北朝鮮とつながりを持ち、多数の犯罪に関与してきたサイバー犯罪集団が暗号通貨に関わる企業の従業員を標的にしている。
これらのスピアフィッシング攻撃は、北朝鮮と関連があるとされるハッカー集団Lazarus Groupの仕業と考えられている。この集団は、ランサムウェア「WannaCry」の拡散や、バングラデシュ中央銀行から8100万ドル(約91億円)が盗み出された事件、さらに2014年に起きたソニー・ピクチャーズ エンタテインメントへの攻撃など、これまでに起きた複数の大規模サイバー攻撃にも関与しているとされてきた。
Secureworksによって発見された今回の攻撃では、欧州に拠点を置く暗号通貨企業における最高財務責任者(CFO)の求人情報を装ったフィッシングメールが使われており、暗号通貨に関わる企業の財務担当幹部を標的としている。その目的がビットコインを盗むことであることを、研究者は示唆している。
研究者によると、北朝鮮は少なくとも2013年からビットコインに積極的な関心を示しており、北朝鮮のIPアドレスに紐づく複数のユーザー名がビットコインの研究に関わっていることが明らかになっているという。
この攻撃に使われたマルウェアやC&Cサーバとの通信方法にThe Lazarus Groupによる過去の攻撃と共通する要素があることから、リサーチチームであるSecureWorks Counter Threat Unitは、このマルウェアがLazarusと北朝鮮の仕業であると「高い確度」で判断した。
The Lazarus Groupがビットコインを盗むため、暗号通貨企業を直接標的にする手法に関心を移したことは、同集団の戦術が変わったことを示していると、SecureworksのシニアセキュリティリサーチャーであるRafe Pilling氏は米ZDNetに語った。
研究者は今回のキャンペーンの規模を今も調査中だ。このフィッシングメールは2016年から配信されており、最近では2017年10月25日頃に配信されたとみられる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス