金融庁・警察庁・内閣サイバーセキュリティセンターは、2022年10月14日付けで、北朝鮮のハッカー集団「 Lazarus (ラザルス)」の脅威について注意喚起をしています。特に、暗号資産関連事業者等を標的としているサイバー攻撃に注意すべきとしています。今回のコラムでは、北朝鮮のハッカー集団の2022年までの動向についてまとめ、今後2023年以降の予測をしたいと思います。

そもそも北朝鮮のハッカー集団とはよく聞くものの、どのような集団なのかはあまり知らないと思います。手口や使用しているマルウェアの構造が似ているなどから、ある程度同じようなものをまとめてグループとし、セキュリティ企業などが呼称を定めています。

それらの中にはAPT(Advanced Persistent Threat)と呼ばれる攻撃を行う集団がいます。APT攻撃とは、標的型攻撃の一種で、マルウェアなどで対象者の監視を長期間にわたって行うものです。検知をされないようにする高度な仕組みや、仮に検知されても良いようにバックドアを残すなどして、継続的に潜伏します。脅威アクター(攻撃者)は高度な技術を駆使し、ときには政府機関や民間企業にも侵入監視しつづけ、最終的には重要機密情報を窃取します。

APTという言葉には、特定のハッカー集団の意味もあります。APT37, APT38というのは北朝鮮の国家主導で活動するハッカー集団です。

北朝鮮サイバー組織図: Mandiant社レポートを基に筆者追記

北朝鮮には朝鮮人民軍偵察総局という政府機関があり、ここは対外諜報・工作機関としての役割があるそうです。アメリカのサイバーセキュリティ企業のMandiant社が発表したレポートによれば、この偵察総局やその他組織の下にさまざまなハッカー集団がいるようです。これらの組織グループには何等かの人的交流や技術共有がされていると考えられるそうです。

また、この図で示されるようなすっきりとした縦割り組織になっているわけではないようです。例えば、AndarielはLazarusの傘下にあったという情報もあります。図に無いですが他にも多数の集団が存在しているといわれています。

この中で特に暗号資産の窃取として注目されているのは、APT38と冒頭の注意喚起でもありましたLazarusです。

APT38はもともと2015年ころから金融機関を狙い、不正なswift取引などを行っていました。

  • TP Bank(ベトナム、2015年12月)
  • バングラデシュ中央銀行(2016年2月)
  • 遠東國際商業銀行(台湾、2017年10月)
  • Bancomext(メキシコ、2018年1月)
  • Banco de Chile(チリ、2018年5月)

ところがどうやら、近年は暗号資産ブームに乗ってきたのか、暗号資産取引所などをターゲットとしているようです。

Lazarusも様々な情報を窃取する組織であったようですが、暗号資産取引所から資産を奪うようです。Lazarusが関わったとされる事件は色々あるのですが、2022年で特に大きいものは次の2件です。

  • Axie Infinityのサイドチェーン「Ronin」 が攻撃され、6.2億USD相当のイーサリアムとドルが盗難される(2022年3月)
  • ハーモニーのHorizon Bridge に対する攻撃で、約1億USD相当、14種類のトークンが盗難される(2022年6月)

また、CERIUMはパンデミック以降に活動がみられるグループで、ファイザーなどのワクチン開発情報や薬剤の情報を盗むことが多かったのですが、最近はこちらも暗号資産狙いにシフトしてきたともいわれています。

米セキュリティー会社プルーフポイント によれば、北朝鮮のハッカー集団は2022年の1年間で10億ドル(約1300億円)以上の仮想通貨を稼いでいたということで、相当な「成績」です。

2023年に入ってからはTA444という集団も注目されているようです(関連記事2023/1/26、朝鮮日報)。彼らのターゲットは、暗号資産関連のスタートアップ企業であることは、明白です。スタートアップならではの行動原理をよく研究しているようで、求人の提案や年俸交渉など様々な形でアプローチしてくるようです(関連記事2023/1/26、中央日報)。

このような様々な活動があるのですが、これらの北朝鮮のハッカー集団はそれ自体がスタートアップ企業のような性格を持っているという話もあります。様々な集団が生まれたり、連携したりするようなエコシステムのような仕組みがあるのかもしれません。だからこそ逆に攻撃対象としてのスタートアップ企業を理解しやすく、狙いやすいということかもしれません。北朝鮮では情報機関に就職するのはエリートで「出身成分」のよい市民でなければならない、と言われています。ただ単に官僚的あるいは伝統的なスパイというよりも、上のような組織の風土があることが技術を高めているのかもしれません。

残念ながら2023年においてもこれらの攻撃が止まるということはないでしょう。むしろより高いレベルの攻撃が全世界で行われると考えてよいと思います。

Chainalysisによれば、ハッキングによる盗難は、詐欺とは違うそうです。例えば個人に対する詐欺のようなものは、市場価格になどの動向に連動して増加することがあります。暗号資産価格が上がると新規の購入者が増え、だまされやすい人が増えるということです。しかし、ハッキングはこれとは異なり、市場価格が下がっているとしても犯罪が増加する傾向があるようです。

クリプトの冬とよばれる時期においても、取引所やNFTサイドチェーンに対する攻撃は起きているという認識をしっかり持つ必要がありあます。Chainalysisによれば、業界全体で取り組まなければ解決できない問題であり、個人としてはできる限りリテラシーを高めることしか対策はありません。