北朝鮮関連の題材を使った標的型攻撃に注意 メッセンジャー悪用で拡散：セキュリティニュースアラート

北朝鮮関連の題材を使った新たな標的型攻撃が登場した。受信者の関心に合わせた内容の電子メールで端末を感染させた後、メッセンジャー機能を悪用して不正ファイルを拡散するという。

[ITmedia エンタープライズ編集部，ITmedia]

　Geniansは2026年3月16日（現地時間）、北朝鮮関連の題材を使った標的型攻撃について分析結果を公表した。

　同調査によると、攻撃者は電子メールを入口として侵入し、不正なショートカットファイルを実行させることで遠隔操作型不正プログラムを導入し、長期間にわたり端末内の情報を収集するという。感染端末のメッセンジャーアプリを不正に操作し、接点に不正ファイルを送信することで被害を拡大させる手法が明らかになった。

メッセンジャー機能を使った拡散手法

　今回の攻撃において、受信者の関心に合わせた内容の電子メールが使用され、添付ファイルの実行を誘導する構成となっていた。実行されるファイルは文書に見せかけたショートカットであり、内部ではコマンド実行やスクリプト処理を実行し、外部サーバから追加の不正プログラムを取得する仕組みが組み込まれていた。その後、端末内で常駐化され、再起動後も活動を継続する状態が維持される。

　感染後は内部文書や利用者情報、システム構成などが収集され、外部に送信される。通信には暗号化や難読化が利用され、検知を回避する工夫が施されていた。複数の遠隔操作型不正プログラムが段階的に投入される構成が確認され、単一の不正コードに依存せず柔軟に運用されていた。

　特に注目される点は、メッセンジャー機能の悪用だ。攻撃者は感染端末のアカウントにアクセスし、連絡先の一部に不正ファイルを送信した。送信内容は正規のやりとりに見える形式であり、受信者の警戒を下げる効果を持つ。この仕組みにより、既存の信頼関係を利用した連鎖的な感染拡大が可能となる。

　技術的には、ショートカットファイル内に隠されたデータを復号して文書を表示する。裏側では追加の不正処理が進行する構造が確認された。タスク登録やスタートアップ登録を通じて永続化が実現され、端末上で継続的に活動できる状態が構築されていた。

　同調査では、複数の遠隔操作型不正プログラムが同時に使用されている点も確認された。これらはファイル操作や遠隔コマンド実行、データ送受信などの機能を持ち、攻撃者が端末を広範に制御できる状態を作り出す。通信先のサーバは複数国に分散しており、追跡や遮断を困難にする構成となっていた。

　Geniansは、この攻撃が単発ではなく継続的に展開されている活動の一部だと指摘する。過去の事例との共通点から、同一の攻撃主体による長期的な作戦の一環とみられる。

　対策としては、添付ファイルの実行制御や振る舞い検知の強化が重要とされる。ショートカットやスクリプトなど多段階の実行形式の監視が特に求められる。メッセンジャー経由のファイル送信についても異常検知を導入し、通常と異なる挙動を把握することが必要だ。

　同社は従来のシグネチャ検知だけでは不十分であり、端末の挙動を総合的に分析する仕組みが不可欠だと指摘する。攻撃は侵入後も長期間にわたり活動を継続するため、初期検知に加え、継続的な監視と追跡が重要となる。