ラザルスグループ

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動
ラザルスグループ
나사로 그룹
設立 c. 2009[1]
種類 APT
目的 サイバースパイサイバー戦争
貢献地域 普通江区域平壌直轄市北朝鮮
組織的方法 ゼロデイ攻撃スピアフィッシングマルウェア偽情報, バックドアDropper
公用語 朝鮮語
親組織 朝鮮人民軍偵察総局
朝鮮コンピューターセンター
加盟 121局180局、Ariel
かつての呼び名
APT38
Gods Apostles
Gods Disciples
Guardians of Peace
ZINC
Whois Team
Hidden Cobra
テンプレートを表示

ラザルスグループ(Lazarus Group、HIDDEN COBRAとしても知られる)[1] は未知数の個人で構成されたサイバー犯罪グループ。ラザルスグループに関してはあまり知られてはいないが、研究者達は過去10年間の多くのサイバー攻撃は彼らが原因だとしている。

歴史[編集]

2009年から2012年にわたって行われた「トロイ作戦(Operation Troy)」が彼らのもっとも初期の攻撃として知られている。これはソウルの韓国政府をターゲットとする単純な分散型サービス拒否攻撃(DDoS)技術を用いたサイバースパイ作戦だった。2011年と2013年の攻撃も彼らが原因であるとされている。韓国を標的にした2007年の攻撃の背後にいる可能性があるが、不確実のままである[2] 。ラザルスが行ったとされる著名な攻撃としては2014年のソニー・ピクチャーズへの攻撃が知られている。ソニーへの攻撃ではより洗練されたテクニックを用いており、時間の経過とともにグループがどのように高度化したかが浮き彫りとなった。ラザルスグループはエクアドルの「Banco del Austro」から1200万ドル、2015年にベトナムの「Tien Phong Bank」から100万ドルを盗んだと報じられた[3] 。彼らはまたポーランドとメキシコの銀行を標的にした[4] 。2016年の銀行強盗[5] での8100万ドルを盗むのに成功したバングラデシュ銀行への攻撃はこのグループによるものとされた。2017年にラザルスグループは台湾の遠東国際商業銀行から6000万ドルを盗んだと報じられたが、実際の盗難額は不明であり、盗難資金の大半は回収された[4]

グループの黒幕が本当は誰なのかは明確ではないが、メディア報道ではグループが北朝鮮とつながりがあると示唆している[6] [7][4]カスペルスキーは2017年にラザルスはスパイ活動とサイバー侵入攻撃に集中する傾向がある一方で、ラザルス内の小グループ(カスペルスキーはBluenoroffと呼んでいる)は金融機関へのサイバー攻撃に特化していると報告した。カスペルスキーは世界規模の複数の攻撃とBluenoroffと北朝鮮間の直接リンク(IPアドレス)を発見した[8]

しかしながら、カスペルスキーはまた世界規模のWannaCryワームサイバー攻撃はNSAの技術もコピーしているという点を踏まえると、コードの繰り返しは捜査員をミスリードさせ、北朝鮮に攻撃の罪を着せようと意図された「偽旗」である可能性も認めている。このランサムウェアはハッカーグループ「シャドウ・ブローカーズ(Shadow Brokers)」が2017年4月に公開した「エターナル・ブルー(EternalBlue)」として知られるNSAのハッキングツールを活用したものであった[9]シマンテックは2017年にWannaCry攻撃の背後にラザルスがいる「可能性が高い」と報告した[10]

米国のセキュリティ企業によると世界中の30万台以上のコンピュータに影響を与えたWannaCryマルウェアは中国南部、香港、台湾またはシンガポールのハッカーによって作成された可能性が高いとされた[11] 。マイクロソフト社長はWannaCry攻撃は北朝鮮によるものとした[12]

主なサイバー攻撃[編集]

ブロックバスター作戦[編集]

「ブロックバスター作戦(Operation Blockbuster)」という名の下でNovettaが率いるセキュリティ企業連合[13][14] は様々なサイバーセキュリティ事件において見つかったマルウェアのサンプルを分析することができた。そのデータを利用することで、チームはハッカーが用いた手法を分析することができた。 彼らはラザルスグループをコード再利用のパターンを通じて数々の攻撃と結び付けた[15]

火炎作戦[編集]

ラザルスグループが原因の可能性がある最も早期の攻撃が2007年に起こった。この攻撃は「火炎作戦(Operation Flame)」と名付けられ、韓国政府に対して第一世代のマルウェアを用いていた。一部研究者によれば、この攻撃に存在する活動は、「Operation 1Mission」「トロイ作戦」および2013年のDarkSeoul攻撃などの後の攻撃と関連付けることができるとされた。次の事件は2009年7月4日起こり、「トロイ作戦」の始まりを引き起こした。この攻撃では、MydoomとDozerのマルウェアを利用して、米国と韓国のウェブサイトに対する大規模ではあるが、かなり単純なDDoS攻撃を開始した。大量の攻撃が約3ダースのウェブサイトに行われ、マスターブートレコード(MBR)に「独立記念日の記憶(Memory of Independence Day)」の文章が埋め込まれた

