キムスキー
設立 | c. 2012年 |
---|---|
種類 | APT |
目的 | サイバースパイ、サイバー攻撃 |
貢献地域 | 北朝鮮 |
組織的方法 | フィッシング、マルウェア |
公用語 | 朝鮮語 |
上部組織 | 朝鮮人民軍偵察総局 |
かつての呼び名 | Velvet Chollima Black Banshee Thallium |
キムスキー (Kimsuky) は、北朝鮮の国家支援型ハッカーグループ[1]。 国連安保理の北朝鮮専門家パネルは、ラザルスグループと同じく朝鮮人民軍偵察総局(RGB)の傘下にあると指摘しているが[2]、軍ではなく秘密警察に相当する国家保衛省の傘下とする見方もある[3][4]。
概要
[編集]北朝鮮はラザルスの他、キムスキーやビーグルボーイズなど複数のハッカー集団を擁しているとされ[5]、2009年頃までは偵察総局傘下に一つの部隊が置かれていただけだったが、情報収集、金銭窃取、インフラ破壊、北朝鮮内での電子戦かく乱など目的ごとに部隊が細分化されたという[6]。その中でキムスキーは韓国に対するハッキングを主導していると目されており[1]、政府、シンクタンク、産業、原子力事業者、および韓国統一部を標的としたスパイ活動やサイバー攻撃を行っている[7]。近年はロシア、アメリカ、ヨーロッパ諸国など活動範囲は拡大している[8]。 また北朝鮮は国際社会による経済制裁で困窮しており、外貨集めのため暗号通貨などの窃盗も行っていると見られている。2017年5月にインタビューを受けた北朝鮮軍偵察総局所属のハッカーだった脱北者は「サイバーの目的は、軍事情報の収集と資金稼ぎ。ハッキングは国際問題になるため、金正恩の指示がないとできない」と語っている[5]。
「Kimsuky」という名前は、同グループの攻撃を初めて報告したロシアのセキュリティ企業カスペルスキーが、盗み出した情報を送信する電子メールアカウント名が「キム・スクヒャン(Kimsukyang)」だったことから名付けたものである[9]。同グループは「Gold Dragon」「Babyshark」「Appleseed」など数多くのマルウェアを使用するが[10]、kimsukyの文字がコード内に繰り返し使用されているためキムスキーシリーズとも呼称される[11]。
- 別名
国家支援型ハッカー集団は自ら名乗り出たり犯行声明を出すことも無いため、セキュリティ企業各々によって付けられた様々な識別名が多数存在する。
- クラウドストライクはベルベット・チョンリマ(紫の千里馬)[4][8][12]
- PwCはブラック・バンシー[8][12]
- マイクロソフトはタリウム[8][12]
- シマンテックはクローバーワーム、スプリングテイル[12]
関与したサイバー攻撃
[編集]2012年、アメリカのサイバーセキュリティ・インフラセキュリティ庁とFBIは少なくとも2012年にはキムスキーが活動を開始していた可能性があるとしている[8][13][14]。
2013年、セキュリティ企業が初めてKimsukyの活動を確認したとされ、軍事関連や報道機関を対象に継続的な情報奪取を試みていた[9]。
- 2015年
2015年、韓国で23基の原子炉を運営している韓国水力原子力発電(韓水原:KHNP)に対しハッキングを行った[15][16]。韓国政府の報告書では、この攻撃を受けたのは「重大ではないネットワーク」で影響はなかったものの、キムスキーはネットワークに侵入した直後に3基の原子炉の閉鎖を要求してきたとしている[17]。
- 2019年
5月、韓国のセキュリティ企業イストセキュリティ(ESTsecurity)は、キムスキーが韓国の仮想通貨取引所アップビットの顧客を狙ったフィッシング詐欺を行っているというレポートを発表した。メールの差出人は同取引所のアドレスを装っており、顧客に対しアカウント情報を要求する内容の偽造メールを送付。ファイルを開くとマルウェアが実行され、各種パスワードや取引所のアカウント情報などを攻撃者に送信し、無断でリモート接続を行う不正なファイルをインストールするという[18]。
7月中旬から8月中旬、ESTsecurityはキムスキーが韓国統一部など政府機関を語り、韓国の退職した外交官や政府、軍関係者を標的とした攻撃を行っていたと報じた[19][20]。太永浩元・駐英北朝鮮公使(2016年に韓国に亡命)がスマートフォンをハッキングされた事件で、背後にいたのがキムスキー[1]または同じく北朝鮮のハッカー集団である「クムソン121」(Geumseong121)だったとされている[21]。退職者を狙ったのは、現役の高官と強い繋がりを維持している割に、強固なサイバーセキュリティー対策が施された政府のITシステムを使えず、セキュリティが甘くなるため標的にしやすかったためと推察される[22]。
- 2020年
9月、国際連合安全保障理事会の11人の職員に対しハッキングを行っていたとが報告された[16][23]。「国際平和と安全保障の維持のための法規範強化:国際人権法」というタイトルの電子メールを送り、中には悪意のあるプログラムを仕込まれていた[1]。
セキュリティ企業Mandiantは、北朝鮮のハッカー集団「TEMP.Hermit」と「Kimsuky」が新型コロナウイルスのワクチン開発を行う製薬会社をハッキングしていたと報告した[24][25][26]。
