ラザルスグループ

ラザルスグループ（Lazarus Group、HIDDEN COBRAとしても知られる）^[1] は未知数の個人で構成されたサイバー犯罪グループ。ラザルスグループに関してはあまり知られてはいないが

ラザルスグループ

나사로 그룹
設立	2009年頃
種類	APT
目的	サイバースパイ、サイバー戦争
貢献地域	朝鮮民主主義人民共和国 平壌直轄市 普通江区域
組織的方法	ゼロデイ攻撃、スピアフィッシング、マルウェア、偽情報, バックドア、Dropper
公用語	朝鮮語
上部組織	朝鮮人民軍偵察総局 朝鮮コンピューターセンター
加盟	121局、180局、Ariel
かつての呼び名	APT38 Gods Apostles Gods Disciples Guardians of Peace ZINC Whois Team Hidden Cobra

、研究者達^[誰?]は過去10年間の多くのサイバー攻撃は彼らが原因だとしている。

歴史

2009年から2012年にわたって行われた「トロイ作戦(Operation Troy)」が彼らのもっとも初期の攻撃として知られている^{[誰によって?]}。これはソウルの韓国政府をターゲットとする単純な分散型サービス拒否攻撃（DDoS）技術を用いたサイバースパイ作戦だった。2011年と2013年の攻撃も彼らが原因であるとされている。韓国を標的にした2007年の攻撃の背後にいる可能性があるが、不確実のままである^[2] 。ラザルスが行ったとされる著名な攻撃としては2014年のソニー・ピクチャーズへの攻撃が知られている。ソニーへの攻撃ではより洗練されたテクニックを用いており、時間の経過とともにグループがどのように高度化したかが浮き彫りとなった。ラザルスグループはエクアドルの「Banco del Austro」から1200万ドル、2015年にベトナムの「Tien Phong Bank」から100万ドルを盗んだと報じられた^[3] 。彼らはまたポーランドとメキシコの銀行を標的にした^[4] 。2016年の銀行強盗^[5] での8100万ドルを盗むのに成功したバングラデシュ銀行への攻撃はこのグループによるものとされた。2017年にラザルスグループは台湾の遠東国際商業銀行から6000万ドルを盗んだと報じられたが、実際の盗難額は不明であり、盗難資金の大半は回収された^[4]。

グループの黒幕が本当は誰なのかは明確ではないが、メディア報道ではグループが北朝鮮とつながりがあると示唆している^{[6] [7][4]}。カスペルスキーは2017年にラザルスはスパイ活動とサイバー侵入攻撃に集中する傾向がある一方で、ラザルス内の小グループ(カスペルスキーはBluenoroffと呼んでいる)は金融機関へのサイバー攻撃に特化していると報告した。カスペルスキーは世界規模の複数の攻撃とBluenoroffと北朝鮮間の直接リンク(IPアドレス)を発見した^[8]

しかしながら、カスペルスキーはまた世界規模のWannaCryワームサイバー攻撃はNSAの技術もコピーしているという点を踏まえると、コードの繰り返しは捜査員をミスリードさせ、北朝鮮に攻撃の罪を着せようと意図された「偽旗」である可能性も認めている。^[要出典]このランサムウェアはハッカーグループ「シャドウ・ブローカーズ(Shadow Brokers)」が2017年4月に公開した「エターナル・ブルー(EternalBlue)」として知られるNSAのハッキングツールを活用したものであった^[9]。シマンテックは2017年にWannaCry攻撃の背後にラザルスがいる「可能性が高い」と報告した^[10]

米国のセキュリティ企業によると世界中の30万台以上のコンピュータに影響を与えたWannaCryマルウェアは中国南部、香港、台湾またはシンガポールのハッカーによって作成された可能性が高いとされた^[11] 。マイクロソフト社長はWannaCry攻撃は北朝鮮によるものとした^[12]

2023年8月、ロイター通信は北朝鮮のハッカー集団「ラザルス」と「スカークラフト」が2021年後半ごろからロシアのロケット設計企業NPOマシノストロイェニヤのシステムにバックドアをインストールしており、2022年5月に検知されるまでその状況が続いていたと報じ、友好国も標的にすることが示されたとする専門家の指摘も伝えている^[13]。

主なサイバー攻撃

ブロックバスター作戦

Novettaを中心とした複数のセキュリティ企業^[14][15] が、ラザルスグループのものとされるマルウェアの検体を分析することで犯行に用いられた手法を文書化した。これによって複数の攻撃で共通したコードが発見された^[16]。

火炎作戦

ラザルスグループが原因の可能性がある最も早期の攻撃が2007年に起こった。この攻撃は「火炎作戦(Operation Flame)」と名付けられ、韓国政府に対して第一世代のマルウェアを用いていた。一部研究者}}^[誰?]によれば、この攻撃に存在する活動は、「Operation 1Mission」「トロイ作戦」および2013年のDarkSeoul攻撃などの後の攻撃と関連付けることができるとされた。次の事件は2009年7月4日起こり、「トロイ作戦」の始まりを引き起こした。この攻撃では、MydoomとDozerのマルウェアを利用して、米国と韓国のウェブサイトに対する大規模ではあるが、かなり単純なDDoS攻撃を開始した。大量の攻撃が約3ダースのウェブサイトに行われ、マスターブートレコード(MBR)に「独立記念日の記憶(Memory of Independence Day)」の文章が埋め込まれた

10日間の雨

2011年3月には韓国のメディア、金融、インフラを標的にしたDDoS攻撃が行われた。DarkSeoulによる攻撃は、韓国の３つの放送局、金融機関、ISPを標的にし2013年3月20日まで続いた^[17]。当初「NewRomanic Cyber Army Team」と「WhoIs Team」の２つの組織が犯行声明を発表したが、現在^[いつ?]においては研究者達^[誰?]はラザルスグループに関わるものだとした。

ソニー侵害

2014年11月24日に「平和の守護者(Guardians of Peace、GOP)」と名乗る集団がソニー・ピクチャーズの社内向け資料や社員の個人情報を流出させた(出典)。

暗号通貨攻撃

Recorded Future社が2018年、主に韓国のビットコインとモネロの利用者に対する攻撃を同グループへ関連付けることができると報告した^[18] 。これらはWannaCryによる被害やソニー・ピクチャーズの侵害に類似しており、韓国のワープロソフト「ハンコム」に存在した^[いつ?]ハングルにまつわる脆弱性も悪用された^[19]。また韓国の学生やCoinlinkの利用者にスピアフィッシングを仕掛ける^[20]など、同報告書で「この2017年後半の作戦は現在マイニング、ランサムウェア、明白な窃盗を含む幅広い分野の活動を網羅する暗号通貨への北朝鮮の関心の継続」と結論付けられた活動も見られる。同報告書はまた、これらは国際的な金融制裁への対処だと述べた^[21]。

他の戦術としてはマルウェアを含んだスピアフィッシングの餌が韓国の学生やCoinlinkのような暗号通貨取引所のユーザーに送付された。仮にユーザーがマルウェアを開いた場合、Ｅメールアドレスとパスワードを盗まれるようになっていた^[20] 。Coinlinkは彼らのサイトまたはハッキングされたユーザーのEメールとパスワードを拒否した報告書では北朝鮮のハッカーは2017年2月に韓国の取引所「Bithumb」から700万ドルを盗んだ^[22] 。別の韓国のビットコイン取引所「Youbit」は2017年4月の初期の攻撃に続く2017年12月のサイバー攻撃で資産の17%を盗まれた後破産を申請した^[23] 。ラザルスと北朝鮮のハッカーがこの攻撃を行ったとされた^[24][18]