日本も標的、密かに暗躍する韓国政府系サイバー集団
*写真はイメージ
(山田敏弘:国際ジャーナリスト)
各国が新型コロナウイルスで混乱する中、世界的にサイバー攻撃が増えている。つい先日も、米ニューヨーク・タイムズ紙が、中国やロシア、イラン、北朝鮮などが、新型コロナウイルスの混乱に乗じてサイバー攻撃を激化させていると報じている。
こうした政府系のサイバー攻撃としては、欧米諸国などを狙う「ビシャス・パンダ」呼ばれる中国政府系のハッカー集団、「ハデス」と呼ばれるロシアのハッカー集団が暗躍している。さらに、「キムスキー」と呼ばれる北朝鮮のハッカー集団の活動も確認されている。
政府系ハッカー集団はほかにも多数あり、敵対する国家などに攻撃を繰り返している。悪いことに、世界が新型コロナ対策で忙殺され、弱っている今こそ、ハッカーたちにとっては「攻撃のチャンス」となる。過去を振り返っても、天災や大惨事が起こった際には決まってサイバー攻撃が増えているのだ。
活発になっている「韓国」の動き
中国については、人民解放軍の戦略支援部隊(SFF)に属するサイバー・コー(サイバー攻撃部隊)が、諜報機関である国家安全部(MSS)などとも連携しながら、新型コロナの治療に関する情報やデータ、さらにワクチン製造に関する情報を狙って日本を含む世界中でサイバースパイ工作を行っている。筆者もこうした攻撃にはあちこちで警鐘を鳴らしてきた。いまや中国は、スパイ工作からプロパガンダまで、サイバー空間で圧倒的存在となっている。
このように現在はサイバー攻撃が猛烈に活性化している。筆者はそんな世界のサイバー攻撃の動向を常にチェックしているのだが、実は少し前から、「ある国」の動きが顕著になっており、注目してきた。韓国である。
その名は「ダークホテル」
前述のニューヨーク・タイムズ紙の記事でも、「韓国のハッカーがWHO(世界保健機関)だけでなく、北朝鮮や日本、米国の高官らを狙っている。攻撃は、電子メールのアカウントに不正アクセスし、ウイルス対策や治療の情報を集める広域な取り組みであると見られている」と指摘している。
中国のみならず、韓国も新型コロナ関連の情報を狙っているのである。実際、この記事とは別に、中国国内から韓国によるサイバー攻撃を指摘する情報が最近伝わってきている。
4月6日、中国の民間サイバーセキュリティ企業「Qihoo 360」が、3月から政府系ハッカー集団によって中国の政府機関が大規模なサイバー攻撃を受けている、との報告書を発表した。報告書によれば、中国外務省など政府系機関で使われているVPN(バーチャル・プライベート・ネットワーク)の通信拠点がハッキングにより侵入されてしまったという。VPNとは、パソコンでサーバなどに接続する際に、暗号化された仮想のトンネルを作って通信を守るセキュリティ対策である。
侵入を許したのは、北京や上海の政府機関だけでなく、中国政府の在外公館など200カ所以上だった。被害リストにあるのは、アフガニスタン、アルメニア、エチオピア 、インド、インドネシア、イスラエル、イタリア、キルギス、マレーシア、北朝鮮、パキスタン、サウジアラビア、タジキスタン、タイ、トルコ、アラブ首長国連邦(UAE)、イギリス、ベトナムにある中国の政府機関だ。
しかも攻撃方法は、そのVPNを標的にしたゼロデイ攻撃と呼ばれるもので、金銭目的のサイバー犯罪集団ではできないような複雑な攻撃だった。ゼロデイ攻撃とは、まだ世の中に知られていない未知の脆弱性(セキュリティの穴=ゼロデイ脆弱性)を悪用した攻撃であり、ゼロデイ脆弱性を見つけてそこに攻撃を仕掛けるには、かなりのサイバー攻撃能力が必要になる。
サイバーセキュリティや安全保障の世界では、このレベルの標的を絞ったゼロデイ攻撃を仕掛けられるのは、それなりの予算と、高度な技術力を持った人材を抱えている政府系ハッキング組織やサイバー部隊しかない、というのが常識である。
そして、この攻撃を行なったのは、「Darkhotel(ダークホテル)」と呼ばれる政府系サイバー攻撃集団だった。ダークホテルは、以前から関係者の間ではよく知られている凄腕の韓国政府系ハッキング集団である。
この攻撃により、中国の政府系機関や在外公館などのパソコンにバックドア(裏口)が作られてしまい、機密も含む様々な情報が盗まれたと見られている。しかも狙われたのは中国だけではない。中国政府の影響力が強いWHO(世界保健機関)にも、ダークホテルはサイバー攻撃を仕掛けていたことが確認されている。
欧米のセキュリティ関係者は、「ダークホテルは5年ほど前から知られている韓国政府系の有名ハッキング集団」だと言う。様々なセキュリティ会社のリポートでも、ダークホテルは2007年には活動を始めていたと指摘されている。
セキュリティ関係者はさらにこう指摘する。「彼らは新型コロナについて、中国政府がどんな情報を持っているのかを調べていたようだ」
ホテルのWi-Fiを利用して・・・
さらに取材を進めると、こんな話も聞けた。ある欧米の情報機関関係者によれば「この攻撃には裏に米国も絡んでいるはず」というのだ。
「いま欧米の諜報機関は競うように新型コロナの発生源やそれにからむ中国の情報などを調べている。韓国の政府系ハッキング集団が、米国のスパイ活動にも協力しようとしている可能性は高い」
その上で、この関係者はこう指摘した。
「中国政府にVPNを提供する中国の民間企業や、そこに対するサイバー攻撃を調査できる中国企業などは、中国政府と一蓮托生だと見ていい。そう考えると、『Qihoo 360』の報告書は、韓国とその裏にいると見られる米国に対する中国政府からのメッセージでもあるのだろう」
つまり、これも新型ウイルスをめぐる米中による情報戦の一環だということなのだろう。そこに韓国政府系ハッカー集団が絡んでいるのである。
そもそも、ダークホテルは、対外的なサイバー攻撃をこれまでも行ってきた。もともとは中国や台湾、ロシアなどを中心に世界各地でスピアフィンシングメール攻撃(組織や人を標的に本物のような電子メールを送る標的型の攻撃)を駆使したり、高級ホテルのWi-Fiを利用し、そこに滞在している企業幹部や政府高官らのパソコンなどへ攻撃を仕掛けてきたりしてきたとされる。「ダークホテル」という名もそこからつけられた。
日本の大手メディアを狙った攻撃も
当然のことながら、ライバル視する日本にも、何年も前から攻撃を仕掛けている。
ダークホテルによる日本への攻撃は、2020年1月に確認されている。この時は、インターネットエクスプローラーにあったゼロデイ脆弱性を突いた攻撃を展開していた。
もっとも、ダークホテルだけでなく、韓国のハッキング集団は日本に対して以前からサイバー攻撃を繰り広げている。特に日本に対する攻撃が顕著になったのは2019年2月以降だ。当時は日韓関係が、歴史的に見てもかなり悪化しており、1年ほど後に行われる予定だった2020年の東京五輪も格好の標的となっていた。
2月以降に検知されている攻撃では、例えば、日本の大手テレビ局や新聞社、出版社を狙って、フィッシングメールなどを送りつけマルウェア(悪意ある不正なプログラム)に感染させようとする工作がある。メディアのコンテンツの動向を調べようとしたり、関係者を突き止め、パソコンに侵入しようとしたりしていたのだ。ターゲットなった大手テレビ局は、外部からの指摘で被害を把握し、公表こそしていないが密かに対策に乗り出している。
さらに日本の外務省や観光庁も重点的に標的になっており、DDoS攻撃(大量のデータを送りつけてシステムを麻痺させる攻撃)や、偽ウェブサイトにアクセスさせてマルウェアに感染させる攻撃などが展開されていた。
もちろんそれ以前にも韓国からのサイバー攻撃は起きていた。例えば、2018年12月に日韓の間で揉め事になったレーダー照射事件後は、レーダーを含む軍事系技術を扱っている日本企業に対して、韓国からのサイバー攻撃が頻繁に行われた。日本の軍事関連企業では、内部情報や技術情報が盗まれたり、妨害工作が行われたりしているという。
それ以外の民間企業を狙った攻撃もある。日本のテクノロジー系企業などから知的財産を盗むことを目的としている韓国系の集団もいるのだ。この場合の攻撃の手法は、スピアフィッシング攻撃からAPT攻撃(標的のシステムに長く潜伏して情報などを盗む攻撃)するような手口になる。
韓国系ハッカーが狙う日本の韓国系飲食店
こんな情報もある。前出の欧米情報機関関係者が以前、筆者に語ったところでは、韓国系ハッカーが興味を示して狙っているのが、日本の韓国系飲食店だというのだ。
もともと韓国側に情報提供をしている飲食店関係者は多いという指摘もあるのだが、2019年からは、従業員やお店のシステムなどをサイバー攻撃でハッキングし、こうした店に出入りする政治家や政府関係者など有力者を監視したり動向を掴んだり、政治家らの個人的な連絡先などを特定してハッキングしようとする傾向があるという。
そもそもそうした土壌があった上に、今回の新型コロナウイルスによる混乱だ。ここに乗じて、サイバー攻撃をさらに激化させている。一定のセキュリティ対策がなされているオフィスを離れ、自宅などから通信をする機会が増えた今、セキュリティ対策のレベルはどうしても一段低くなる。攻撃者にとってはそれこそが狙い目で、その隙を逃すまいと巧妙な攻撃を仕掛けているのだ。
その攻撃は私たちが気が付きにくいところで展開されている。それでもこうした攻撃が現実に起きていることを認識し、自分の身を守るために最低限必要な対策を怠らない注意深さが、われわれに求められている。
筆者:山田 敏弘
