北朝鮮のハッキング、コスパ重視で進化中?自動化されたメール攻撃の実態
昨年末から今年初めにかけて、クリックするだけでアカウントが乗っ取られるフィッシングメールが12万通以上も出回った。問題は、このフィッシングメールが単なるスパムではなく、北朝鮮のハッキング組織の仕業だったという点だ。
先月15日、韓国の警察庁国家捜査本部は「国軍防諜司令部の戒厳文書公開」というタイトルのフィッシングメールを含む、計12万6,266件の偽装メールが北朝鮮発のハッキング試みと確認されたと発表した。メールの件名には「今日の運勢」、「コンサート招待状」、「税金還付」など、受信者の好奇心をそそる言葉が使われていた。
実際、昨年11月から今年1月までの間に1万7,744人に送信され、120人がポータルサイトのIDとパスワードを盗まれる被害に遭った。幸い、機密情報や金銭的被害は確認されていない。
フィッシングメールは「税金還付額の照会」などの件名で、本文下部に「対象者かどうか確認する」ボタンを設置していた。これをクリックすると、ポータルサイトを模した偽のログインページにつながった。そして受信者が自身のアカウント情報を入力すると、その情報がそのまま北朝鮮のハッキング組織に送信される仕組みだった。
北朝鮮は海外業者を通じて借り入れた韓国のサーバー15台を利用し、自作のメール送信プログラムまで活用していた。このプログラムはメールの送信から閲覧状況、フィッシングサイトへのアクセス、情報入力の有無までリアルタイムで追跡できる機能を備えていた。
韓国警察は今回の事件が北朝鮮のハッキング組織の濃厚な痕跡を残した犯行だと判断した。サーバーの記録には「ポグ(ポート)」、「キドン(動作)」、「ペジ(ページ)」など北朝鮮式の表現が見つかり、使用されたサーバーの一部は、過去の北朝鮮によるサイバー攻撃でも利用されていたことが判明した。発信元のIPアドレスは北朝鮮と中国の国境地域で、脱北者や軍関連情報の収集の形跡も確認された。
今回の事件が特に注目される理由は、北朝鮮が従来の精密な標的型攻撃から「コスパ重視のハッキング」戦略へと方針を転換した初の事例だからだ。過去には「北朝鮮の新年の辞に対する情勢分析」のような特定の標的向けのコンテンツを手作業で制作し、外交・安全保障の専門家に送る手法を取っていたが、今回は自動化プログラムを通じてオンラインで入手したコンテンツを不特定多数に送る「ばらまき型ハッキング」に転換した。
韓国警察関係者は「発信者不明のメールは開かず、リンクや添付ファイルのクリックを避けるなど、基本的な注意事項を守ることで被害を防げる」とし、「ログインを求めるサイトのアドレスを必ず確認する必要がある」と強調した。