AJ Vicens

[３１日 ロイター] - 米アルファベット傘下のグーグルは３１日、北朝鮮と関係するハッカー集団が、汎用性が高いが「裏方的」な特徴を持つソフトウエアに、ログイン情報を盗む目的で不正侵入していたと明らかにした。

標的にされたのは、アプリやウェブサービス間の通信を担う「Ａｘｉｏｓ（アクシオス）」と呼ばれるソフトウエア。グーグルと独立系のサイバーセキュリティー研究者によると、ハッカーは３１日に配布されたアクシオスの更新版に自分たちのマルウエアを仕込んでいたことが、不正侵入発覚後に判明した。

セキュリティー企業センティネルワンのトム・ヘーゲル上級研究員は「ウェブサイトを読み込む、あるいは銀行口座の残高を確認する、スマートフォンでアプリを開くといった際にはいつも、裏側でアクシオスが作業を支えている可能性が十分にある」と解説した。

このマルウエアは既に削除されているが、コンピューター内のデータやアクセス認証情報などをハッカーが入手し、それを足掛かりにしてさらなるデータ窃取や別の攻撃を行う恐れがあった。

アクシオスは特定企業が所有する商用製品ではなく、オープンソース形式だ。コードは公開ライセンスの下で自由に利用・改変できる。

サイバーセキュリティーの研究者らは、今回の不正侵入についてサプライチェーン攻撃と説明しており、ハッキングによって下流にある利用者や組織への攻撃が可能になると警鐘を鳴らしている。

ヘーゲル氏は「何かをクリックしたり、利用者がミスをしたりするのではなく、既に信頼して使っているソフト自体が攻撃を代行してしまう」と指摘した。

グーグルは、この不正侵入は同社が「ＵＮＣ１０６９」として追跡している集団によるものだと結論付けた。

該当する集団は少なくとも２０１８年以降から活動し、暗号資産（仮想通貨）や金融業界を主な標的としてきたことで知られる。

グーグルの脅威インテリジェンス部門主任アナリストを務めるジョン・ハルトクイスト氏は「北朝鮮のハッカーはサプライチェーン攻撃に関して非常に豊富な経験を有し、主として暗号資産を盗む目的でこれらの手法を用いてきた」と述べた。