11月から2021年2月にかけて、2020年アメリカ合衆国大統領選挙や北朝鮮の党大会に関するテーマの標的型攻撃メールの存在が報告された[27]。
- 2021年
5月、韓国の保守政党「国民の力」の河泰慶議員が、最上位の国家保安施設である韓国原子力研究院の内部ネットワーク内でキムスキーが検出されたと報告した[28]。同研究院は当初ハッキングの事実を伏せていたが、仮想私設ネットワーク(VPN)の脆弱性を突かれ、身元不明の外部の人間から不正アクセスを受けていたことを認めた[29]。韓国のセキュリティ企業IssueMakersLabによると、攻撃に使われた13個のIPアドレスの内1つが同グループと関連することが判明した。原子力関連技術が北朝鮮に流出した可能性も含め、韓国政府が被害の詳細を調べているが、「中核情報が北朝鮮に流出した場合、深刻な安全保障上のリスクをもたらす可能性がある」と同議員は警告している[30][31]。
6月、韓国航空宇宙産業(KAI)がハッキングを受けたことで判明した。KAIへのハッキングはKAERIと同時期に行われたという点で、同一犯による犯行と考えられている[32]。情報当局は、KAIの開発している戦闘機「KF-21」(ボラメ)や、大宇造船海洋が建造している「島山安昌浩級潜水艦」の設計図面などを狙ったと見ている[33][34]。
11月、セキュリティ企業プルーフポイントは、キムスキーが朝鮮統一問題を扱うロシアの専門家と関連機関を攻撃したと報じた[35]。
- 2022年
2月、国連安保理はキムスキーが国際原子力機関(IAEA)に技術データを盗み出す目的でVPNにサイバー攻撃を行った可能性があると報告した[36]。
関連項目
[編集]- ラザルスグループ - 北朝鮮のハッカー集団。
- リコシェ・チョンリマ - 同上。
- 北朝鮮サイバー軍
脚注
[編集]- ^ a b c d 西岡省二 (2020年6月26日). “「日本政府が新型コロナ対策で8万円を追加支給」北朝鮮のフィッシングメールにご注意を”. Yahoo!ニュース. 2022年2月9日閲覧。
- ^ “サイバー空間における脅威の概況2021”. 公安調査庁. 2022年2月9日閲覧。
- ^ “<デスクの眼>深刻化する北朝鮮のサイバー攻撃 あのときの青年が…”. 東京新聞 (2021年2月22日). 2022年2月9日閲覧。
- ^ a b “【特別対談】元担当記者が語りつくす「北朝鮮」の真実に迫る術(上)”. 新潮社フォーサイト (2021年3月17日). 2022年2月9日閲覧。
- ^ a b “「21世紀は情報の戦争だ」暗躍する北朝鮮ハッカー 狙いはカネと軍事技術”. 朝日新聞 (2020年10月9日). 2022年2月9日閲覧。
- ^ “【独自】コロナ禍は「最高の環境」…北、17歳選抜してサイバー戦争強化”. 読売新聞 (2021年2月1日). 2022年2月10日閲覧。
- ^ Nocturnus. “Back to the Future: Inside the Kimsuky KGH Spyware Suite” (英語). www.cybereason.com. 2021年3月15日閲覧。
- ^ a b c d e “Kimsukyが利用しているKGHスパイウェアスイートの内部解析”. サイバーリーズン (2020年11月24日). 2022年2月9日閲覧。
- ^ a b “Kimsuky の帰還、今回のターゲットは?”. アンラボ (2019年3月). 2022年2月9日閲覧。
- ^ “北朝鮮の攻撃者が悪意のあるブログを使用して韓国の著名機関にマルウェアを配布”. Cisco Japan (2021年11月28日). 2022年2月9日閲覧。
- ^ “第 2 章 北朝鮮のサイバー脅威評価”. 防衛省 NIDS防衛研究所. 2022年2月9日閲覧。
- ^ a b c d “国家が支援するランサムウェア:2017年のWannaCryとNotPetyaの意図に関する分析(後編)”. 笹川平和財団 (2021年4月8日). 2022年2月9日閲覧。
- ^ “North Korean Advanced Persistent Threat Focus: Kimsuky | CISA”. us-cert.cisa.gov. 2021年3月15日閲覧。
- ^ “米政府が北朝鮮ハッカー巡りビジネス界に警告-日本や韓国も標的に”. ブルームバーグ (2020年10月28日). 2022年2月9日閲覧。
- ^ “北朝鮮の攻撃グループ、韓国の原子力研究機関にハッキング攻撃か”. ZDNet (2021年6月22日). 2022年2月9日閲覧。
- ^ a b Cimpanu. “North Korea has tried to hack 11 officials of the UN Security Council” (英語). ZDNet. 2021年3月15日閲覧。Cimpanu, Catalin. "North Korea has tried to hack 11 officials of the UN Security Council". ZDNet. Retrieved 2021-03-15.
