米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は7月25日(米国時間)、「North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs|CISA」において、北朝鮮の複数のサイバー攻撃グループが軍事および核計画を推進するため世界的なスパイ活動を展開しているとして注意を喚起した。

これらグループには、「Andariel」「Onyx Sleet(旧称:PLUTONIUM)」「DarkSeoul」「Silent Chollima」「Stonefly/Clasiopa」として知られる北朝鮮の国家支援を受けたサイバー犯罪集団が含まれるという。

このサイバーセキュリティ勧告は、米国連邦調査局(FBI: Federal Bureau of Investigation)、サイバー国家任務部隊(CNMF: Cyber National Mission Force)、CISA、米国国防総省サイバー犯罪センター(DC3: Department of Defense Cyber Crime Center)、米国家安全保障局(NSA: National Security Agency)、韓国国家情報院(NIS: National Intelligence Service)、韓国警察庁(NPA: National Police Agency)、英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)により作成された。

  • North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs|CISA

    North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs|CISA

北朝鮮偵察総局のスパイ活動

勧告で名指しされた上記の脅威グループは、北朝鮮偵察総局(RGB: Reconnaissance General Bureau)第3局の下部組織とされる。これら脅威グループは主に防衛、航空宇宙、核関連、工学関連組織を標的に機密の技術情報や知的財産の窃取を試みる。最終的な目標は軍事および核計画の推進とされる。

これら脅威グループは米国の医療機関を標的にランサムウェア攻撃を実施して活動資金を調達する。次にこの資金を活用して日本、インドを含む世界中のさまざまな産業分野へサイバー攻撃を行い情報を窃取する。

対策

勧告では、具体的な初期の攻撃手法として、Log4jの既知の脆弱性の悪用やフィッシング攻撃などを挙げている。このような攻撃からシステムおよび機密情報を保護するため、企業および組織に対して次のような対策を推奨している。

  • 脆弱性を修正するパッチを適用する
  • Webサーバをバックドア(Webシェル)から保護する
  • エンドポイントを監視して悪意のある活動を検出する
  • 認証とリモートアクセスを強化、保護する

また、北朝鮮のサイバー攻撃に関連するセキュリティ侵害インジケーター(IoC: Indicator of Compromise)や、具体的な標的組織と標的情報、悪用する脆弱性の一覧、使用するマルウェアの一覧、攻撃を検出するYARAルールを公開している。セキュリティ担当者には自組織のセキュリティがこれら攻撃から保護されているか確認し、不足している場合は強化策の一覧を作成して実施することが望まれている。