北朝鮮のハッカー集団が数百億円もの現金を世界中の銀行から不正に引き出していたことが判明
by (stephan)
セキュリティ企業のFireEyeは2018年10月3日、「APT38」と呼ばれるハッキンググループが世界中の銀行へ不正にアクセスし、数百億円を盗んでいると発表しました。また、アメリカのセキュリティ関連組織であるUS-CERTは「Hidden Cobra」と呼ばれるハッキンググループが、アジアやアフリカの銀行を中心にATMをハッキングして数十億円もの現金を引き出していたと警告を発表しています。世界中から多額の現金を盗んでいた「APT38」「Hidden Cobra」の両グループとも、北朝鮮がバックについているといわれています。
APT38: Details on New North Korean Regime-Backed Threat Group « APT38: Details on New North Korean Regime-Backed Threat Group | FireEye Inc
https://www.fireeye.com/blog/threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html
HIDDEN COBRA – FASTCash Campaign | US-CERT
https://www.us-cert.gov/ncas/alerts/TA18-275A
Bank Servers Hacked to Trick ATMs into Spitting Out Millions in Cash
https://thehackernews.com/2018/10/bank-atm-hacking.html
11カ国・16以上の組織で構成されるとみられる「APT38」は2014年から活動を開始しているハッキンググループです。APT38は国際銀行間通信協会(SWIFT)が提供する銀行間決済インフラにマルウェアを仕込み、銀行から不正に多額の送金を行っていた、とFireEyeは報告しています。
例えば、2016年にバングラデシュ中央銀行のシステムからニューヨーク連邦中央銀行宛で不正に多額の送金が行われ、およそ90億円が盗まれるという事件が起きました。FireEyeは、このバングラデシュ中央銀行の不正送金事件はAPT38による犯行と断定。「APT38はこれまでに少なくとも11億ドル(約1250億円)を盗もうとしていて、私たちが把握しているだけでも数百億円を盗み出していると考えられます」とFireEyeはコメントしています。
また、FireEyeは、このAPT38は北朝鮮によるバックアップが行われていて、国家規模のハッキング集団であるとしています。北朝鮮が支援しているハッキンググループには、他にも「Hidden Cobra」あるいは「Lazarus Group」と呼ばれる集団が知られており、これらのグループは世界中の航空宇宙・金融・重要インフラ部門に対する攻撃を行っているといわれていました。2017年に全世界で大流行したランサムウェア「WannaCry」や、2014年にソニー・ピクチャーズがクラッキングを受けて全システムをダウンさせられたケースなどは、このHidden Cobraによる仕業だと指摘されています。
北朝鮮ハッカーがランサムウェア「WannaCry」作成とソニー・ピクチャーズへのハッキングに関与したとしてアメリカが訴追へ - GIGAZINE
FireEyeは、「APT38の動機や手口はHidden Cobraと明らかに異なり、完全に同一のグループとは言い切れない可能性がある」としながらも、ツールセット・戦術・接続方法などに共通点があることから、同じ開発メンバーが関与しているか同じレポジトリを利用している可能性が高いと指摘しています。
一方、US-CERTは2018年10月2日付けで、国土安全保障省(DHS)や連邦捜査局(FBI)との連名で、Hidden Cobraによるハッキングを「世界的脅威」として警告しています。US-CERTによると、Hidden Cobraは少なくとも過去2年間にわたり世界中の銀行のATMから数十億円を不正に引き出しているとのこと。
銀行のATMへ不正にアクセスするため、Hidden Cobraはまずセキュリティ対策が弱いアフリカやアジアの銀行を対象に、銀行内の「ペイメントスイッチアプリケーションサーバー」へWindowsベースのマルウェアを忍ばせます。ハッカーが銀行内部のサーバーにどうやってマルウェアを忍ばせたのかについては不明ですが、銀行の従業員に対してフィッシングメールを使用した標的型攻撃を行ったのではと推測されています。
ペイメントスイッチアプリケーションサーバーは、ATMや小売店のPOSから正しいPAN(口座番号)と支払い要請のメッセージを受けると、番号を基に利用限度額に応じた承認・否認を確認し、ATMやPOSに支払い命令を送信するという役割を担っています。Hidden Cobraは偽造の口座番号を使い、このペイメントスイッチアプリケーションサーバーを不正に操作することで現金を引き出していたとみられています。
北朝鮮が複数のハッキンググループを使って世界中の銀行から多額の現金を引き出している背景には、核ミサイル実験をめぐって受けている経済制裁があるとみられています。FireEyeは、北朝鮮がアメリカに対する融和路線を打ち出してもなお違法な送金は行われていると指摘し、APT38によるハッキング攻撃は今後も続くだろうと予測しています。
・関連記事
北朝鮮ハッカーがランサムウェア「WannaCry」作成とソニー・ピクチャーズへのハッキングに関与したとしてアメリカが訴追へ - GIGAZINE
ランサムウェア「WannaCry」を拡散させた攻撃ツール「EternalBlue」は順調に拡散している - GIGAZINE
北朝鮮の関与が疑われるハッカー集団が世界中のインフラや企業をハッキングする「Operation GhostSecret」の存在が明らかに - GIGAZINE
北朝鮮がソニー・ピクチャーズをハッキングしたのではないかと報じられる - GIGAZINE
金正恩氏が専用トイレを持参で米朝首脳会談に臨んだとして話題に - GIGAZINE
強まる制裁に対抗する北朝鮮の命綱は仮想通貨Bitcoinなのか? - GIGAZINE
・関連コンテンツ