史上最大の強盗事件：北朝鮮のハッカー集団ラザルス・グループの裏話

Foresight News ｜2025-02-22 6:18

Bybitがハッキングされ、約15億ドル相当のオンチェーン資産が盗まれた。事件から4時間後、オンチェーン探偵のZachXBTが決定的な証拠を提出し、Bybitへの攻撃は北朝鮮のハッカー集団Lazarus Groupによって実行されたことを確認した。

出典: Wikipedia

Yobo、Foresight Newsが編集

以下の内容は、Wikipedia の「Lazarus Group」のエントリから翻訳されたものです。

ラザルスグループ (別名「ガーディアンズ」または「ピースチーム」または「Whois チーム」) は、北朝鮮政府によって管理されているとされる、人数不明のハッカーグループです。このグループについてはほとんど知られていないが、研究者らは2010年以降、複数のサイバー攻撃がこのグループによるものだとしている。

このグループは元々犯罪グループでしたが、攻撃の意図、もたらす脅威、活動に使用するさまざまな方法により、現在では高度で持続的な脅威グループに指定されています。サイバーセキュリティ機関は、これらに「Hidden Cobra」（米国土安全保障省が北朝鮮政府による悪意あるサイバー活動を指すために使用する名称）や「ZINC」または「Diamond Sleet」（マイクロソフトの用語）などのニックネームを付けている。同国からの脱北者キム・ククソン氏によると、このグループは北朝鮮国内では「414連絡事務所」として知られている。

ラザルスグループは北朝鮮と密接な関係を持っている。米司法省は、このグループが「世界的なサイバーセキュリティを弱体化し、制裁に違反して不法な収益を得る」という北朝鮮政府の戦略の一環であると主張している。北朝鮮はサイバー作戦を実施することで多くの利益を得ることができ、非常に小規模なチームを維持するだけで「世界的」な非対称の脅威（特に韓国に対する脅威）を及ぼすことができる。

開発の歴史

このグループによる最も初期の攻撃として知られているのは、2009年から2012年にかけての「トロイ作戦」だ。これは、単純な分散型サービス拒否（DDoS）技術を使用してソウルの韓国政府を標的としたサイバースパイ活動だった。彼らは2011年と2013年にも攻撃を開始した。確かではないが、2007年に韓国に対して行われた攻撃は彼らによって実行された可能性がある。このグループによる最も注目すべき攻撃の一つは2014年にソニー・ピクチャーズを標的に発生した。この攻撃ではより洗練された手法が使用され、時間の経過とともにグループが成熟してきたことが示されました。

2015年、ラザルス・グループはエクアドルのバンコ・オステロから1,200万ドル、ベトナムのパイオニア銀行からさらに100万ドルを盗んだと報じられている。彼らはポーランドとメキシコの銀行も標的にした。 2016年の銀行強盗事件では、銀行を襲撃し、8,100万ドルを盗み出しました。この事件もこの組織の仕業だと考えられています。 2017年には、ラザルス・グループが台湾の遠東国際商業銀行から6000万ドルを盗んだと報じられたが、実際に盗まれた金額は不明で、資金の大半は回収されている。

このグループの背後に誰がいるのかは不明だが、メディアの報道によると、このグループは北朝鮮と密接な関係にあるという。 2017年、カスペルスキー研究所は、ラザルス・グループはスパイ活動や侵入型サイバー攻撃に重点を置く傾向があり、その中の「ブルーノロフ」と呼ばれる下部組織は金融サイバー攻撃を専門としていると報告した。カスペルスキーは世界中で複数の攻撃を発見し、Bluenoroffと国との間に直接的なIPアドレスのリンクを発見した。

しかし、カスペルスキー社は、コードの再利用は捜査官を欺き、北朝鮮に責任を負わせることを狙った「偽旗作戦」である可能性もあると認めた。結局のところ、世界的なワーム「WannaCry」サイバー攻撃は、米国家安全保障局の技術をコピーしたものだった。このランサムウェアは、2017年4月にShadow Brokersと呼ばれるハッカー集団によって公表されたNSAのEternalBlueの脆弱性を悪用する。 2017年、シマンテックは「WannaCry」攻撃はおそらくラザルス・グループによって実行されたと報告した。

2009年「トロイ作戦」

ラザルスグループの最初の大規模なハッキング事件は 2009 年 7 月 4 日に発生し、「トロイ作戦」の始まりとなった。この攻撃では、「MyDoomsday」と「Bulldozer」というマルウェアが使用され、米国と韓国のウェブサイトに対して大規模だが単純なDDoS攻撃が行われた。この攻撃は約36のウェブサイトを標的とし、マスターブートレコード（MBR）に「独立記念日記念」というテキストを埋め込んだ。

2013 年韓国のサイバー攻撃 (Operation 1/Dark Seoul)

時間の経過とともに、このグループの攻撃はより洗練され、その手法とツールはより成熟し、効果的になりました。 2011 年 3 月の「Ten Days of Rain」攻撃は、韓国国内の侵害されたコンピューターから発信された、より高度な DDoS 攻撃を使用して、韓国のメディア、金融、および重要なインフラストラクチャを標的としました。 2013年3月20日、韓国の3つの放送局、金融機関、インターネットサービスプロバイダーを標的としたデータ消去攻撃「ダークソウル作戦」が開始されました。当時、New Rome Cyber LegionとWhoIs Teamと名乗る2つのグループが攻撃の責任を主張したが、研究者らはLazarus Groupが背後にいるとは知らなかった。現在、研究者たちは、これらの破壊的な攻撃の背後にラザルス・グループがいることを知っています。

2014年後半：ソニー・ピクチャーズがハッキングされる

2014年11月24日、ラザルス・グループの攻撃は最高潮に達した。同日、Reddit に、ソニー・ピクチャーズが未知の手段でハッキングされ、攻撃者は自らを「平和の守護者」と名乗っているという投稿が掲載された。攻撃後の数日間で、大量のデータが盗まれ、徐々に漏洩した。このグループのメンバーを名乗る人物はインタビューで、1年以上にわたってソニーのデータを盗んでいたと語った。

ハッカーらは、未公開の映画、いくつかの映画の脚本、今後の映画の計画、会社の幹部の給与情報、電子メール、約4,000人の従業員の個人情報にアクセスすることができた。

2016 年初頭の調査: 「ブロックバスター作戦」

「Operation Blockbuster」というコードネームで呼ばれる、Novettaが率いるセキュリティ企業連合は、さまざまなサイバーセキュリティ事件で発見されたマルウェアサンプルを分析した。チームはこのデータを使用して、ハッカーの手口を分析しました。彼らは、コードの再利用パターンを通じて、Lazarus グループを複数の攻撃に結び付けました。たとえば、彼らはインターネットではあまり知られていない暗号化アルゴリズム、「Karacas」暗号を使用しました。

2016年の銀行サイバー窃盗事件

2016年2月に銀行強盗事件が発生した。セキュリティハッカーらは、国際銀行間金融通信協会（SWIFT）ネットワークを通じて35件の不正な指示を送り、ニューヨーク連邦準備銀行にある国の中央銀行の口座から約10億ドルを違法に送金しようとした。 35件の不正な指示のうち5件により、スリランカへの2,000万ドルとフィリピンへの8,100万ドルを含む計1億100万ドルの送金が成功した。ニューヨーク連邦準備銀行は、指示書のスペルミスを疑ったため、8億5000万ドル相当の残りの30件の取引をブロックした。サイバーセキュリティの専門家は、この攻撃の首謀者はある国のラザルス・グループだと述べた。

2017年5月のWannaCryランサムウェア攻撃

WannaCry 攻撃は、2017 年 5 月 12 日に英国の国民保健サービス (NHS) からボーイング、さらには中国のいくつかの大学に至るまで、世界中の機関を襲った大規模なランサムウェアサイバー攻撃でした。攻撃は7時間19分続いた。ユーロポールは、この攻撃は150カ国の約20万台のコンピュータに影響を与えたと推定しており、主な被害地域にはロシア、インド、ウクライナ、台湾などがある。これは最も初期の暗号ワーム攻撃の 1 つでした。クリプトワームは、ネットワークを介してコンピュータからコンピュータへと拡散し、ユーザーの直接的な操作なしに（この場合は TCP ポート 445 を使用して）感染するマルウェアの一種です。コンピュータをウイルスに感染させるには、悪意のあるリンクをクリックする必要はありません。マルウェアは、1 台のコンピュータから接続されたプリンター、ワイヤレスネットワークに接続された近くの他のコンピュータなどへ自動的に拡散する可能性があります。ポート 445 の脆弱性により、マルウェアが内部ネットワーク内で自由に拡散し、数千台のコンピューターに急速に感染しました。 WannaCry 攻撃は、暗号化ワームを大規模に使用した最初の攻撃の 1 つでした。

攻撃方法: ウイルスは Windows オペレーティングシステムの脆弱性を悪用し、コンピューターのデータを暗号化して、復号キーと引き換えに約 300 ドル相当のビットコインの支払いを要求します。被害者に身代金の支払いを促すため、身代金は3日後に2倍になり、1週間以内に支払われない場合、マルウェアは暗号化されたデータファイルを削除します。このマルウェアは、ファイルを暗号化するために、Microsoft が開発した「Windows Crypto」という正規のソフトウェアを使用していました。暗号化が完了すると、ファイル名に「Wincry」という接尾辞が付きます。これが「WannaCry」という名前の由来です。 Wincry は暗号化の基礎となっていましたが、このマルウェアは EternalBlue と DoublePulsar という他の 2 つの脆弱性も悪用し、暗号化ワームとなっていました。「EternalBlue」はインターネットを通じて自動的にウイルスを拡散しますが、「Double Pulsar」は被害者のコンピュータ上でウイルスを活性化させます。つまり、EternalBlue が感染したリンクをユーザーのコンピューターに送信し、Double Pulsar がそれをクリックしたことになります。

セキュリティ研究者のマーカス・ハッチンス氏は、セキュリティ調査会社で働く友人からウイルスのサンプルを受け取った後、ウイルスに「キルスイッチ」がハードコードされており、攻撃を終了させていることを発見した。マルウェアは、特定のドメインがすでに登録されているかどうかを定期的にチェックし、ドメインが存在しない場合にのみ暗号化操作を続行します。ハッチンズ氏はこのチェックを発見し、その後、UTC 午後 3 時 3 分にドメイン名を登録しました。マルウェアは直ちに拡散し、新しいデバイスへの感染を停止しました。この状況は非常に興味深く、ウイルス作成者を追跡するための手がかりも提供します。通常、マルウェアをブロックするには、ハッカーとセキュリティ専門家の間で何ヶ月にもわたる激しい戦いが必要となるため、このような簡単な勝利は予想外でした。この攻撃のもう一つの異常な点は、身代金を支払った後でもファイルを回復できなかったことだ。ハッカーが受け取った身代金はわずか16万ドルだったため、その目的は金銭的なものではなかったと多くの人が考えるようになった。

キルスイッチのクラックが容易で、身代金の支払いも少額だったことから、多くの人がこの攻撃は国家の支援によるものであり、金銭的な賠償ではなく混乱を引き起こすことが目的だったと信じるに至った。攻撃後、セキュリティ専門家は、もともとサイバー兵器として開発されたダブルパルサーの脆弱性が米国国家安全保障局に起因することを突き止めた。その後、「Shadow Brokers」ハッカー集団がこの脆弱性を盗み、最初はオークションにかけようとしたが失敗。結局、彼らはそれを無料で公開した。その後、NSA は Microsoft にこの脆弱性を報告し、Microsoft は攻撃から 1 か月も経たないうちに 2017 年 3 月 14 日に更新プログラムをリリースしました。しかし、それだけでは十分ではありませんでした。アップデートは必須ではなかったため、5月12日時点で脆弱性のあるコンピュータのほとんどにまだパッチが適用されておらず、攻撃によって甚大な被害が発生しました。

