狙われ続ける韓国 またしてもサイバー攻撃の標的に

江添 佳代子

March 8, 2017 08:00
by 江添 佳代子

韓国を狙った新たなサイバー攻撃活動

韓国公共部門の機関を標的とした新たなサイバー攻撃の活動が、Ciscoのセキュリティ研究チーム「Talos」によって報告された。同チームの2月23日のブログ記事によると、その攻撃活動は2016年11月から2017年1月の間、潤沢な資金を持つグループによって実行されたものであり、標的を明確に絞り込んだ高度な攻撃であったという。

韓国の政府機関や公共機関がサイバー攻撃作戦の標的となったのは、もちろん今回が初めてのことではない。同国は、もう何年も前から熾烈なサイバー攻撃の脅威に晒されている。2009年と2011年にも複数の政府機関や韓米軍のサイトが広範な攻撃の被害を受けたが、特に知られているのは2013年3月の「ダークソウル」とも呼ばれているインシデントだろう。

この一連の攻撃活動では、韓国の複数の放送局、銀行などの金融機関のウェブサイトやネットワークが派手にシャットダウンさせられる事態となった。その攻撃の容疑者として最有力候補となる北朝鮮政府には当時、少なくとも3000人のサイバー部隊がいると考えられており(5800人以上との説もある)、一方の韓国には「政府が求めているレベルのセキュリティ専門家」が200人しかいなかった。事態を重く見た同国の未来創造科学部は同年、国内でセキュリティ専門家を鍛え上げるための計画を発表している。

それから約4年が経過した2017年2月、韓国が受けた攻撃活動とはどのようなものだったのだろうか? Talosの報告によれば、それは「狙った人々だけをマルウェアに感染させる」という典型的な標的型攻撃だった。その攻撃ベクトルとなったファイルは、ワープロソフト「Hangul Word Processor」フォーマットのファイル(.hwp)である。

狙われるワープロソフト「Hangul Word Processor」

Hangul Word Processorは、ほとんど韓国でしか目にする機会のないワープロソフトなので、そのフォーマットのファイルが攻撃ベクトルとして選ばれることは珍しい。しかし韓国ではMicrosoft Wordと同様に広く利用されているソフトウェアであり、とりわけ国内の政府機関や公的機関では頻繁に用いられている。

Talosの指摘によれば、多くのセキュリティ製品は「.hwp」フォーマットのファイルに対応していないという。なにしろ韓国以外の国では利用されていないからだ。したがって、そのフォーマットを利用したサイバー攻撃は検出されるリスクも低い。おそらく攻撃者は、それらの事情を知り尽くしたうえで「韓国の公的部門の組織だけを狙った攻撃には最適なソフトウェア」を利用したのだろう。

実は2年前の2015年にも、FireEye のセキュリティ研究者が、Hangul Word Processorに存在していた脆弱性(CVE-2015-6585)が悪用されていることを報告していた(参考:The ZERO/ONE『北朝鮮が韓国の人気ワープロソフト「Hangul Word Processor」をゼロデイ攻撃』)。このときFireEyeの研究者は「最終的な結論ではないものの」と但し書きをしたうえで、これは北朝鮮政府が韓国への攻撃を仕掛けるために利用しているゼロデイであろうと推察した。なお、このCVE-2015-6585はすでに修復されている。

囮のファイル

今回、Talosが報告した活動の攻撃ベクトルとなった文書ファイルは、「5170101-17년_북한_신년사_분석.hwp」という名前だった(日本語訳すると、5170101-17 _北朝鮮の分析_新年.hwp)。ご覧の通り、ファイル名にも韓国語が利用されている。文書の作成者は「韓国統一省(Ministry of Unification、南北統一に関連した業務を担当する韓国政府の執行部)」となっており、また文書のフッターにも同省のロゴが利用されている。

送られてきた文書ファイル(Talosのブログより)

文書の内容は、北朝鮮の新年の祝い事に関する情報で、もちろんすべてが韓国語で書かれた文章となっている。「受信者の関心を引くタイトルでクリックを促し、信憑性の高い内容を表示することで不信感を与えないようにする」というのは、典型的な標的型攻撃の手口だ。

この悪意を持った文書ファイルは、政府機関Korean Government Legal Serviceの公式ウェブサイト「kgls.or.kr」から、JPEGファイルを装ったバイナリファイルをダウンロードしようと試みる。つまり攻撃者は、事前にkgls.or.krの侵害に成功したうえで、感染先のコンピューターとの新たなペイロードの確立を狙っている。このような手法で行われるダウンロードは、システム管理者に「不審な動きだ」と気づかれにくくなる効果が見込まれる。

Talosは次のように述べている。「我々は、今回の攻撃が『韓国語のネイティブスピーカーを確保した、洗練された攻撃者』によって行われたものであり、韓国の公共部門のユーザーを狙った標的型攻撃だと確信している。それらの人々を標的とした攻撃は、非常に価値のあるものとなりえる『資産』への足がかりを得るための試みであった可能性がある」

北朝鮮の脅威とタイミング

先に政府公式サイトを侵害するという念入りな手法や、韓国語に精通していなければ作成できない囮の文書、韓国のみで利用されているソフトウェアに関する知識、そして韓国を攻撃する動機などから考えれば、今回のサイバー攻撃活動が「北朝鮮発」であることに、ほとんど疑いの余地はなさそうだ。それは活動のタイミングという要素から考えても妥当かと思われる。

これまで「北朝鮮による韓国へのサイバー攻撃活動」と考えられてきたインシデントの多くは、米軍と韓国軍による合同軍事演習(もちろん北朝鮮は、これに強く反発している)に合わせたかのようなタイミングで行われており、それ以外のインシデントは北朝鮮のロケット打ち上げなどの時期と一致する傾向にある。たとえば2011年3月には米韓合同軍事演習が行われている最中に、韓国のGPS信号に対する妨害が行われた。

そして今回の活動報告も、やはり2017年の米韓軍合同軍事演習が行われる直前であり、さらに今年2月には日本海に向けて北朝鮮の弾道ミサイルが発射されたばかりだ。英国のITメディア『The Register』による2月24日の記事は、北朝鮮だけではなく米NSAもまた「北朝鮮への諜報活動を主な目的として」韓国のネットワークに侵入したことがある、という過去について僅かに言及した。しかし今回の攻撃活動に関しては、やはり北朝鮮以外の国や組織を疑うほうが難しいだろう。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…