韓国の国家情報院(NIS)は3月30日、セキュリティ勧告を発出し、国民にインターネットバンキングで使用する特定の認証ソフトウェアのアップデートを早急に行うように求めた。このパッチの開発は韓国当局が自ら企業に協力を求めて行ったという。国が特定企業のセキュリティパッチを開発するのは異例とも言えるが、背景にあるのはラザルスグループによる北朝鮮のサイバー攻撃だ。
2013年、2016年の攻撃で使われたIPアドレス
日本経済新聞のネット版2016(平成28)年6月13日付のソウル発の記事は「韓国、北朝鮮のサイバー攻撃、確認 文書4万2000件不正入手」との見出しで次のように伝えている。
韓国警察庁は13日、北朝鮮が今年2月に韓国の約160の大企業や官公庁などのコンピューターを管理する電算システムにサイバー攻撃を仕掛け、4万2千件余りの文書を不正に入手したことが確認されたと発表した。聯合ニュースによると、この中にはF15戦闘機の翼の設計図や無人偵察機の部品写真なども含まれている。今回の攻撃に使われたIPアドレス(ネット上の住所)は2013年3月に銀行や放送局で発生した大規模なサイバー攻撃の際と同様に平壌のものだったという。
2016年2月に韓国に対して行われたサイバー攻撃とはどのようなものだったのか? この年、北朝鮮は1月6日に4回目の核実験を行っているが、その後、韓国では青瓦台や政府機関、ポータルサイト管理者などを装った不審なメールが出回り、2016年3月11日付の聯合ニュースによると、韓国政府の外交・安全保障関係の要人300人余りのスマートフォンに対してハッキングが行われたほか鉄道交通管制システムや金融電算網の破壊が試みられたという。ちなみに同じ頃、バングラデシュの中央銀行では8100万米ドル(約90億円)がニューヨーク連邦準備銀行を介してフィリピンのリサール商業銀行に不正に送金されたバングラデシュ中央銀行不正送金事件が起きている。
韓国ではその3年前の2013(平成25)年3月20日には放送局や金融機関のコンピューターのサーバーが一斉にダウンする攻撃が発生しており、この時は約4万8000台のコンピューターに影響があったとされている。この攻撃について韓国政府は北朝鮮内部のIPアドレスが不正プログラムに感染した端末に遠隔操作で命令するためにアクセスした痕跡が発見されたとして北朝鮮によるサイバー攻撃と断定している。韓国当局によると、2012(平成24)年6月28日から6台以上の北朝鮮内部の端末から韓国の金融機関に1590回のアクセスがあり、不正プログラムを配布していたというのだ。この際、使われていたIPアドレスと同じIPアドレスが2016年2月のサイバー攻撃でも使われていたと韓国警察庁が明らかにしたことを聯合通信は報じている。
繰り返し狙われる金融サプライチェーン
2013年3月のサイバー攻撃では、攻撃の9カ月も前から北朝鮮内部から韓国の金融機関に1590回の不正アクセスをして不正プログラムを配布したということなのだが、2016年2月の攻撃では金融機関の2次協力企業が狙われたと中央日報は報じている。2016年3月11日付の 中央日報の記事によると、金融機関の1次協力企業のイニテック(INITECH)社に内部情報流出防止プログラム「Safe PC」を納品している2次協力企業のニックステック(NICS TECH)社が狙われたのだという。ソウルに本社を置くイニテックは暗号・認証ソリューションを手がけている企業で、金融サービスプロバイダー事業では電子金融取引ソリューションを提供する金融機関の1次協力企業。
北朝鮮はニックステックのSafe PCをハッキングしてイニテックのファイアウォールに侵入、コード署名証明書を窃取することに成功したという。しかし、韓国のセキュリティ・ソリューション・プロバイダのアンラボがそれに気づいて当局に通報したため、金融電算網のハッキングを遮断することができ、大規模な金融混乱には至らずに済んだ。
アンラボは昨年4月には「INITECHプロセスを悪用するラザルス攻撃グループの新種マルウェア」とのタイトルのブログ記事を公開している。それによると、2022年第1四半期に47の企業・組織が北朝鮮と関係するハッカーグループであるラザルスの新たなマルウェアに感染していることを確認したという。このマルウェアはSCSKAppLink.dllで、シマンテックも2022年4月14日のブログでこのマルウェアを指摘し、ラザルスは化学セクターを標的にしているとの見解を示している。
ラザルスの新たなマルウェアSCSKAppLink.dllとは?
アンラボによると、マルウェアSCSKAppLink.dllはイニテック(INITECH)社のセキュリティプログラムであるINISAFE CrossWeb EX V3の実行ファイルにインジェクションされて動作し、SCSKAppLink.dllがインジェクションされたINISAFE CrossWeb EX V3の実行ファイルはマルウェアの配布先にアクセスしてSCSKAppLink.dllをコピーして配布していたという。アンラボによると、INISAFE CrossWeb EX V3はインターネットバンキングに使用する電子金融および公共部門金融セキュリティ認証ソフトウェアで、企業だけでなく個人のPCでも使用するプログラムのため、多くのユーザーは自分のPCにINISAFE CrossWeb EX V3がインストールされているかどうか十分に認識していない。
INISAFE CrossWeb EX V3は韓国内外の機関、企業、個人PCなど1000万台以上で使われているといい、韓国の国家情報院(NIS)は今年1月に緊急対応に着手し悪意あるコードの動作原理などについて詳細を分析、イニテック社と協力してINISAFE CrossWeb EX V3のセキュリティパッチの開発を行ったという。そして今年3月30日に国民に向けたセキュリティ勧告を発出し、早急なセキュリティアップデートを呼びかけるに至っている。
アンラボの指摘からセキュリティアップデートが可能になるまで1年近くの時間を要しており、ラザルスの新たなマルウェアがどこまで浸透しているのか不明だ。韓国国家情報院は「北朝鮮は韓国で有名な金融セキュリティ認証会社のソフトウェアの脆弱性を悪用して国・公共機関や防衛・バイオメーカーなど国内外の主要機関、個人PCをハッキングした」とし、「金融セキュリティソフトウェアを悪用する北の組織的なハッキングの試みが増えている」と警戒を呼び掛けている。
■出典
https://www.nikkei.com/article/DGXLASGM13H8M_T10C16A6FF8000/?n_cid=TPRN0005
https://jp.yna.co.kr/view/AJP20160125001500882?section=search
https://jp.yna.co.kr/view/AJP20160311004200882?section=search
https://jp.yna.co.kr/view/AJP20130320003600882?section=search
https://jp.yna.co.kr/view/AJP20130410003100882?section=search
https://s.japanese.joins.com/JArticle/213115?sectcode=500&servcode=500
https://www.initech.com/html/index.html
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical
