8.北朝鮮の手の込んだサイバー攻撃-レッドバンクへの攻撃例
インターネットは便利なものです。16世紀にジョン・ダン(イングランドの詩人、著作家。後半生はイングランド国教会の司祭。 カトリックの家の生まれで、イングランド国教会に改宗するまで宗教的迫害を受け続けた)が迫害を受けましたが、インターネットは、そのような迫害をする際にも便利に使えます。北朝鮮のハッカーは、150カ国以上で活動を行ってきました。2018年11月、サンティアゴ(チリ)の1人のプログラマーが海外の企業の上級職に就かないかと誘われました。彼は、チリのすべての銀行のATMを接続するネットワークを運営する企業”Redbanc”でプログラマーとして働いていました。彼はリンクドインでアンティグアのセントジョンズの”Global ProcessingCentre”というサードパーティの決済処理業者でソフトウェアを開発するポジションに応募するよう招待されました。その職はそれなりに高給で、フルタイムで働く必要はありませんでしたので、Redbancでの仕事を止めないで収入を増やせそうでした。
Global ProcessingCentrの求人は、同社の最高情報責任者(CIO)であるジャスティン・スチュアートヤングを装った人物からのものでした。サンティアゴのRedbancのプログラマーは、スチュアートヤングと電子メールでやり取りし始めました。スチュアートヤングの電子メールアドレスはプライベートのもののようでした。その後、採用面談が行われ、ウェブ会議形式でしたが、スチュアートヤングとはスペイン語でやり取りしました。スチュアート・ヤングがいつかチリを訪れて直接会う日が来るのを楽しみにしていると言いました。3回の面談が行われた後、Redbancのプログラマーは、履歴書のPDFを生成するプログラムをダウンロードして実行するように指示されました。彼は指示に従いましたが、スチュアートヤングからは二度と連絡はありませんでした。(Redbancのプログラマーはその後会社を辞めました。Redbancはその人物を特定できていません。)
ちょうどそのプログラマーとスチュアートヤングがやり取りしている頃、サイバーセキュリティの専門家ホアン・ロア・サリナスがRedbancで新たな業務に着手していました。サリナスは自社の社内ネットワークを調査していて、サイバー攻撃を受けた形跡があることを発見しました。彼は、社内ネットワーク上で、見慣れないインターネットドメイン名への異常な接続があるのに気付きました。
サイバーセキュリティ関連のニュースにはくまなく目を通すようにしているロア・サリナスは、バングラデシュ中央銀行に対する北朝鮮のサイバー攻撃に興味を持っていて、ラザルスグループやAPT 38の活動について研究していましたし、日本でセブンイレブンのATMから現金が引き出されて事件も含めて北朝鮮による金融機関を狙ったサイバー攻撃のことも研究していました。彼がRedbancの社内ネットワークに”奇妙な挙動”があるのを認識した時、Redbancのサイバーセキュリティ部門と緊急対策チームは、自社がサイバー攻撃を受けていて、その攻撃は平壌からのものである可能性が高いとの結論に至りました。さまざまな証拠があったのですが、ロア・サリナスはRedbancの端末が勝手に北朝鮮のIPアドレスをルックアップしているのに気付きました。それで、サイバー攻撃の脅威が重度であると判断し、Redbancの社内ネットワークをインターネットから1週間切り離すことを経営幹部に提案しました。
ロア・サリナスが言うには、当時、Redbancの経営幹部は影響が大きすぎるとしつつも、彼の提案を受け入れました。インターネットから切り離した後の内部調査により、同社は実際にサイバー攻撃を受けている真っ只中であったことが明らかになりました。通常、そのようなサイバー攻撃をするには、実行に数か月ほどかかります。このサイバー攻撃では、最初にRedbancの社内ネットワークに侵入するための情報を盗み出す目的で、アンティグアに実際に存在している企業の偽の求人がSNS上で為されました。その際には、その企業の重役であるジャスティン・スチュアートヤングからの求人と見せかけるため、偽の電子メールアドレスが使われました(そのアドレスは一見した限りでは本物のように見えます)。また、面接時にスチュアートヤングの偽者が登場していましたが、身体的特徴が似た人物でスペイン語を話せる人物が用意されていました。とにかく、大がかりで手が込んでいました。私は先日、本物のスチュアートヤングと会いましたが、その時まで、彼はチリのサイバー攻撃のことも、そこで彼の名前が利用されたことも知りませんでした。
Redbancの例のプログラマーが感染したプログラムをダウンロードして実行したことによって、ドロッパー(自身のコードから他のファイルを作成するプログラムのこと。通常、複数のファイルをコンピュータに作成して不正なプログラムパッケージをインストールする。ファイルの作成以外の他の機能も備えている場合もある。)が起動し、北朝鮮のハッカー集団が彼のコンピューターをリモートで操作できるようになりました。その後、北朝鮮のハッカーはRedbancの社内ネットワーク上にある他のコンピューターにもアクセスできるようにしました。ハッカーの目標は、Redbanc社の端末のマイクロソフトのアクティブ・ディレクトリ・システムを脆弱にすることでした。ロア・サリナスがハッカーの攻撃に気付いた時、ハッカーはまだその目的を達成していませんでした。その目的が達成されれば、続いてRedbancのメインフレームコンピューターを平壌から遠隔で操作できるようにされていたでしょう。そうなれば、いよいよ資金を流出させるべくサイバー攻撃が仕掛けられたでしょう。その際には、ATMから不正な現金の引き出しが為されますが、マルウェアによってそれが隠ぺいされるでしょう。ロア・サリナスは、メインフレームコンピューターが乗っ取られる前に、北朝鮮のハッカー集団をRedbancのネットワークから追い出すことに成功したのです。
Redbancは北朝鮮のサイバー攻撃(未遂)を仕掛けられましたが、その後の対応は、そのような脅威を経験した多くの企業で見られることですが、社内でセキュリティの強化を計りつつも、攻撃を受けた事実は公表しませんでした。Redbancがそれを公表したのは、当時チリの上院議員をしていたフェリペ・ハーボエがセキュリティ専門家の会議でそれを聞き付けて、その事実をツイートしようとした後のことでした。昨秋、私がハーボエに聞いたのですが、彼がRedbancの件を公表した理由は、南米の金融機関が北朝鮮とロシアのハッキング攻撃の脅威に絶えずさらされていたことにあります。Redbancはサイバー攻撃を受けていたことをハーボエが暴露したことに対して、「驚くとともに動揺している」との見解を出したが、ハーボエはサイバー攻撃に関してはもっと透明性が必要で、事実をオープンにすべきだと感じていました。というのは、チリでは他の金融機関もATMが狙われてサイバー攻撃を受けていたからです。また、ランサムウェアを仕掛けられてシステム復旧のために身代金を要求される事例も発生していて、かなりの頻度で発生していました。ランサムウェアによる攻撃は、Redbancが攻撃された際と同様で、ほんの小さな穴を1箇所に開けられるだけで被害を受ける可能性があるのです。
北朝鮮はレッドバンクへのサイバー攻撃を仕掛けた時、他の多くの企業等にも攻撃を仕掛けていました。その攻撃が成功しなかった例は少なく、Redbancはそんな中の1つでした。北朝鮮のハッカーの戦略は、大きな網を投げて出来るだけ多くの魚を捕まえるというものです。米サイバーセキュリティ・アンド・インフラストラクチャセキュリティ局は、Redbancへ攻撃が仕掛けられていた頃に、北朝鮮のハッカー集団がアジアやアフリカの銀行(数十行)に対して資金流出を目的としたサイバー攻撃を仕掛けて成功し、数千万ドルを強奪したと発表しました。2017年に行われたそのサイバー攻撃では、北朝鮮は30か国以上の国のATMから同時に資金を流出させました。