北朝鮮関連の題材を使った標的型攻撃に注意 メッセンジャー悪用で拡散:セキュリティニュースアラート
北朝鮮関連の題材を使った新たな標的型攻撃が登場した。受信者の関心に合わせた内容の電子メールで端末を感染させた後、メッセンジャー機能を悪用して不正ファイルを拡散するという。
Geniansは2026年3月16日(現地時間)、北朝鮮関連の題材を使った標的型攻撃について分析結果を公表した。
同調査によると、攻撃者は電子メールを入口として侵入し、不正なショートカットファイルを実行させることで遠隔操作型不正プログラムを導入し、長期間にわたり端末内の情報を収集するという。感染端末のメッセンジャーアプリを不正に操作し、接点に不正ファイルを送信することで被害を拡大させる手法が明らかになった。
メッセンジャー機能を使った拡散手法
今回の攻撃において、受信者の関心に合わせた内容の電子メールが使用され、添付ファイルの実行を誘導する構成となっていた。実行されるファイルは文書に見せかけたショートカットであり、内部ではコマンド実行やスクリプト処理を実行し、外部サーバから追加の不正プログラムを取得する仕組みが組み込まれていた。その後、端末内で常駐化され、再起動後も活動を継続する状態が維持される。
感染後は内部文書や利用者情報、システム構成などが収集され、外部に送信される。通信には暗号化や難読化が利用され、検知を回避する工夫が施されていた。複数の遠隔操作型不正プログラムが段階的に投入される構成が確認され、単一の不正コードに依存せず柔軟に運用されていた。
特に注目される点は、メッセンジャー機能の悪用だ。攻撃者は感染端末のアカウントにアクセスし、連絡先の一部に不正ファイルを送信した。送信内容は正規のやりとりに見える形式であり、受信者の警戒を下げる効果を持つ。この仕組みにより、既存の信頼関係を利用した連鎖的な感染拡大が可能となる。
技術的には、ショートカットファイル内に隠されたデータを復号して文書を表示する。裏側では追加の不正処理が進行する構造が確認された。タスク登録やスタートアップ登録を通じて永続化が実現され、端末上で継続的に活動できる状態が構築されていた。
同調査では、複数の遠隔操作型不正プログラムが同時に使用されている点も確認された。これらはファイル操作や遠隔コマンド実行、データ送受信などの機能を持ち、攻撃者が端末を広範に制御できる状態を作り出す。通信先のサーバは複数国に分散しており、追跡や遮断を困難にする構成となっていた。
Geniansは、この攻撃が単発ではなく継続的に展開されている活動の一部だと指摘する。過去の事例との共通点から、同一の攻撃主体による長期的な作戦の一環とみられる。
対策としては、添付ファイルの実行制御や振る舞い検知の強化が重要とされる。ショートカットやスクリプトなど多段階の実行形式の監視が特に求められる。メッセンジャー経由のファイル送信についても異常検知を導入し、通常と異なる挙動を把握することが必要だ。
同社は従来のシグネチャ検知だけでは不十分であり、端末の挙動を総合的に分析する仕組みが不可欠だと指摘する。攻撃は侵入後も長期間にわたり活動を継続するため、初期検知に加え、継続的な監視と追跡が重要となる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
知らない番号でも一瞬で正体判明? 警察庁推奨アプリの実力を検証
警察庁が“推奨”する特殊詐欺対策アプリが、無料で使えるようになりました。電話を取る前に危険な番号を判定し、ブロックできます。というわけで筆者も実際に試してみたのですが、詐欺対策とは別の「意外な使い道」も見えてきました。
監査対策のはずが現場崩壊? 情シスがハマるツール導入のわな
評判や監査対応に背中を押され、最新ツールを導入したはずなのに、なぜ現場は楽にならないのでしょうか。止まる運用、鳴り続けるアラート、形骸化するポリシー――。情シスが陥りがちな“再現性の高い失敗”から、ツール選定の穴をあぶり出します。
その事例、本当に出して大丈夫? “対策を見せたい欲”が招く逆効果
「隣の芝生は青い」ではないですが、他社のセキュリティの取り組みは、やけに良く見えるもの。これをマネして情報を発信するのは素晴らしいですが、伝え方を間違えるとその情報が攻撃のヒントになるかもしれません。今回は羨望と承認欲求が生むリスクを解説します。
★4を目指すのは正解か? SCS評価制度が企業に突き付ける“本当の論点”
2026年度末の本格運用に向けて議論が進む「サプライチェーン強化に向けたセキュリティ対策評価制度」。ただ、この本質は“星の数”ではありません。制度全体を俯瞰し、取引関係や成熟度、外部支援――制度設計に込められたメッセージを読み解きます。