10日間の雨[編集]

時間と共にこのグループからの攻撃はより洗練されていった。彼らのテクニックとツールはより良く発展し、より効率的になっていった。「10日間の雨(Ten Days of Rain)」として知られる2011年3月の攻撃は韓国のメディア、金融機関、重要インフラをターゲットにしたもので、韓国内の感染したコンピュータ由来のより洗練されたDDoS攻撃で構成されていた。攻撃は韓国の放送企業3社、金融機関、ISPをターゲットにしたワイパー攻撃「DarkSeoul」による攻撃は2013年3月20日まで続いた。当時他の2つのグループ「NewRomanic Cyber Army Team」と「WhoIs Team」は攻撃を自分の手柄としたが、研究者達は現在はラザルスグループが攻撃の背後にいると知っていた[16]

ソニー侵害[編集]

ラザルスグループの攻撃は2014年11月24日に絶頂に達した。その日、Redditにソニー・ピクチャーズがハッキングされたと投稿された。当時は誰も知らなかったが、近年の歴史上最大の企業侵害の一つの始まりだった。攻撃時にグループは自身を平和の守護者(Guardians of Peace、GOP) と名乗り、ソニーのネットワークをハッキングし、数日間機能不全にした。グループは発見される一年前にソニーネットワーク内にいたと主張し、その話が本当である可能性は確かにあった[17] 。ハッカーは以前にリリースされていない映画や約4000人の元及び現従業員の個人情報を含む貴重なインサイダー情報へのアクセスできたほど攻撃は侵入的だった。グループは内部Eメールにアクセスでき、ソニーで進められていた非常に投機的な実践を明らかにした[18]

暗号通貨攻撃[編集]

2018年にRecorded Future社はラザルスグループと主に韓国の暗号通貨ビットコインモネロのユーザーへの攻撃を関連付ける報告書を発行した[19] 。これらの攻撃は過去のWannaCryランサムウェアを用いた攻撃や、ソニー・ピクチャーズへの攻撃に技術的に類似していると報告された[20] 。ラザルスのハッカーが用いた戦術の一つは韓国のワープロソフトであるハンコムハングルの脆弱性を利用するものだった[20]。他の戦術としてはマルウェアを含んだスピアフィッシングの餌が韓国の学生やCoinlinkのような暗号通貨取引所のユーザーに送付された。仮にユーザーがマルウェアを開いた場合、Eメールアドレスとパスワードを盗まれるようになっていた[21] 。Coinlinkは彼らのサイトまたはハッキングされたユーザーのEメールとパスワードを拒否した[21]。報告書は「この2017年後半の作戦は現在マイニング、ランサムウェア、明白な窃盗を含む幅広い分野の活動を網羅する暗号通貨への北朝鮮の関心の継続」だと結論付けた[19]。報告書ではまた国際的な金融制裁に対処するためにこれらの暗号通貨攻撃を利用していると述べている[22]。北朝鮮のハッカーは2017年2月に韓国の取引所「Bithumb」から700万ドルを盗んだ[23] 。別の韓国のビットコイン取引所「Youbit」は2017年4月の初期の攻撃に続く2017年12月のサイバー攻撃で資産の17%を盗まれた後破産を申請した[24] 。ラザルスと北朝鮮のハッカーがこの攻撃を行ったとされた[25][19]

脚注[編集]

