暴かれた「北朝鮮サイバー工作」の全貌 “偽メール”から始まる脅威：世界を読み解くニュース・サロン（4/5 ページ）

[山田敏弘，ITmedia]

「就職活動」を装った偽メール

　また北朝鮮ハッカーらがよくやる手口に「就職活動」を装ったスピアフィッシング・メールがあるのだが、ソニーハックでもそれが使われた。例えば、実際に北朝鮮ハッカーが使っていた「bluehotrain@hotmail.com」というアカウントから送られた偽メールはこんな具合だ。

Dear ○○○,

私は南カリフォルニア大学の2年生で、デジタル制作におけるグラフィックデザインに興味があります。

Mr.×××から、あなたに問い合わせるよう聞きましたのでメールしています。

ソニー・ピクチャーズエンタテインメントはその卓越性で知られ、革新的でクリエイティブなデザインへのこだわりは印象深く私の心に残っています。

私はデザイン・クラスでも優秀な生徒で、GPA（成績平均点）は4.0（満点）を維持しており、入学後全ての学期で成績優秀者向けの奨学金を受けています。

自分に自信があり、貴社でも貴重な存在になれます。

私の履歴書と作品集に目を通していただければ幸いです。これがリンクです：http://------

ご返信をお待ちしております。

Sincerely, クリスティナ・カーステン

　もちろん、「○○○」「×××」は実在の人物である。SNSなどで名前や役職を調べて本物のメールのように偽造する。こんなメールを受け取ったら迷わずリンクをクリックしてしまう人は多いだろう。履歴書や作品集を見るためのリンク先をクリックすれば、見事にマルウェアに感染してしまうのである。

　マルウェアに感染すると、そのプログラムに書き込まれていた北朝鮮側の電子メールにパスワードなどの情報を送られ、攻撃者はそれを使って不正にアカウントにログインして乗っ取ることができるのだ。そのアカウントから“正当”な電子メールなどを、より幅広いアクセス権限を持つ職員に送り付けるのである。そうした攻撃を繰り返し、内部に潜入して社内アカウントを管理するところまで入り込めれば、あとは社内システムの中で情報を盗むだけでなく、公式サイトやTwitterのアカウントすら乗っ取ることも可能になってしまう。

　ソニーハックでは、映画作品そのものや財務書類だけでなく、企画書や俳優のギャラ、健康状態などをやりとりしている社内メールなど、大量の内部情報が盗まれ、さらに多くのPCがデータを消されるなどして破壊された。実は筆者の知人も被害に遭っている。サイバー攻撃が起きたのは14年だが、その2年前まで知人は同社で働いていた。パクら北朝鮮ハッカーは過去に働いていた職員の個人情報も盗んでネット上で公開したため、この知人はクレジットカード番号や銀行口座番号などの変更を余儀なくされたと嘆いていた。

　ちなみに、パクは犯罪者としてはあまり周到ではなかったようで、多くの電子メールアドレスやIPアドレスをあちこちのサイバー攻撃で使い回していたため、足がついてしまった。電子メールアドレスの新規作成の際に必要になる確認用メールアドレスなどが他の事件でも発見されたり、すでに欧米側に北朝鮮関連のものだと知られているIPアドレスを使って標的企業などについて詳しく調べた履歴が見つかったケースもあった。ソニーハックやバングラデシュ中央銀行のサイバー攻撃で共通の「足跡」を残していたことも判明している。