- ^ “「韓国の原発運営会社を、北朝鮮がサイバー攻撃」韓国当局が報告書”. WIRED (2015年3月20日). 2022年2月9日閲覧。
- ^ “北朝鮮ハッカーが暗躍 韓国の仮想通貨取引所ユーザーを狙ったフィッシング詐欺を警告”. コインテレグラフ (2019年6月2日). 2022年2月9日閲覧。
- ^ “北朝鮮ハッカー集団の仕業か 韓国統一部を名乗りサイバー攻撃”. 聯合ニュース (2019年5月20日). 2022年2月9日閲覧。
- ^ Cimpanu. “North Korean state hackers target retired diplomats and military officials” (英語). ZDNet. 2021年3月15日閲覧。
- ^ “韓国亡命の元北朝鮮公使がスマホハッキング被害 北推定の組織から”. 聯合ニュース (2020年2月17日). 2022年2月9日閲覧。
- ^ “北朝鮮ハッカーに狙われた?元韓国高官の個人メール”. 毎日新聞 (2019年11月2日). 2022年2月9日閲覧。
- ^ “北朝鮮の暗号資産ハッカー、現状はロシア軍需企業を標的”. GMOコイン. 2022年2月9日閲覧。
- ^ “北の対韓サイバー攻撃、1日150万回”. 統一日報 (2021年7月14日). 2022年2月9日閲覧。
- ^ “北朝鮮のハッカー集団は、2021年だけで総額450億円相当もの仮想通貨を盗んでいた”. WIRED (2022年1月16日). 2022年2月9日閲覧。
- ^ “原子力研究機関にサイバー攻撃=北朝鮮の犯行か―韓国”. 時事通信 (2021年6月18日). 2022年2月9日閲覧。
- ^ “サイバーレスキュー隊(J-CRAT) 活動状況 [2020 年度下半期]”. 情報処理推進機構 (2021年6月25日). 2022年2月9日閲覧。
- ^ Onchi, Yosuke (June 18, 2021). “North Korean hack targets South's nuclear power research”. Nikkei Asian Review. オリジナルのJune 18, 2021時点におけるアーカイブ。
- ^ “韓国原子力研究院、北のハッカー組織「キムスキー」にハッキングされる”. 朝鮮日報 (2021年6月19日). 2022年2月9日閲覧。
- ^ “北朝鮮のハッカー集団、5月に韓国原子力研究所に侵入=韓国議員”. ロイター通信 (2021年6月18日). 2022年2月9日閲覧。
- ^ “北朝鮮、韓国の原子力機関にサイバー攻撃”. 日本経済新聞 (2021年6月18日). 2022年2月9日閲覧。
- ^ “北朝鮮が韓国航空宇宙産業をハッキング、KF-21戦闘機の設計図も流出か=韓国ネットは怒り”. Record China (2021年7月1日). 2022年2月10日閲覧。
- ^ “「韓国航空宇宙産業もハッキングされた」…潜水艦に続いて戦闘機も流出か”. 中央日報 (2021年6月30日). 2022年2月9日閲覧。
- ^ “韓国型戦闘機KF-21、設計図の流出か=北朝鮮による「ハッキングの技術奪取」なのか回答拒否”. wowKorea (2021年6月30日). 2022年2月10日閲覧。
- ^ “北朝鮮、ハッキングでインドの核・国防情報狙う”. 中央日報 (2021年12月22日). 2022年2月10日閲覧。
- ^ “北、韓国の防衛産業企業やIAEAを「サイバー攻撃」試行=国連安保理報告”. wowKorea (2022年2月9日). 2022年2月9日閲覧。