韓国の仮想通貨取引所からユーザー資金がハッカーに盗まれる事件が多発しているが、北朝鮮のハッカー集団「ラザルス」が背後にいるようだ。米サイバーセキュリティ会社レコーデッド・フューチャーが最新のレポートで伝えた。
同社によると北朝鮮は、ソニー・ピクチャーズへのセキュリティ侵害や「ワナクライ」ランサムウェア攻撃で使われたのと同タイプのマルウェアを使って、韓国に拠点を置く仮想通貨取引所コインリンクに対する攻撃を行ったと述べている。
レポートによると「金正恩の年頭スピーチとそれに続く南北対話に先立ち、北朝鮮政府が背後にいるラザルスグループが17年後半継続的に韓国仮想通貨取引所を攻撃した。使われたマルウェアは14年ソニーピクチャーズエンターテインメントに、そして17年2月に最初のワナクライ被害者に対して使われたマルウェア『ディストーバー』と共通のコードを持つ」という。
ハッカー集団「ラザルス」が暗躍
昨年2月、1日あたり取引量ベースで世界で第2位の規模を持つ仮想通貨取引所ビッサムがユーザー資金約8億円分を盗まれた。被害にあった通貨の大半はビットコインとイーサだ。
レコーデッド・フューチャーによれば、ビッサムのこの約8億円の被害は北朝鮮ハッカーと関連があるという。
北朝鮮ハッカーの動きを監視するサイバーセキュリティ会社のインシクトグループも、北朝鮮ハッカーの中でもラザルスグループは特に、フィッシング攻撃からマルウェア拡散まで様々な手段を駆使して仮想通貨ウォレットやアカウントにアクセスしていると明かす。
インシクトによると、ラザルスグループは17年秋大規模なマルウェア拡散を主導し、以来、北朝鮮ハッカーたちは不正ソフトウェアを忍ばせたファイル添付によりマルウェアをばら撒き、個人のデバイスへのアクセスを図っている。
ラザルスグループが利用している手法の一つは、マルウェアを忍ばせたハングルワードプロセッサー(HWP 韓国のマイクロソフトワード)ファイルをメールで送るというものである。仮想通貨ユーザーがこれをダウンロードすると自動的にインストールが行われ、ハッカーはそのデバイスに保存されたデータをこっそりコントロールあるいは操作することが可能になる。
「17年、北朝鮮の関係者が仮想通貨の台頭に便乗してきた。知られている限りで最初の北朝鮮による仮想通貨窃盗事件は17年2月のもので、この時は韓国取引所ビッサムから(当時の価値で)約8億円が盗まれた。17年末までにほかにも韓国仮想通貨取引所に対して大量のフィッシング攻撃が仕掛けられた。多くのケースで北朝鮮は窃盗に成功し、さらにはビットコインやモネロのマイニングまで不正に行った。」(インシクト社)
今回のレポート以外にも、北朝鮮ハッキンググループが洗練されたマルウェアやフィッシング攻撃の手段で韓国の仮想通貨取引プラットフォームを狙っていると指摘する声は多い。
米セキュリティ会社ファイヤアイのリサーチャーは、北朝鮮政府が支援する北朝鮮ハッカーたちが韓国の仮想通貨取引所を攻撃したケースがこれまでに6件あったとしている。
コインテレグラフでも以前報じたように、韓国の仮想通貨取引所ユービットを破綻に追い込んだセキュリティ侵害に対する大規模な捜査が韓国警察、インターネット振興院主導で始まったところである。現時点で捜査陣はユービットのセキュリティ侵害と北朝鮮ハッカーの結びつきを示す証拠を摑んでいると述べている。ファイヤアイの上級アナリストであるルーク・マクナマラ氏は、ユービットへのハッキングで使われたツールは北朝鮮ハッカーらが広く用いているツールと似ているとブルームバーグに語っている。
「私たちが見張ってきた相手は、ますます有能にそして図々しく標的を攻撃するようになってきている。これは彼らが遅くとも16年以来展開しているといわれるより大きな戦略のほんの一部に過ぎない。この戦略で北朝鮮は、従来主として諜報活動に使ってきた能力を利用してファンドからの窃盗行為を行っているのだ。」