北朝鮮のITワーカーが暗躍？ Mandiantの調査から見る、最新の脅威動向

グーグル・クラウド・ジャパンは6月23日、都内でWeb3と暗号資産分野に焦点を当てた「M-Trends 2025」に関する記者説明会を開催した。Google Cloud Mandiant コンサルティングリーダーのAlex Shim(アレックス・シム)氏が説明に立った。

Google Cloud Mandiant コンサルティングリーダーのAlex Shim(アレックス・シム)氏

M-Trendsは2009年からMandiantが毎年発行している脅威レポートで今年で16年目を迎えた。今回は、2024年1月1日～12月31日の期間で45万時間を超えるインシデント対応から取得した最も重要なサイバーセキュリティ指標と最前線で得たインサイトをもとにしている。Mandiantのインシデント対応調査、セキュリティサービス、脅威インテリジェンスの分析と専門家による考察などが含まれている。

調査のハイライトは、グローバルにおける滞留時間(侵入から検知まで)の中央値は11日間、ランサムウェアの場合は6日間、632のマルウェアファミリを新たに追跡した。また、57％が外部からの通知で侵害を把握し、55%の攻撃者は金銭目的、71%でMITRE ATT&CKのテクニックが使われていたという。さらに、初期感染ベクトルの最多は脆弱性の悪用であり、最も標的となった業界は金融サービス、もっと利用されているマルウェアのカテゴリはバックドアとなった。

中国発が疑われる2つの脅威アクター

2024年に日本を含むアジア太平洋地域で最も頻繁に観察された攻撃者は「UNC5221」「UNC3886」の2グループ。2グループともに中国が発信地域として疑われ、ターゲットは米国とアジア太平洋地域の政府、通信、初期アクセスはゼロデイ脆弱性の悪用となる。

2024年における脅威グループの概要

Ivantiの脆弱性を攻撃するUNC5221は、ウェブシェルを用いてLDAP(Lightweight Directory Access Protocol)バインドアカウント、DC(ドメインコントローラ)同期を行い、横方向の展開はvCenterへのSSH(Secure Shell)、Exchangeサーバ、データ漏えいとしてはクレデンシャル、メール、データなどだ。

UNC5221の概要

Fortigate、VMwareの脆弱性を攻撃するUNC3886は、デバイス上のバックドアを利用してSSHバックドア、vpxuserアカウントとなり、横方向の展開はゲストマシンのVMware Tools、データ漏えいはUNC5221と同じ。

UNC3886の概要

シム氏は脅威グループの目的について「金銭を目的としたものがトップで55%に達し、昨年は10%だった産業スパイは8%に減少した。金銭的な目的が増加しているのは間違いない。また最近ではWebベースのSaaS(Software as a Service)に直接攻撃、もしくはファイアウォール、スイッチ、VPNなどのエッジデバイスに対する脆弱性攻撃が2021年から増加している」と述べた。

一方、標的型攻撃における2024年の初期感染ベクトルの1位は、2023年に引き続き脆弱性を悪用して攻撃を行う「エクスプロイト」が33%(アジア太平洋地域では64%)となり、ここ数年で従来はトップだった「フィッシング」は減少傾向にあるという。

初期感染ベクトルは「エクスプロイト」がトップに

最も頻繁に悪用されている脆弱性は、Palo Altoの「PAN-OS GlobalProtect」(CVE-2024-3400)、Ivantiの「Connect Secure VPN」(CVE-2023-46805)と「Policy Secure」(CVE-2024-21887)、Fortinetの「FortiClient EMS」(CVE-2023-48788)など、ファイアウォールやVPNを狙っている。

また、インフォスティーラーマルウェアが拡大しており、実際に盗まれた認証情報は2023年の10%から16%に増加。ログから取得された認証情報が盗まれ、データ窃取や恐喝、そのほかの悪意のある活動につながり、個人用デバイスの業務利用と請負業者のシステムが特有の課題を生み出しているとのこと。シム氏は対策として「MFA(多要素認証)が非常に重要」と提言している。

サイバー攻撃に関する北朝鮮の最新動向

次に北朝鮮によるサイバー犯罪に話は移った。Mandiantでは同国の軍需工業部(MID)・313総局がITワーカーの中心である可能性が高いと判断している。同総局は核兵器や弾道ミサイルなどの研究開発と生産を管理し、MIDは朝鮮労働党中央委員会に属し、総局を通じて同国のITワーカーの大部分を海外に派遣していると指摘。

北朝鮮におけるITワーカーの概要

また、同社は北朝鮮のITワーカーが作戦を遂行するために「ファシリテーター」と「ラップトップファーム」の活用を観察している。戦略上の利益が見込める場合、同国の標的型攻撃者はITワーカーがどこで雇用されているかの情報を把握していると考えられ、逆も同様だという。また、ITワーカーが協力関係、または標的型攻撃の一部であるという兆候や、ITワーカーが作戦の中心となる。

ファシリテーターは、北朝鮮のITワーカーが外国企業に不正に就職することを支援する個人・グループ。ラップトップファームは、場所貸しの一種で西側諸国にある保管されたデバイスを遠隔操作することで、西欧諸国から働いていると偽ることを可能としている。

主なファシリテーターの役割はオンラインプロフィールの作成やWebサービスの調達、オンライン面接への参加、米国拠点のダミー会社を立ち上げる。その後、米国または英国にあるラップトップ(多くの場合はラップトップファーム)にリモートでアクセスし、作業ができる体制を整え、収入の一部と引き換えに資金移動の支援などが想定されている。

ファシリテーターがラップトップファームを用いて暗躍している

シム氏は「ターゲットが米国企業からアジア企業にシフトしている。そして、日本企業でも北朝鮮のITワーカーが働いているという痕跡が見つかっており、弊社から報告している」と話す。

Web3関連で5億ドル以上が北朝鮮に窃取されている - 対応策は？

さらに、北朝鮮では輸出減少と暗号資産の窃取増加に関して、潜在的な相関関係があるという。統計では2017年から現在に至るまで輸出が減少している反面、同時期から暗号資産の窃取が増加するとともに攻撃回数自体も増加している。

北朝鮮では輸出減少と暗号資産の窃取増加に関して、潜在的な相関関係があるという

このような傾向の中で狙われているものがWeb3だ。2022年～2024年には北朝鮮に関連したグループにより5億ドル以上が窃取されており、攻撃者はWeb3固有の技術的複雑性を悪用し、新技術だが従来の攻撃パターンが再現されているという。

Web3の安全性を担保するための課題には、攻撃対象領域の拡大と複雑性の増加につながる規制に加え、投資家や消費者などに関連する側面、急速な開発、開発されていない労働力、分散したインフラストラクチャなどが挙げられている。

シム氏は、一連の調査結果をふまえた推奨事項として「基本的には内部で検知して迅速な対応を行うことが非常に重要であり、初期侵入前は攻撃対象領域管理を行う。しかし、100%ではないため、攻撃者の目標達成前に防御側の優位性を担保して対応することが望ましい。防御側が内部を理解していれば防御側の優勢性がある」と説明していた。

シム氏は内部検知と迅速な対応の重要性を説いていた

具体的には、脅威インテリジェンスをもとにしたアラートの監視と調査を行う「検出」、インシデント対応と復元の「対応」、セキュリティ対策のターゲットを絞ったテスト・検証を行う「検証」、脅威ハンティングと侵害調査の「ハンティング」のサイクルを回す「統制センター」を設けることで、防御側の優位性が担保できるという。