.
マカフィーが確認!
.
.
北朝鮮は、米国や韓国との緊張関係が緩和する中でもサイバー攻撃の手を緩めていない。ここ数カ月は、「Sun Team」というハッカー集団らが脱北者をターゲットにした攻撃を活発化させている。
.
マカフィーによると、このハッカー集団はフェイスブック上でフィッシング攻撃を行なったり、Google PlayにAndroidマルウェアを公開していたという。北朝鮮のハッカーがGoogle Playのセキュリティを破って侵入するのは初めてのケースであり、彼らの技術力が向上している証だと言える。
.
Sun Teamは2018年1月、3種類の偽アプリをGoogle Playにアップロードした。2つは「Fast AppLock」と「AppLockFree」というセキュリティ関連アプリで、もう1つは奇妙にも食品成分に関する情報を提供するアプリだった。ハッカーらは、偽プロフィールを使って1月から3月にかけて脱北者関連のフェイスブックページにアプリのダウンロード用URLを投稿したという。韓国のチャットアプリ「カカオトーク(KakaoTalk)」でも同じ投稿が確認されている。
.
これらのアプリは既にGoogle Playから削除されているが、2カ月間に渡って配信され、これまでに100回程度ダウンロードされた。
ターゲットを限定しているだけに、このダウンロード数でも攻撃は成功したと言えるのかもしれない。本件についてグーグルにコメントを求めたが、回答を得ることはできなかった。
.
フォーブスが調査したところ、フェイスブック上にはSun Teamが設置した偽アカウントがまだ2つ残っていた。1つは、トム・クルーズの写真をプロフィール画像に使用していたが、後にアジア人エンジニアが運営するブログから盗んだ画像に変わった。
.
これらのアカウントを使い、韓国で64万人のフォロワーを獲得している人気フェイスブックページに食品成分に関するアプリへのリンクを投稿した形跡が見つかった。一方、セキュリティアプリに関する投稿は発見できなかった。
.
フェイスブックは、5月16日にマカフィーから連絡を受ける以前からこれらの投稿について把握しており、既に対策を講じてユーザーにも連絡しているという。
.
マカフィーのチーフ・サイエンティストであるRaj Samaniによると、ハッカーらはマルウェアに感染したAndroid端末から写真やテキストメッセージ、録音された通話などあらゆるデータを盗もうと試みたという。全てのデータはハッカーが管理するドロップボックスとロシアのYandexのアカウントにアップロードされ、マルウェアから感染した端末にコマンドを出すことも可能だという。
.
ドロップボックスとYandexには、過去にSun TeamがAndroid端末から盗んだデータも保管されていた。その時の攻撃では、フェイスブックとグーグルドライブを使ってマルウェアが拡散された。
.
マカフィーは犯人の特定を行っていないが、判明したハッカーのIPアドレスから北朝鮮の関与が疑われるという。また、GooglePlayに韓国語で記載されたアプリ説明文の内容が奇妙だったことも分かっている。
.
「攻撃の背後にいるハッカー集団の国籍を特定するには至っていないものの、得られた証拠から彼らが韓国人ではないが、韓国の文化や言語に馴染みがあることがわかる」とマカフィーはレポートの中で述べている。
.
フォーブスは1週間ほど前、北朝鮮とつながりのあるハッカー集団がiPhoneをターゲットにしたスパイウェアの開発を行っていると報じた。マカフィーは、2014年のソニー・ピクチャーズに対するサイバー攻撃への関連が疑われる北朝鮮系ハッカー集団「ラザルス(Lazarus Group)」がGoogle Playに公開されているアプリを複製し、サイバー攻撃の準備を行っていたことを突き止めている。
.
サイバー攻撃の成果はともかく、北朝鮮がスマートフォンへのサイバー攻撃を本格化させていることは間違いない。今月初めには北朝鮮が米朝首脳会談の中止を警告しており、再び緊張が高まるようであれば、サイバー攻撃がますます活発になることが予想される。
.