2017年9月に韓国警察庁より興味深い報告書が公表されたのをご存知だろうかだろうか。報告書によれば、北朝鮮のサイバー攻撃グループが韓国国内のATM(現金自動預け払い機)をハッキングし、金銭を不正に引き出したという。
北朝鮮のサイバー攻撃グループの関与が比較的早い段階で判明した。これは、攻撃手口は過去のケースと類似しているうえに、悪用されたマルウエア(悪意のあるソフトウエア)が2016年に使われたものと同一だったためだ。
報告書では明示していないが、報告された手口やマルウエアから攻撃グループを推察すると、朝鮮労働党の配下とされる「Lazarus(ラザルス)」が思い浮かぶ。ラザルスは世界の大手金融機関でつくる国際銀行間通信協会(スイフト)の送金システムをハッキングしている。2016年2月にはバングラディシュ銀行(同国の中央銀行)を攻撃し、同行の米ニューヨーク連邦準備銀行の口座から約10億ドルを盗もうとし、うち8100万ドルを盗み出したとされている。
サイバー攻撃から不正引き出しまでの流れ
本事案が被害をもたらしたのはサイバー攻撃と金融犯罪が組み合わさったからだ。
サイバー攻撃面では、攻撃グループが韓国チョンホ社製のATMから金融取引情報を窃取したときの侵入経路が興味深い。報告書は侵入経路が複数あったとしており、その1つはウイルス対策ソフトに定義ファイルを配布するサーバーだという。
ソフトウエアに正規の更新ファイルを配布するサーバー(更新サーバー)を悪用する攻撃は記憶に新しい。最近ではPC内の不要なファイルを削除するソフトである「CCleaner」において、何者かに更新サーバー上にあるバイナリファイルに悪性コードを挿入した。表沙汰になっていないが日本でも数社が被害を受けている。
2014年には動画再生ソフト「GOM Player」の更新サーバーが侵害された。未発表の事案を含めると、更新サーバーを悪用した攻撃が複数ある。共通するのは攻撃が判明するまでに時間を要している点であり、このタイプの攻撃が防御側にとって厄介な手口であり続けていることが分かる。
金融犯罪の面では、サイバー攻撃グループは入手した情報をある中国人に渡したという。この中国人は北朝鮮のサイバー攻撃グループと中国の金融犯罪グループの仲介役・調整役を務めている。この人物は偽造キャッシュカードを作成する仲間に情報を渡し、韓国の内外で金銭を不正に引き出すことに成功した。なお、「国外」には日本も含まれていることは興味を引く。
