北朝鮮政府のマルウェア7つをアメリカのサイバー司令部が正式公開

アメリカ国防総省傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が2020年2月14日に、連邦捜査局(FBI)と共同で「北朝鮮政府が使用するマルウェア」として、7種のマルウェアを特定したと発表しました。

North Korean Malicious Cyber Activity | CISA
https://www.us-cert.gov/northkorea

US government goes all in to expose new malware used by North Korean hackers | Ars Technica
https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/

Pentagon, FBI, DHS to jointly expose a North Korean hacking effort - CyberScoop
https://www.cyberscoop.com/hidden-cobra-malware-north-korea-fbi-dhs-dod-virus-total/

アメリカサイバー軍(USCYBERCOM)はTwitterで、「北朝鮮政府に帰属するマルウェアがFBIによって公開されました。このマルウェアは、北朝鮮のサイバー犯罪者がフィッシング詐欺やリモートアクセスを介して違法行為を行い、金銭の窃取や北朝鮮への制裁の回避をする目的で使われています」と投稿しました。

アメリカ当局が今回発表したマルウェアは、北朝鮮政府によるネットワーク攻撃を秘匿するHOPLIGHTなどを含む7種類のトロイの木馬型マルウェアで、CISAのサイト上で詳細な挙動やハッシュ値が公開されているほか、Google傘下のマルウェア研究プラットフォームVirusTotalにもアップロードされ、検証が行われているとのことです。

CISAは「アメリカ政府は、北朝鮮政府による悪意あるサイバー活動を『HIDDEN COBRA』と呼んでいます」と述べて、今回特定したマルウェアやそれを使った犯罪行為が、北朝鮮政府によるものであることを明示しました。「HIDDEN COBRA」は別名Lazarus Groupとも呼ばれており、2014年にソニー・ピクチャーズが映画「ザ・インタビュー」を公開した際に行われたサイバー犯罪や脅迫などに関与したと見られています。

北朝鮮がソニー・ピクチャーズをハッキングしたのではないかと報じられる - GIGAZINE

また、2017年ごろから世界的に猛威を振るっているランサムウェア「WannaCry」も、「HIDDEN COBRA」のメンバーが作成したものとされています。

北朝鮮ハッカーがランサムウェア「WannaCry」作成とソニー・ピクチャーズへのハッキングに関与したとしてアメリカが訴追へ - GIGAZINE

セキュリティ企業Kasperskyで調査チームを率いているCostin Raiu氏は、今回特定されたマルウェアと「モスクワに拠点を置くセキュリティ会社が別件で発見したLazarus Groupのマルウェア」との類似性を指摘する画像をTwitterで公開しており、北朝鮮政府が関与するサイバー犯罪がさらに広範なものであることを示唆しています。

IT系ニュースサイトのCyberScoopは「国防総省のサイバー司令部が北朝鮮のハッキング活動を名指しで公開するのは、これが初めてです」と指摘。ニュースサイトのArs Technicaも、「アメリカ政府は、長年にわたり特定の国の政府とハッキング活動を結び付けることに慎重な姿勢を取ってきましたが、2014年にFBIが『ソニー・ピクチャーズを攻撃したのは北朝鮮政府である』と発表したのを契機に、方針を変えつつあります」と述べて、今回の発表は北朝鮮政府によるサイバー犯罪を積極的に公にしていく動きの一環だとの見方を示しました。