Kaspersky Lab、2016年の韓国軍への不正アクセスと2017年のATM不正引き出しの関連を発見

～サイバー犯罪グループ「Lazarus」の手口との類似性も示唆～

[本リリースは、2017年7月10日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのグローバル調査分析チーム（GReAT）^※1 のリサーチャーは、2016年の韓国軍に対する不正アクセスと、ATM 60台をマルウェアに感染させ約2,500枚のクレジットカードの情報を窃取した攻撃との関連を発見しました。詳細なマルウェア解析の結果、これらの攻撃で使用された悪意あるコードや技術が、世界中の企業や政府機関を標的とする破壊攻撃で悪名高い「Lazarus」グループの手口と共通点が多いことも判明しました。

2016年8月、韓国国防部が不正アクセスを受け、約3,000台のコンピューターがマルウェアに感染しました。国防部は、2016年12月にこのインシデントを公表（韓国語記事）し、一部の機密情報が流出した可能性があることを認めました。

不正アクセスから6か月後、韓国国内のあるベンダーが管理するATM 60台以上がマルウェアに感染しました。韓国金融監督院によると、クレジットカード約2,500枚の情報が盗まれ、台湾でそれらの銀行口座から2,500ドル相当が不正に引き出されました。Kaspersky Labの調査・分析の結果、ATMの感染に使用されたマルウェアの悪意あるコードが、2016年8月に韓国国防部への不正アクセスに使用されたコードと同じであることが判明しました。

さらに、この2つの攻撃とそれ以前に起きたハッキング事件との関連性を調査したところ、サイバー犯罪グループLazarusが関与したとされる「DarkSeoul」などとの類似点が判明しました。例えば、復号ルーチンや難読化技術が同じ、指令サーバーのインフラが重複、使用コードの類似などが挙げられます。

Lazarus は現在も活動を続けるサイバー犯罪グループで、2014年のソニー・ピクチャーズ エンタテインメントへのハッキングや、2016年のバングラデシュ中央銀行を標的とした8,100万ドルの窃取など、世界各地で多数の大規模な破壊的サイバー攻撃に関与していると考えられています。

GReATのシニアセキュリティリサーチャー パク・ソンス（Seongsu Park）は次のように述べています。「韓国軍への攻撃とATMへの攻撃は、いずれも規模も被害も小さいものでしたが、間違いなく憂慮すべき傾向を示しています。韓国は、少なくとも2013年以降、サイバースパイ攻撃の標的になっていますが、金銭だけを狙ったATMへの攻撃は初めてです。私たちが発見した関連性が正しければ、これはLazarusが相当数の悪意ある武器の矛先を、不当な利益獲得に変えたことを示す新たな例と考えられます。銀行をはじめ金融機関は、手遅れになる前に防御をしっかりと固める必要があります」

※1 Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。