影響: 米国司法省と英国当局は後に、WannaCry 攻撃は北朝鮮のハッカー集団 Lazarus Group によるものだと判断した。

2017 年の暗号通貨攻撃

2018年、Recorded Futureは、主に韓国における暗号通貨ビットコインとモネロのユーザーに対する攻撃にラザルス・グループが関与しているという報告書を発表した。この攻撃は、WannaCry ランサムウェアを使用した過去の攻撃やソニー・ピクチャーズに対する攻撃と技術的に類似していると伝えられている。ラザルス・グループのハッカーが使用した手法の 1 つは、韓国語のワードプロセッサソフトウェア Hangul (Hancom が開発) の脆弱性を悪用することだった。もう一つの戦術は、韓国の学生やコインリンクなどの暗号通貨取引所のユーザーをターゲットにして、マルウェアを含んだスピアフィッシングの餌を送ることだ。

ユーザーがマルウェアを開くと、メールアドレスとパスワードが盗まれる可能性があります。コインリンクは、自社のウェブサイトやユーザーのメールアドレスやパスワードがハッキングされたことを否定した。報告書は次のように結論づけている。「2017年後半の一連の攻撃は、同国が暗号通貨にますます関心を寄せていることを示している。現在では、暗号通貨はマイニング、ランサムウェア攻撃、窃盗など、幅広い活動に利用されていることが分かっている。」また、同国は国際的な金融制裁を回避するためにこれらの暗号通貨攻撃を利用しているとも述べている。

2017年2月、ある国のハッカーが韓国の暗号通貨取引プラットフォームBithumbから700万ドルを盗みました。韓国の別のビットコイン取引所であるユービットは、2017年4月に攻撃を受け、資産の17％が盗まれた後、同年12月に破産を申請しなければならなかった。この攻撃の背後にはラザルス・グループと中国のハッカーがいると非難されている。 2017年12月、暗号通貨クラウドマイニングマーケットプレイスのNicehashは4,500ビットコイン以上を失いました。最新の調査により、この攻撃はラザルス・グループに関連していることが明らかになった。

2019年9月の攻撃

2019年9月中旬、米国は「ElectricFish」と呼ばれる新しいタイプのマルウェアが発見されたとして一般向けの警告を発しました。 2019年初頭以来、ある国のエージェントが世界中で5件の大規模なサイバー窃盗を実行しており、その中にはクウェートの機関から4,900万ドルを盗むという事件も含まれています。

2020年後半の製薬会社への攻撃

COVID-19パンデミックが拡大し続ける中、製薬会社はラザルス・グループの主要なターゲットとなっている。ラザルス・グループのメンバーはスピアフィッシングの手法を使い、保健当局者を装って製薬会社の従業員に悪質なリンクを送信した。複数の大手製薬会社が標的になったとみられるが、これまでに確認されているのは英スウェーデン系製薬会社アストラゼネカのみだ。ロイター通信によると、多数の従業員が標的となり、その多くは新型コロナウイルスワクチンの開発に携わっていた。ラザルス・グループがこれらの攻撃を仕掛けた目的は不明だが、利益のために機密情報を盗み出すこと、恐喝計画を実行すること、外国政府がコロナウイルスに関連する独自の研究にアクセスできるようにするなど、さまざまな目的があった可能性がある。アストラゼネカ社はこの事件についてまだコメントしておらず、専門家は機密データは漏洩していないと考えている。

