ChatGPTを悪用した新型サイバー攻撃が登場 北朝鮮ハッカーの仕業か：セキュリティニュースアラート

北朝鮮のハッカー集団「Kimsuky」が、ChatGPTで生成した偽の韓国軍身分証画像を使ったフィッシング攻撃を展開したことが分かった。AIとディープフェイク技術を組み合わせた国家規模のサイバー脅威とみられている。

[後藤大地，有限会社オングス]

　Geniansは2025年9月15日（現地時間）、北朝鮮のハッカー集団「Kimsuky」による新たな標的型攻撃を確認したと発表した。「ChatGPT」で作成したとみられる韓国軍関係機関の身分証画像を悪用した攻撃とされ、従来の手口に比べて一段と巧妙化している。

ChatGPTで作成したディープフェイク画像を攻撃に悪用

　2025年7月17日に韓国軍のID発行業務を偽装し、AIで生成したディープフェイクの身分証画像を利用して防衛関連業務を装うフィッシング攻撃が確認された。添付されているZIPファイルを解凍すると、身分証の「下書き」と称する画像が表示されると同時に悪意あるバッチファイルが実行され、外部のC2サーバと通信して追加の不正プログラムを取得する仕組みとなっていた。

　分析によると、この画像はAI生成物判定サービスで98％の確率で偽物と判断されており、ChatGPTを利用した生成過程の痕跡も確認されている。軍関係の身分証は法的に保護されている文書のため、生成AIサービスで直接作成することは通常拒否される。しかしプロンプトの工夫や「デザインのサンプル」といった名目で依頼することで、攻撃者が利用可能な画像を得られる場合があるという。

　今回の攻撃は、過去に確認されている「ClickFix」と呼ばれる手口との関連が指摘されている。ClickFixにおいて、韓国のポータルサイトのセキュリティ通知を装い、利用者に偽のポップアップを表示してPowerShellスクリプトを実行させる方法が使われていた。今回も同様のC2サーバが利用され、AutoItスクリプトや難読化されているバッチファイルが多段階で展開されていることが判明している。

　感染端末に「HncUpdateTray.exe」と呼ばれる不正プログラムが設置され、「Hancom Office」の更新を装って定期的に実行される仕組みが確認されている。このファイルはAutoItの実行環境を偽装したものとされ、併せて「config.bin」と呼ばれるスクリプトを読み込み、端末情報を収集し追加の攻撃を実行する。内部ではVigenere暗号の変種を応用した文字列の難読化が施され、解析や検知の回避が図られていた。

　こうしたAIとディープフェイクを組み合わせた攻撃は、従来の業務手続きや公的書類に関する信頼を逆手に取るものと指摘されている。軍関連の身分証を題材としたことは、対象者に現実的な業務連絡と思わせる効果が高く、被害リスクを増大させる要因となっている。

　同社は同様の手口が北朝鮮関連研究者や人権活動家、ジャーナリストを狙ったケースでも確認されていることも明らかにした。攻撃メールは一見正規の送信元を装い、CAPTCHAや文書添付など実務に沿ったテーマを偽装して利用者の警戒をかわしていた。

　今回の事例はAIを悪用した北朝鮮勢力の活動全般と連動している可能性がある。米国Anthropicも2025年8月に発表した報告書で、北朝鮮のIT技術者がAIで偽の履歴書や仮想の人物像を作成し、国外の企業に雇用される事例を明らかにしている。これらは外貨獲得や制裁回避を目的とした活動とされ、生成AIがその手段に利用されている点で共通している。

　Geniansは今回の分析を通じて、AIの進展が国家規模の脅威活動に組み込まれつつあることを示した。対策としては難読化スクリプトを検出可能なEDR（Endpoint Detection and Response）製品の導入が不可欠とし、継続的な監視と対策を求めている。