韓国の通信社KT(京畿道城南市)を偽装したフィッシングメールが出回っているとの報道がなされている。報道によると、フィッシングメールは北朝鮮のハッカー、キムスキー(Kimsuky)が行っているとみられ、発信者は「KT利用料金明細書(edoc-file@biglobe.ne.jp)」だという。biglobe.ne.jpのドメインを運用しているビッグローブ(東京都品川区)はこのアドレスについて「存在していないアドレス」だとしている。
この問題は、米政府系メディアのrfaが報じたもので、朝鮮日報など韓国の主要メディアもrfaが報じた内容をそのまま伝えている。報道によると、このメールは「[KT利用料金明細書]会員様に届いた電子文書を確認してください」とのタイトルで送信されており、メールにある6月明細のチェックボックスをクリックするとネイバーのIDとパスワードを記入する偽装ウィンドウが開いてネイバーのIDとパスワードを窃取しようとするもの。韓国の大手ポータルサイトのネイバーでKTの利用明細を確認することができることを悪用したフィッシングメールとみられる。
報道によるとKTはこのようなメールを送信しておらず無関係であるとしていて、サイバーセキュリティの専門家は北朝鮮の典型的なフィッシングメールだとし、北朝鮮のハッカー、キムスキーの仕業だと分析しているという。報道によると、このフィッシングメールの発信者は「KT利用料金明細書(edoc-file@biglobe.ne.jp)」になっているという。
biglobe.ne.jpは株式会社ビッグローブが運用しているメールのドメインであることから同社に確認したところ、edoc-file@biglobe.ne.jpというメールアドレスは「過去から現在に至るまで存在していない」との回答を寄せた。ビッグローブは「当社の関与はなく、なぜ当社のドメインがメールアドレスで使われたかは不明」としつつ、一般にメールヘッダのfrom情報の詐称は可能であることからフィッシングメールの送信者が from アドレスを偽装したのではないかとしている。ちなみにユーザー名のedoc-fileはデジタル署名されたドキュメントであるEDOCファイルをユーザー名にしているものとみられる。
ネイバーのKT利用料金明細確認を悪用した韓国ユーザーを狙ったとみられるフィッシングメールにおいて、なぜ日本の大手プロバイダーのドメインが発信者アドレスとして記載されていたのか理由は定かでないが、韓国の情報機関、国家情報院によると過去3年間において行われた北朝鮮からのサイバー攻撃の74%は電子メールを悪用したハッキングだったということなので、北朝鮮ハッカーがあの手この手でフィッシングメールを送信している実態があるのは事実のようだ。
キムスキーはサイバー諜報活動を主体とした北朝鮮に紐づいているハッカーグループで、北朝鮮の国益のためのサイバー諜報活動を韓国やアメリカ、日本などで行っているとみられている。今年6月、アメリカと韓国は共同でセキュリティ勧告を発出し、北朝鮮がソーシャルエンジニアリングを駆使したサイバー攻撃を展開していることに注意を促すとともに、韓国政府はキムスキーを外交や安全保障にかかる機密情報や先端技術の機微情報を窃取してきたとして制裁対象に指定している。
■出典
https://www.rfa.org/korean/in_focus/food_international_org/hacking-06282023062441.html
https://m.blog.naver.com/nv_account/222180924872
https://news.yahoo.co.jp/articles/3ccd6e8ca8f85c259d84e4a3cacf3ee808036a64
https://www.mofa.go.kr/www/brd/m_4080/view.do?seq=373737&page=1
