2021年にソウル大学病院でハッキング、患者ら83万人分の個人情報盗まれる

韓国警察庁(KNPA)の国家捜査本部サイバー捜査局はこのほど、2021年に国立ソウル大学病院(NSUH)で患者や職員ら約83万人分の個人情報が盗まれるハッキング事件があったことを明らかにするとともに、ハッキングを行ったのは北朝鮮の組織と発表した。

キムスキーか?  韓国当局が北朝鮮組織と断定

韓国警察庁によると、このハッキングは2021年5月から6月にかけて行われ、韓国内外の7つのサーバーに攻撃基盤を築き、ソウル大学病院のシステムの脆弱性を悪用して患者81万人と元職を含む病院職員など計83万人分の個人情報が窃取されたという。韓国当局はこれまでの捜査で、①攻撃時の侵入テクニック②北朝鮮に関係している攻撃者に関連づけられているIPアドレスの使用③ウェブサイトの登録詳細④北朝鮮の語彙か使用されている―ことなどから北朝鮮と関係するグループによるハッキングと断定、「国家の背後にある組織的なサイバー攻撃に対し、治安能力を総動員して積極的に対応する。同時に関係機関との情報共有、協力によりさらなる被害を防止し韓国のサイバー安保をしっかりと守る」などと表明している。

ソウル大学病院ハッキング事件の概要=韓国警察庁作成

韓国当局はソウル大学病院を攻撃したグループの具体的な名前を明らかにしていないが、メディアなどではキムスキー(Kimsuky)による犯行との見方がなされている。キムスキーとはどのようなグループなのだろうか? アメリカのサイバーセキュリティ企業、マンディアントはこのグループをAPT43として追跡しており、少なくとも2018年から活動しているサイバー諜報活動を主体としている中程度に洗練された技術力を持っているグループだとしている。朝鮮労働党の既存の情報組織である作戦部と35号室、朝鮮人民軍の偵察局が合併して2009年に誕生した北朝鮮の最高情報機関である偵察総局(RGB)に紐づいているハッカーグループだという。

医療分野や製薬会社を標的の対象に

攻撃の主眼はサイバー諜報活動にあり、北朝鮮の国益と合致する情報の収集を行い、2020年10月以前は韓国とアメリカの政府機関や外交機関、シンクタンクを標的としていたが、2020年10月から2021年10月にかけて標的に変化がみられ、医療関連分野や製薬会社を対象にするようになり、韓国やアメリカのほか日本やヨーロッパに対しても攻撃を行うようになったという。こうした活動の変化についてマンディアントは「北朝鮮における新型コロナウィルス感染症への対応支援のため」と指摘している。今回、韓国当局が明らかにしたソウル大学病院へのハッキングも2021年5月から6月にかけてのことであり、攻撃者はキムスキーとのメディア報道は、この時期、キムスキーが医療関係機関のサイバー諜報活動を行っていたとするマンディアントの見解と一致する。

APT43の標的になっている国=MANDIANT「脅威インテリジェンスレポート」より
 

マンディアントによると、APT43はサイバー諜報活動を主眼としつつ、金銭目的のサイバー犯罪も行っているグループだという。ただし、サイバー犯罪によって窃取している金額の程度から北朝鮮に資金を納めるためではなく、自らの活動資金や利益のための活動との見方をしている。またAPT43の攻撃手法はソーシャル・エンジニアリングを駆使したもので、ゼロティ脆弱性を悪用したケースはこれまで見られないという。

マルウェアの偵察機能、さらに拡張

キムスキーは機密情報を収集するために設計されたMicrosoft Visual Basic (VB) スクリプトベースのマルウェア、BabySharkを使うことが広く知られているが、アメリカのサイバーセキュリティ企業、センチネルワンの研究部門、SentinelLABSによると、最近はBabySharkの機能をさらに拡張させたマルウェアが使われており、スピアフィッシングメール、ドキュメントのダウンロードにつながるOneDriveリンク、悪意のあるマクロの実行を通じてターゲットを絞った特定の個人に配信されているという。SentinelLABSはBabySharkを拡張させた偵察機能を備えたこのマルウェアをReconSharkと呼んでいる。

今年3月に起きた3CX DesktopAppソフトウェアのサプライチェーン攻撃についても北朝鮮に関連するグループによる攻撃との見方がされている。マンディアントによると、3CXのネットワークへの初期侵入の手口はTrading Technologiesのウェブサイトからダウンロードされた悪意のあるソフトウェアによるもので、ソフトウェアサプライチェーン攻撃が、別のソフトウェアサプライチェーン攻撃に展開した事例だという。マンディアントではこの脅威をUNC4736として追跡しているが、UNC4736はAPT43の活動の疑いがあるUNC3782、UNC4469との重複があるという。つまり3CXへのサプライチェーン攻撃もキムスキーによる攻撃の可能性があるということのようだ。

■出典

https://www.paloaltonetworks.jp/company/in-the-news/2019/new-babyshark-malware-targets-u-s-national-security-think-tanks

https://www.sentinelone.com/labs/kimsuky-evolves-reconnaissance-capabilities-in-new-global-campaign/

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください