アサヒやアスクルにも共通…？北朝鮮系ハッカー「9時5時勤務」の実態と脅威の手口(2/3)

なりすましの巧妙さ 見分けがつかない偽装ドメインの罠

　北朝鮮ハッカー集団の標的は、政府機関や軍事施設だけではない。Phrackの記事によると、韓国の主要企業も執拗に狙われており、その手口は年々巧妙化している。

　特に注目すべきは、韓国最大手のIT企業Naverへの執拗な攻撃だ。Naverは検索エンジン、決済サービス「Naver Pay」、地図サービスなど、韓国国民の生活インフラを提供する巨大企業。暴露データによれば、Kimskyは「nid.navermails.com」という偽装ドメインを使用してフィッシング攻撃を仕掛けていた。

　このドメイン名は、Naverの正規ログインページ「nid.naver.com」に酷似しており、一見しただけでは見分けがつかない。2024年には、Naverのログインページを標的にした悪意あるChrome拡張機能「TRANSLATEXT」も発見されている。この拡張機能は、ユーザーがnid.naver.comにアクセスすると自動的にJavaScriptを挿入し、入力されたログイン情報を盗み取るというもの。

　さらに深刻なのは、Kimskyが韓国の通信大手LG U+（LGU）の内部システムにも侵入していたことだ。暴露データには「SECUREKI」という多要素認証サービス企業を経由してLGUの内部ネットワークに侵入した形跡が含まれていた。まずSECUREKIをハッキングし、そこを踏み台にしてLGUへ横展開したと推測される。

　また、韓国最大手通信会社KTのリモートコントロールサービス「rc.kt.co.kr」の証明書と秘密鍵も発見された。これは通信インフラそのものが標的になっていることを示す重大な証拠であり、日本の通信インフラ防衛強化の重要性を示唆するものでもある。

日本企業でも相次ぐ被害、巧妙を極める手口の「共通点」

　今回Phrackの記事では、主に韓国企業へのサイバー攻撃の痕跡が暴露されたが、これらの事実は日本企業にとっても無視できないものだ。すでに実害が出ているからだ。

　北朝鮮ハッカーグループによる直接の被害例では、2024年5月に発生した暗号資産取引所DMMへのハッキング事件は記憶に新しい。この攻撃は北朝鮮のハッカーグループ「TraderTraitor」が実行したとされるもので、約4500ビットコインが盗まれた。

　手口は巧妙を極めた。まず標的となったのは、DMMと取引のあった暗号資産ウォレット企業Gincoの従業員。ビジネスプラットフォームLinkedInで採用担当者を装い、架空の採用試験と称してPythonスクリプトを送りつけた。被害者がこのコードを個人のGitHubページにコピーしたことで、ハッカーはセッションクッキー情報を盗み出し、Gincoの通信システムへのアクセスを獲得。その後、DMMの従業員による正規の取引リクエストに割り込み、巨額の暗号資産を盗み出したという。

　そして2025年10月、アサヒHDがランサムウェア（身代金要求型ウイルス）攻撃を受け、基幹商品の出荷が停止する事態に発展。さらに通販大手アスクルも同様の攻撃で法人向け・個人向けサービスが停止し、その影響は、物流を委託していた無印良品やロフトにまで及んでいる。

　アサヒHDの被害はロシアのハッカーグループ「Kirin（キリン）」によるものとされ、こうした被害と北朝鮮ハッカーグループとの直接的な関係性はないが、これらの攻撃に共通する可能性が高いのは、単純な技術的侵入ではなく、長期間にわたって執拗に攻撃を繰り返すうえで、信頼できる組織やサービスを装う手法が用いられていることだ。

　生成AIを用いた自然な日本語を用いて、正規のドメインに酷似したURLの使用、ビジネスSNSの悪用、取引先企業を経由した侵入など、日常的なビジネスコミュニケーションに紛れ込む形で攻撃が実行されている。 【次ページ】システム管理者も気づかない 高度化する侵入手法