• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

サイバー攻撃を読み解く

北朝鮮が韓国のATMをハッキング、高まるサイバー攻撃力

岩井 博樹=情報セキュリティ大学院大学 客員研究員 2017/11/21 ITpro

 2017年9月に韓国警察庁より興味深い報告書が公表されたのをご存知だろうかだろうか。報告書によれば、北朝鮮のサイバー攻撃グループが韓国国内のATM(現金自動預け払い機)をハッキングし、金銭を不正に引き出したという。

 北朝鮮のサイバー攻撃グループの関与が比較的早い段階で判明した。これは、攻撃手口は過去のケースと類似しているうえに、悪用されたマルウエア(悪意のあるソフトウエア)が2016年に使われたものと同一だったためだ。

 報告書では明示していないが、報告された手口やマルウエアから攻撃グループを推察すると、朝鮮労働党の配下とされる「Lazarus(ラザルス)」が思い浮かぶ。ラザルスは世界の大手金融機関でつくる国際銀行間通信協会(スイフト)の送金システムをハッキングしている。2016年2月にはバングラディシュ銀行(同国の中央銀行)を攻撃し、同行の米ニューヨーク連邦準備銀行の口座から約10億ドルを盗もうとし、うち8100万ドルを盗み出したとされている。

サイバー攻撃から不正引き出しまでの流れ

 本事案が被害をもたらしたのはサイバー攻撃と金融犯罪が組み合わさったからだ。

 サイバー攻撃面では、攻撃グループが韓国チョンホ社製のATMから金融取引情報を窃取したときの侵入経路が興味深い。報告書は侵入経路が複数あったとしており、その1つはウイルス対策ソフトに定義ファイルを配布するサーバーだという。

 ソフトウエアに正規の更新ファイルを配布するサーバー(更新サーバー)を悪用する攻撃は記憶に新しい。最近ではPC内の不要なファイルを削除するソフトである「CCleaner」において、何者かに更新サーバー上にあるバイナリファイルに悪性コードを挿入した。表沙汰になっていないが日本でも数社が被害を受けている。

 2014年には動画再生ソフト「GOM Player」の更新サーバーが侵害された。未発表の事案を含めると、更新サーバーを悪用した攻撃が複数ある。共通するのは攻撃が判明するまでに時間を要している点であり、このタイプの攻撃が防御側にとって厄介な手口であり続けていることが分かる。

 金融犯罪の面では、サイバー攻撃グループは入手した情報をある中国人に渡したという。この中国人は北朝鮮のサイバー攻撃グループと中国の金融犯罪グループの仲介役・調整役を務めている。この人物は偽造キャッシュカードを作成する仲間に情報を渡し、韓国の内外で金銭を不正に引き出すことに成功した。なお、「国外」には日本も含まれていることは興味を引く。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【極言暴論スペシャル!】

    「撤退」が3割、システム保守運用の仕事

     久しぶりに「極言暴論スペシャル」をお届けする。今回は、ユーザー企業のIT部門から丸投げされていたシステムの保守運用業務からITベンダーが撤退する動きにについて、読者アンケート調査結果について報告する。その結果は、多くのIT部門にとって背筋が凍るようなものとなった。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る