[脚注の使い方]
  1. ^ Guerrero-Saade, Juan Andres; Moriuchi, Priscilla (2018年1月16日). “North Korea Targeted South Korean Cryptocurrency Users and Exchange in Late 2017 Campaign”. Recorded Future. オリジナルの2018年1月16日時点におけるアーカイブ。. https://web.archive.org/web/20180116170903/https://www.recordedfuture.com/north-korea-cryptocurrency-campaign/ 
  2. ^ Security researchers say mysterious 'Lazarus Group' hacked Sony in 2014”. The Daily Dot. 2016年2月29日閲覧。
  3. ^ SWIFT attackers’ malware linked to more financial attacks”. Symantec (2016年5月26日). 2017年10月19日閲覧。
  4. ^ a b c Ashok, India (2017年10月17日). “Lazarus: North Korean hackers suspected to have stolen millions in Taiwan bank cyberheist” (英語). International Business Times UK. http://www.ibtimes.co.uk/lazarus-north-korean-hackers-suspected-have-stolen-millions-taiwan-bank-cyberheist-1643408 2017年10月19日閲覧。 
  5. ^ Two bytes to $951m”. baesystemsai.blogspot.co.uk. 2017年5月15日閲覧。
  6. ^ “Cyber attacks linked to North Korea, security experts claim” (英語). The Telegraph. (2017年5月16日). http://www.telegraph.co.uk/technology/2017/05/15/north-korea-linked-global-cyber-attack-experts-examine-ransomware/ 2017年5月16日閲覧。 
  7. ^ Solon, Olivia (2017年5月15日). “WannaCry ransomware has links to North Korea, cybersecurity experts say” (英語). The Guardian. ISSN 0261-3077. https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group 2017年5月16日閲覧。 
  8. ^ GReAT - Kaspersky Lab's Global Research & Analysis Team (2017年3月3日). “Lazarus Under The Hood”. Securelist. 2017年5月16日閲覧。
  9. ^ The WannaCry Ransomware Has a Link to Suspected North Korean Hackers (2017年3月3日). “The Wired”. Securelist. 2017年5月16日閲覧。
  10. ^ “More evidence for WannaCry 'link' to North Korean hackers” (英語). BBC News. (2017年5月23日). http://www.bbc.co.uk/news/technology-40010996 2017年5月23日閲覧。 
  11. ^ Linguistic analysis shows WannaCry ransom notes written by southern Chinese, says US intelligence firm (2017年5月15日). “The Straits times”. Securelist. 2017年5月16日閲覧。
  12. ^ Harley, Nicola (2017年10月14日). “North Korea behind WannaCry attack which crippled the NHS after stealing US cyber weapons, Microsoft chief claims” (英語). The Telegraph. ISSN 0307-1235. http://www.telegraph.co.uk/news/2017/10/14/north-korea-behind-wannacry-attack-crippled-nhs-stealing-us/ 2017年10月14日閲覧。 
  13. ^ Van Buskirk, Peter (2016年3月1日). “Five Reasons Why Operation Blockbuster Matters” (英語). Novetta. http://www.novetta.com/2016/03/five-reasons-why-operation-blockbuster-matters/ 2017年5月16日閲覧。 
  14. ^ "Novetta Exposes Depth of Sony Pictures Attack — Novetta". 24 February 2016. Cite webテンプレートでは|access-date=引数が必須です。 (説明)
  15. ^ Kaspersky Lab helps to disrupt the activity of the Lazarus Group responsible for multiple devastating cyber-attacks | Kaspersky Lab”. www.kaspersky.com. 2016年2月29日閲覧。
  16. ^ The Sony Hackers Were Causing Mayhem Years Before They Hit the Company” (英語). WIRED. 2016年3月1日閲覧。
  17. ^ Sony Got Hacked Hard: What We Know and Don’t Know So Far” (英語). WIRED. 2016年3月1日閲覧。
  18. ^ A Breakdown and Analysis of the December, 2014 Sony Hack”. www.riskbasedsecurity.com. 2016年3月1日閲覧。
  19. ^ a b c Al Ali, Nour (2018年1月16日). “North Korean Hacker Group Seen Behind Crypto Attack in South”. Bloomberg.com. https://www.bloomberg.com/news/articles/2018-01-16/north-korean-hacker-group-seen-behind-crypto-attack-in-south 2018年1月17日閲覧。 
  20. ^ a b Kharpal, Arjun (2018年1月17日). “North Korea government-backed hackers are trying to steal cryptocurrency from South Korean users”. CNBC. https://www.cnbc.com/2018/01/17/north-korea-hackers-linked-to-cryptocurrency-cyberattack-on-south-korea.html 2018年1月17日閲覧。 
  21. ^ a b Mascarenhas, Hyacinth (2018年1月17日). “Lazarus: North Korean hackers linked to Sony hack were behind cryptocurrency attacks in South Korea” (英語). International Business Times UK. http://www.ibtimes.co.uk/lazarus-north-korean-hackers-linked-sony-hack-were-behind-cryptocurrency-attacks-south-korea-1655467 2018年1月17日閲覧。 
  22. ^ Limitone, Julia (2018年1月17日). “Bitcoin, cryptocurrencies targeted by North Korean hackers, report reveals” (英語). Fox Business. http://www.foxbusiness.com/markets/2018/01/17/bitcoin-cryptocurrencies-targeted-by-north-korean-hackers-report-reveals.html 2018年1月17日閲覧。 
  23. ^ Ashford, Warwick (2018年1月17日). “North Korean hackers tied to cryptocurrency attacks in South Korea” (英語). Computer Weekly. http://www.computerweekly.com/news/450433324/North-Korean-hackers-tied-to-cryptocurrency-attacks-in-South-Korea 2018年1月17日閲覧。 
  24. ^ “South Korean crypto exchange files for bankruptcy after hack” (英語). The Straits Times. (2017年12月20日). http://www.straitstimes.com/asia/east-asia/south-korean-crypto-exchange-files-for-bankruptcy-after-hack 2018年1月17日閲覧。 
  25. ^ Bitcoin exchanges targeted by North Korean hackers, analysts say”. MSN Money (2017年12月21日). 2018年1月17日閲覧。

ソース[編集]

  • Virus News (2016). "Kaspersky Lab Helps to Disrupt the Activity of the Lazarus Group Responsible for Multiple Devastating Cyber-Attacks", Kaspersky Lab.
  • RBS (2014). "A Breakdown and Analysis of the December, 2014 Sony Hack". RiskBased Security.
  • Cameron, Dell (2016). "Security Researchers Say Mysterious 'Lazarus Group' Hacked Sony in 2014", The Daily Dot.
  • Zetter, Kim (2014). "Sony Got Hacked Hard: What We Know and Don't Know So Far", Wired.
  • Zetter, Kim (2016). "Sony Hackers Were Causing Mayhem Years Before They Hit The Company", Wired.

関連項目[編集]