アサヒやアスクルにも共通…？北朝鮮系ハッカー「9時5時勤務」の実態と脅威の手口(3/3)

システム管理者も気づかない 高度化する侵入手法

　ここで今回暴露されたデータから、Kimskyの攻撃手法の全貌を詳しく見ていきたい。

　注目すべきは、彼らが開発・使用していた複数のバックドアツールだ。一度侵入に成功すると、プロセスやネットワーク接続、ファイルを隠蔽し、システム管理者からも発見されにくい状態を作り出す。

　フィッシング攻撃で使用されるツールも発見された。これは標的組織に似せた偽装Webサイトを簡単に構築できるもので、被害者が入力したログイン情報を盗み取る役目を果たす。興味深いのは、認証情報を入力した後、被害者を本物のWebサイトのエラーページにリダイレクトする点だ。これにより、被害者は「単にログインに失敗しただけ」と勘違いし、情報が盗まれたことに気づきにくくなる。

　さらに、韓国政府の電子認証システム（GPKI）の証明書を解読するためのJavaプログラムも開発されていた。このプログラムは辞書攻撃を使ってパスワードを総当たりで解読するもので、実際に「!jinhee1650!」「ssa9514515!!」といった職員のパスワードが解読されていた。韓国統一部の職員を狙った専用の辞書ファイルまで作成されており、「unikorea123$」「unikorea625!」といった組織特有のパスワードパターンも生成されていた。

　攻撃インフラも巧妙に構築されている。正規のドメインに酷似した「nid-security.com」や「websecuritynotices.com」といったドメインを取得し、SSL証明書を設定して本物らしく見せかけるという手口。さらに、セキュリティ企業やグーグルなどからのアクセスをブロックするIPブラックリストも実装されており、発見を困難にしていた。

　こうした巧妙な手口が日々開発されており、セキュリティ意識の高い組織でも被害を防ぐことが困難になっているのが現状だ。

いま企業が最低限行うべき対策例

　こうしたハッカーの手口を知れば、対策の糸口も見えてくる。極めて一般的な対応策だが、簡単に列挙しておこう。

対策1：添付ファイルを不用意に開かない
　まず、ソーシャルエンジニアリングへの警戒を強化することが挙げられる。DMMの事例では、LinkedInで採用担当者を装った攻撃者が、Pythonスクリプトを含む架空の採用試験を送りつけていたとされる。

　たとえ取引先や知人からのメッセージでも、添付ファイルやリンクを開く前に一呼吸置く習慣が重要だ。特に、実行ファイルやスクリプトファイルが含まれている場合は、送信者に電話で確認するなど、別の通信手段で真偽を確かめることを徹底したい。

対策2：多要素認証（MFA）の導入
　多要素認証（MFA）の導入と正しい運用も必須だ。暴露データによると、Kimskyは盗んだセッションクッキーを使ってシステムに侵入していた。しかし、適切に設定された多要素認証があれば、たとえパスワードやセッションが漏えいしても、追加の認証要素なしにはアクセスできない。

　ただし、SMS認証は避け、パスキーを使用することが推奨される。北朝鮮ハッカーはSIMスワップ攻撃も行うことが知られている。

対策3：セキュリティ研修
　定期的なセキュリティ研修も実施したいところ。研修では、実際のフィッシングメール例を使った演習が効果的と言えるだろう。暴露データに含まれていた「nid-security.com」のような巧妙な偽装ドメインを見分ける訓練や、正規のメールとフィッシングメールの違いを学ぶことで、「引っかからない眼」を養うことが重要となる。

対策4：ネットワーク監査
　内部ネットワークへの横展開を防ぐため、ネットワークセグメンテーションを強化する重要性も浮き彫りとなった。LG U+の事例では、多要素認証サービス企業を経由して内部ネットワークに侵入されていた。取引先や協力会社も含めた包括的なセキュリティ監査が不可欠となる。

対策5：予測可能なパスワードの使用禁止
　パスワード管理の見直しも進めるべきだろう。暴露データには「unikorea123$」「unikorea625!」といった組織特有のパスワードパターンを収集した辞書ファイルが含まれていた。予測可能なパスワードパターンを避け、パスワードマネージャーを使用してランダムで複雑なパスワードを生成・管理することが求められる。

　これらの対策は極めて基本的なものに過ぎない。しかし、ハッカーの手口を理解し、基本的な防御策を実践することで、被害リスクは大幅に減らすことが可能だ。従来から散々言われてきたことだが、サイバーセキュリティは、もはやIT部門だけの問題ではなく、全従業員が当事者意識を持って取り組むべき経営課題となっている。