AIの進化とともに、新たなセキュリティのリスクが増えており、さらなる防御力が求められています。防御を強化する際、押さえておきたいのが脅威アクターの情報です。彼らが用いる攻撃手法を知ることで、有効な対策を講じることが可能になります。

そこで本連載では、フォーティネットの「Threat Actor Encyclopedia」から、特に注目すべき脅威アクターの情報をお届けします。今回は、北朝鮮のAPT「Lazarus」を紹介します。

Lazarusとは何か?特徴と活動の概要

Lazarus(ラザルス)もしくはHIDDEN COBRAとしても広く知られている、北朝鮮のAPT(高度な持続的脅威)グループであり、少なくとも2009年から活動しています。破壊的なサイバー作戦、大規模な窃取、スパイ活動で悪名高く、世界中で複数の業界を標的にしています。

2013年に、韓国の金融/放送セクターを攻撃し、DarkSeoulマルウェアを展開したことで注目されました。2014年には、Destoverというワイパー型マルウェアを用いてSony Picturesに対する大規模攻撃を実行しました。北朝鮮の指導者を不利に描いた映画『The Interview』への反発が動機と考えられています。

Lazarusは、妨害的な攻撃にとどまらず、大規模な金融サイバー犯罪にも深く関与しており、世界各地で暗号資産取引所や金融機関を狙った巨額の資産を盗み出しています。こうした活動によって得た数億ドル規模の資金は、国際制裁の回避や北朝鮮政権の資金源として利用されていると見られます。

標的となる業界は、航空宇宙、防衛、教育、エネルギー、金融サービス、政府機関、産業、メディア、テクノロジー、通信など多岐にわたっています。また、AndarielやBluenoroffなど、スパイ活動から金融詐欺まで役割が異なる複数のサブグループを通じて活動していると考えられています。

どう感染する?流通経路と攻撃の仕組み

少なくとも2024年10月以降、AIを活用した手法をサイバー攻撃戦略に組み込むことで、活動を大きく高度化させ、有効性を高めています。

2025年2月に報告された最新のキャンペーンの一つでは、Google Chromeのゼロデイ脆弱性を悪用し、正規サイトを装ったゲームサイトを通じてマルウェアを配布しました。AI生成のコンテンツや画像を使用して偽サイトの信憑性を高め、本物のように見せかけて、悪意あるソフトウェアをダウンロードするよう被害者を誘導しました。

さらに、ソーシャルエンジニアリング攻撃でもAIを活用し、LinkedInなどのビジネス向けネットワーキングプラットフォーム上でAI生成プロフィールを活用しました。

このキャンペーンは特に、テクノロジー/サイバーセキュリティ分野で働く個人を標的にしており、偽の採用担当者が高度にパーソナライズされた求人情報を送り、悪意ある添付ファイルやフィッシングリンクへ誘導しました。これらの攻撃は、スパイ活動や情報窃取のために、企業ネットワークへの初期アクセスを獲得することを目的としたものです。

2025年2月下旬には、Lazarusのサブグループが暗号資産の窃取を目的とした史上最大級の高度な攻撃を実行しました。偽のウォレット管理インタフェースを作成し、Bybitの経営陣を欺いて、取引所のコールドウォレットから不明なホットウォレットへの40万ETH以上の送金を承認させ、15億ドル相当のEthereumを窃取しました。

Lazarusのは現在も攻撃手法を進化させ続けており、AIを活用した自動化やディセプションを取り入れて攻撃範囲を拡大させ、サイバー作戦の効果に磨きをかけています。

日本への影響と注意点

Lazarusは、北朝鮮当局の下部組織とされるAPTグループで、諜報、金銭搾取、破壊攻撃など、15年以上にわたって幅広い攻撃を展開していることで知られています。

その手口は極めて巧妙で、バリエーションもさまざまです。近年では、身分を偽った「IT人材」をターゲットに潜り込ませる手口に加え、SNSで実在の企業リクルーターを装い、好条件のオファーで従業員をだます手口も日本国内で観測されています。

Lazarusの最大の標的は韓国や米国ですが、日本もまた、資金源や技術情報の獲得先として狙われています。実際に、国内の複数の暗号資産取引所から数百億円の暗号資産が流出した事件や、日本の組織を狙った情報や認証情報を盗み出す攻撃も発生しています。また、古い海外の事例ですが、Sony Picturesに対する侵入やデータ破壊、そして未公開映画の流出もLazarusの犯行によるものと推測されています。

ここで強調しておきたいのは、目的がスパイ活動であれ金銭搾取であれ結果は異なるものの、本質的には「ネットワーク内に侵入され、拡散を許している」という事実に変わりはないという点です。もし北朝鮮当局が方針を転換すれば、確立したアクセス権はいつでも破壊活動へと転用され得るのです。

以上のことから、Lazarusは日本の組織にとって、まさに現在進行形の脅威といえ、引き続き高い警戒が求められます。

参考情報

Lazarushttps://fortiguard.fortinet.com/threat-actor/5537/lazarus
FortiGuardアウトブレイクアラートLazarus RAT Attack | Outbreak Alert | FortiGuard Labs
Apache Log4j2 Vulnerability | Outbreak Alert | FortiGuard Labs"https://www.fortiguard.com/jp/outbreak-alert/log4j2-vulnerability
Synacor Zimbra Collaboration MBoxImport Vulnerabilities | Outbreak Alert | FortiGuard LabsSynacor Zimbra Collaboration MBoxImport Vulnerabilities | Outbreak Alert | FortiGuard Labs
“Lazarus”の一覧 (JPCERT)https://blogs.jpcert.or.jp/ja/tags/lazarus/
「北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)」の公表について (金融庁)https://www.fsa.go.jp/news/r4/sonota/20221014/20221014.html

今野俊一

今野俊一

いまの しゅんいち

フォーティネットジャパン合同会社 脅威インテリジェンス 研究員 FortiGuard Labs日本向けスポークスパーソン
2021年6月まで、シマンテックのセキュリティーレスポンスチームで、セキュリティーレスポンスマネージャー (SRM) 兼 脅威インテリジェンスオフィサー (TIO)として、15年超従事。
2021年7月から、フォーティネットジャパン合同会社 脅威インテリジェンス 研究員として、ランサムウェアラウンドアップ等の調査ブログ及び脅威アラートを担当し、サイバー脅威の啓発に注力するとともに、社会の安全性向上に努めています。
参考ブログ:https://www.fortinet.com/jp/blog/search?author=Shunichi%20Imano

この著者の記事一覧はこちら