北朝鮮が背後にいるとみられるハッカー組織が、AndroidスマートフォンやPCを遠隔操作し、写真、文書、連絡先などの主要データをすべて削除する「破壊型サイバー攻撃」を行った形跡が初めて確認された。
10日、情報セキュリティ企業『Geniansセキュリティセンター』の脅威分析報告書によると、今回の攻撃は単なる個人情報の窃取を超え、現実世界に直接的な被害を与えた初のケースとして分析されている。
報告書によれば、9月5日、ハッカーは韓国内のある心理カウンセラーのスマートフォンを遠隔で初期化した後、奪取したカカオトークのアカウントを利用し、「ストレス解消プログラム」と偽った悪性ファイルを知人に多数送信した。10日後の9月15日には、ある北朝鮮人権活動家のAndroidスマートフォンが同じ手口で初期化され、ハッカーが掌握したカカオトークのアカウントを通じて悪性ファイルが同時に拡散された。
このように信頼関係を悪用したカカオトーク基盤の悪性コード配布は、北朝鮮のハッキング組織がよく使う社会工学的手法だが、今回は以前にはなかった攻撃方法が追加で確認された。
ハッカーは被害者のスマートフォンやPCなどに侵入し、長期間潜伏しながらGoogleアカウントと主要な韓国内ITサービスアカウント情報を抜き取った。その後、被害者が外部にいるタイミングをGoogle位置情報機能で確認した後、Google「デバイスハブ」機能を利用してスマートフォンを遠隔初期化した。同時に、自宅やオフィスに残っていた感染済みのPCやタブレットを通じ、「ストレス解消プログラム」に偽装した悪性コードを再び拡散した。
この過程で、被害者のスマートフォンは通話、メッセージ、プッシュ通知がすべて遮断された「文鎮化」状態となり、知人が異常を察知しても連絡が取れず、被害の拡大を防ぐことができなかった。
またハッカーは、被害者のスマートフォン、タブレット、PCから写真、文書、連絡先などの主要データを削除したとみられる。感染した一部の機器ではウェブカメラやマイクの制御機能が発見され、ハッカーが被害者の位置や活動をリアルタイムで監視していた可能性も指摘されている。
『Genians』は報告書で「端末無力化とアカウント基盤の伝播を組み合わせた攻撃は、既存の国家背後のインテリジェント持続的脅威(APT)攻撃シナリオには前例がない」とし、「攻撃の戦術的成熟度と検知回避戦略の高度化を証明する」と指摘した。
続けて「Googleアカウントのパスワード定期変更、ログイン2段階認証の適用、ブラウザパスワード自動保存禁止、PC未使用時の電源オフなど、個人のセキュリティルールを必ず守るべきである」と強調した。
これに先立ち、京畿(キョンギ)南部警察庁安保サイバー捜査課は、北朝鮮人権活動家ハッキング事件を捜査中であり、使用された悪性コードの構造が既存の北朝鮮ハッキング組織が使用していたものと類似している点を確認したと明らかにした。
コメント0