セキュリティ企業のFireEyeは10月3日、北朝鮮政権が関与する集団が、世界中の銀行から多額の現金を盗み出している実態が明らかになったとして、手口などについて詳しく解説した調査報告書を公表した。

北朝鮮政府を後ろ盾とするハッキング集団としてはこれまでに、「Lazarus」などの集団について実態調査が進められているが、今回の集団は動機や手口などが明らかに他の集団とは異なるとFireEyeは説明し、この集団を「APT38」と命名した。ただし、攻撃に使うマルウェアには重複する部分や共通する特徴があることから、同じ開発者の関与や同じコードレポジトリの利用をうかがわせるとしている。

FireEyeによると、APT38は2014年以来、少なくとも11カ国で16以上の組織を標的としてきた。巧妙な手口を使って被害者のネットワークに侵入し、平均で155日間潜伏。明るみに出た事件だけでも、11億ドルを金融機関から盗もうとしたことが分かっている。

同集団は標的とする組織について詳しく調べ上げた上で、Apache Struts2の古いバージョンの脆弱性を突くなどの手口で、システム上でコードを実行。国際銀行間金融通信協会（SWIFT）の取引に使われるサーバにマルウェアを仕込んで、他行の口座に現金を不正送金していた。

現金を盗んだ後は、捜査を妨害する狙いで、マルウェアを使い被害者のネットワークを機能不全に陥れるという。

「APT38は今も活動を続け、世界の金融機関にとって危険な存在であり続けている」とFireEyeは指摘し、被害額は少なく見積もっても1億ドルに上ると推定している。

北朝鮮関連では米国土安全保障省なども10月2日、「HIDDEN COBRA」と呼ばれる一連の攻撃に関連して、アジアやアフリカの銀行でATMから多額の現金が引き出される事件が相次いでいるとして、注意を呼び掛けていた。

関連キーワード FireEye | 銀行 | 北朝鮮 | マルウェア | ハッキング

