標準搭載されているスクリプト言語で、システム管理タスクを自動化するために使われる。攻撃者はこれを悪用して、検出を回避しながらシステムを操作する。
LNKファイル:
Windowsのショートカットファイル。見た目は無害だが、クリックすると悪意あるコマンドを実行できる。
MEGA:
ニュージーランドに拠点を置くクラウドストレージサービス。エンドツーエンド暗号化を特徴とし、2013年にKim Dotcomによって設立された。
ProtonMail:
スイスに拠点を置く暗号化メールサービス。エンドツーエンド暗号化を提供し、プライバシーを重視するユーザーに人気がある。
シンクタンク:
政策研究や分析を行う組織。政府や企業に専門的な助言を提供する。「頭脳集団」という意味で、社会問題や政治問題に対する解決策を研究する知識集約型の組織である。
【参考リンク】
Proofpoint(プルーフポイント)(外部)
サイバーセキュリティとコンプライアンスソリューションを提供する企業。TA406の活動を発見・分析した。
MEGA(外部)
エンドツーエンド暗号化を特徴とするクラウドストレージサービス。TA406が攻撃に利用した。
ProtonMail(外部)
スイスを拠点とする暗号化メールサービス。TA406が偽のMicrosoftセキュリティアラートの送信に使用した。
MITRE ATT&CK(外部)
サイバー攻撃戦術・技術のナレッジベース。TA406(Kimsuky)の攻撃手法や履歴が詳細に記載されている。
【編集部後記】
サイバー空間が国際紛争の新たな戦場となる中、私たちの日常生活にも影響が及んでいます。皆さんは普段、メールの送信元を確認していますか?添付ファイルを開く前に一呼吸置いていますか?北朝鮮のような国家が支援するサイバー攻撃は遠い話ではなく、日本の組織も標的になっています。今一度、自分のデジタルセキュリティ習慣を見直してみませんか?また、国際情勢とサイバーセキュリティの関連性について、どのようなご意見をお持ちでしょうか?SNSでぜひ共有いただければ幸いです。
