Google翻訳の拡張機能を装った北朝鮮のサイバースパイ活動を確認：セキュリティニュースアラート

Zscalerは北朝鮮政府支援の脅威アクターKimsukyがChrome拡張機能「TRANSLATEXT」を使ってサイバースパイ活動を実行していると報告した。この拡張機能は短期間でGitHubにアップロードされすぐに削除されたが、すでに被害は発生している。

[後藤大地，有限会社オングス]

　Zscalerは2024年6月27日（現地時間、以下同）、北朝鮮政府が支援する脅威アクター「Kimsuky」（別名：APT43、Emerald Sleet、Velvet Chollima）が「TRANSLATEXT」と呼ばれる悪意のある「Google Chrome」（以下、Chrome）の拡張機能を使ったサイバースパイ活動に従事していると報告した。

Google翻訳の拡張機能を装いインストールを誘導か

　Zscalerによると、これらのスパイ活動によって、電子メールアドレスやユーザー名、パスワード、Cookie、Webブラウザのスクリーンショットなどが窃取される可能性があるという。Kimsukyによる犯行であることは、コマンド＆コントロール（C2）サーバの特徴などから中程度の確信があるとしている。

　Kimsukyは2013年に観測された脅威アクターだ。韓国のシンクタンクや政府機関、学術部門などを標的としてサイバースパイ活動や金銭目的のサイバー攻撃を実行することが知られている。Kimsukyは標的を絞ったキャンペーンでさまざまなTTPs（サイバー攻撃の戦術、技術、手順）を使うことが分かっており、その方法の一つにChromeの拡張機能の利用がある。

　TRANSLATEXTは2024年3月7日に「GitHub」のリポジトリーにアップロードされたChromeの悪意のある拡張機能だ。「Gmail」「Kakao」「Naver」などといった特に韓国で人気のあるメールサービスプロバイダーのセキュリティ対策を回避して電子メールアドレスやユーザー名、パスワード、Cookieなどの窃取やWebブラウザスクリーンショットのキャプチャー取得などが可能となる。この拡張機能は韓国の学術分野、特に北朝鮮問題に関する政治研究に携わる人々を標的にしていたと分析されている。

　TRANSLATEXTは2024年3月7日にGitHubリポジトリーにアップロードされたものの翌日には削除されている。これはKimsukyが露出を最小限に抑え短期間で特定の個人の標的にしていたためだと推測されているが、TRANSLATEXTが具体的にどのようにして配布されていったのか、詳細は明らかになっていない。GitHubに「GoogleTranslate.crx」としてアップロードされていたことから、「Google翻訳」の拡張機能を装っていたことが明らかになっている。

　Zscalerはすでにこのサイバー攻撃の被害者を特定しており、朝鮮半島の地政学的問題に強い関心を持つ研究者が狙われていたことが分かっている。Kimsukyの主な目的の一つは情報を収集するために学者や政府関係者を監視することであり、この目的とも合致している。同社はセキュリティ侵害インジケーター（IoC）を公開しており、必要に応じて活用することが望まれている。

　なお、ZscalerはTRANSLATEXTを分析することで得られたセキュリティ対策回避機能についてすでにGoogleやNaverのセキュリティチームに報告しており、問題を軽減するために協力中だと説明している。