最近話題になった、北朝鮮からグーグルへのサイバー攻撃とはどんなものだったのか。
1月25日、グーグルの脅威分析グループが、あちこちの企業や組織で脅威や脆弱性を研究している人たちを狙うサイバー攻撃集団の存在を明らかにした。そしてその集団が北朝鮮の政府系ハッカーにつながっていることが分かったと指摘している。
手口は、ターゲットを信用させるために、コンピュータ関連のブログを立ち上げたり、欧米人や中国人っぽい名前などを使いながらいくつものTwitterアカウントを作り、自分たちで作成した脆弱性のレポート(インチキのケースもある)などのリンクを拡散させたりする。要するに、北朝鮮ハッカーらが、いちコンピュータ研究者であるようなペルソナを作り上げていた。
またブログには、ゲスト寄稿者の研究を掲載するなど、限りなく本物に見せる工作を行っていたという。
そうして狙いを定めたターゲットに対し、電子メール、TwitterやLinkedIn(リンクトイン)といったSNS、Telegram(テレグラム)などのメッセージングアプリを駆使して、共同研究などを持ちかけて接触を試みる。そこから相手のコンピュータに侵入を試みていく。
中には、知り合いになってからリンクにアクセスするよう促され、クリックしてマルウェアに感染するケースも確認されている。しかも、パッチやアップデートなどもしっかりと更新しているWindowsやブラウザのGoogle Chromeを使っていたりしても、感染していた例が報告されている。つまり、世の中では未知の脆弱性(ゼロデイ)を使った可能性があると分析されている。
この話がメディアでも報じられると、Twitterなどで自分もアプローチされたとする人たちが声をあげた。「センシティブな話だから、メッセンジャーでやりとりしたい。何使っている?」「Windowsのゼロデイを見つけたんだけど」という攻撃者から来た実際のメッセージを公開している人もいる。
北朝鮮側の目的は、研究者たちが調べたり、把握していたりするシステムやソフトウェアの脆弱性を盗み、自分たちの攻撃に悪用することである。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング