北朝鮮の「Lazarus」による世界規模の攻撃 最新調査で「4つの事実」が判明：セキュリティニュースアラート

北朝鮮の「Lazarus」による世界規模のデータ窃取攻撃に関する最新の調査レポートが公開された。同レポートで判明した「4つの事実」とは。

[後藤大地，有限会社オングス]

　SecurityScorecardは2025年3月27日、北朝鮮のAPT（高度持続的脅威）グループ「Lazarus」による国際的なデータ窃取攻撃に関する最新の調査レポート「Operation Phantom Circuit」を発表した。

最新調査で分かった「4つの事実」

　今回のレポートは、SecurityScorecardの脅威分析チーム「STRIKE」による調査を基に作成されている。

　2024年9月以降、Lazarusが複数のコマンド＆コントロール（C2）サーバーを駆使して世界規模のサイバー攻撃実行し、特に暗号資産（仮想通貨）業界やソフトウェア開発者が主な標的とされた。同レポートで明らかになった、北朝鮮が行った高度なサプライチェーン攻撃に関する4つの事実とは。

1. 攻撃インフラの特定： Lazarusが使用していた標的型攻撃の作戦インフラを特定。Astrill VPNのトラフィックをプロキシ経由で目的のC2サーバーに巧妙にルーティングしていたことが判明
2. 北朝鮮からの通信を追跡：　VPNを通じて北朝鮮の平壌にある6つの異なるIPアドレスに接続していたことが確認された。攻撃の背後に北朝鮮が関与している明確な証拠が得られた
3. ソフトウェアサプライチェーン攻撃の実行：　正規ソフトウェアに悪意のあるコードを埋め込むサプライチェーン攻撃が実施され、2024年9月〜2025年1月の間に全世界で233件の被害が確認された
4. 高度なC2管理アプリケーションの存在：　窃取データや攻撃の制御には、ReactアプリケーションとAPIを使った専用の管理アプリケーションが使用されていた。このアプリケーションはすべてのC2サーバー上で稼働し、ポート1245を通じて管理されていた

　Lazarusは、ReactアプリケーションとNode.js APIを使った管理プラットフォームを利用して端末を監視し、攻撃を実行していた。VPNやプロキシを用いて、自分たちの位置や正体を隠したことも確認された

　攻撃のためのインフラには、ReactアプリケーションとNode.js APIを活用した高度な管理プラットフォームを使用していた。このシステムを通じて、感染した端末の監視や攻撃全体の統制を行っていた。LazarusはVPNやプロキシを利用して発信元を隠蔽し、サイバー攻撃が長期間継続していたことも判明した。

SecurityScorecardが推奨する対策

　今回の調査を基に、SecurityScorecardが推奨するセキュリティ対策は次の通りだ。

• ソフトウェアのコード検証プロセスを厳格化する
• ネットワークトラフィックを常時監視し、不審な動きを検知する
• サプライチェーン全体のセキュリティ体制を強化する
• グローバル規模でセキュリティ担当者同士の情報共有を促進する
• Lazarusのような高度な攻撃手法に備えた体制を整備する
• 難読化されたコードやゼロデイ攻撃に対応できる分析・検知機能を導入する
• 堅牢な監視ツールを活用し、リアルタイムで脅威を検知・対応する。
• ソフトウェアやシステムのパッチ管理を徹底する
• 予防的防御の手法を導入する