2021年1月のサイバーセキュリティ研究者への攻撃

2021年1月、GoogleとMicrosoftの両社は、ある国のハッカー集団がソーシャルエンジニアリングの手段でサイバーセキュリティ研究者に攻撃を仕掛けたと公表した。Microsoftは、この攻撃はLazarus Groupによって実行されたと明確に指摘した。

ハッカーは、Twitter、GitHub、LinkedIn などのプラットフォーム上に複数のユーザープロファイルを作成し、正当なソフトウェア脆弱性研究者を装って、セキュリティ研究コミュニティの他のユーザーが投稿した投稿やコンテンツとやり取りしていました。その後、ハッカーらは特定のセキュリティ研究者に直接連絡を取り、研究協力者を装って被害者を騙し、マルウェアを含むファイルをダウンロードさせたり、ハッカーらが管理するウェブサイトのブログ投稿を閲覧させたりしていた。

ブログ記事にアクセスした被害者の中には、Google Chromeブラウザの完全パッチ版を使用していたにもかかわらずコンピュータが侵害されたと述べる者もおり、ハッカーがChromeのこれまで知られていなかったゼロデイ脆弱性を悪用した可能性を示唆している。ただし、Googleは報告時点では侵害の具体的な方法は特定できなかったと述べている。

2022年3月のAxie Infinity攻撃

2022年3月、ラザルスグループは、Axie Infinityゲームで使用されているRoninネットワークから6億2000万ドル相当の暗号通貨を盗んだとして告発されました。 FBIは「捜査を通じて、この窃盗事件の背後にはラザルス・グループとAPT38（北朝鮮と関係のあるサイバー攻撃者）がいると判明した」と述べた。

2022年6月のホライゾンブリッジ攻撃

FBIは、2022年6月24日に報じられたハーモニーのホライゾンブリッジからの1億ドル相当の仮想通貨の盗難事件の背後に北朝鮮の悪質なサイバー攻撃グループ、ラザルスグループ（別名APT38）がいることを確認した。

2023年のその他の関連する暗号通貨攻撃

ブロックチェーンセキュリティプラットフォームImmunefiが発表したレポートによると、Lazarus Groupは2023年に暗号通貨ハッキング攻撃で3億ドル以上の損失を引き起こし、その年の総損失の17.6%を占めたという。

2023 年 6 月の Atomic Wallet 攻撃: 2023 年 6 月、Atomic Wallet サービスのユーザーから 1 億ドル以上の暗号通貨が盗まれ、この事件は後に FBI によって確認されました。

2023 年 9 月の Stake.com ハッキング: 2023 年 9 月、FBI は、オンラインカジノおよびギャンブルプラットフォームの Stake.com から 4,100 万ドル相当の暗号通貨が盗まれたことを確認しました。犯人は Lazarus Group です。

米国の制裁

2022年4月14日、米国財務省外国資産管理局（OFAC）は、特定の国の制裁規則の第510.214条に基づき、ラザルス・グループを特別指定国民リスト（SDNリスト）に追加しました。

2024年の暗号通貨攻撃

インドのメディア報道によると、WazirXと呼ばれる地元の暗号通貨取引所がこの組織の攻撃を受け、2億3,490万ドル相当の暗号資産が盗まれたという。

人材育成

北朝鮮のハッカー数名が、コンピューター、コンピューターネットワーク、サーバーにさまざまな種類のマルウェアを埋め込む方法を学ぶための専門的な訓練のために中国の瀋陽に派遣されるという噂がある。北朝鮮国内では、金策工科大学、金日成総合大学、万景台大学が関連教育業務を担当している。これらの大学は全国から最も優秀な学生を選抜し、6年間の特別教育を行っている。大学教育に加えて、「優秀なプログラマーの一部は、さらなる研究のために万景台大学や美林大学に送られます。」

組織支部

ラザルスグループには 2 つの支部があると考えられています。

ブルーノーオフ

BlueNorOff (別名 APT38、「Star Maxima」、「BeagleBoyz」、「NICKEL GLADSTONE」) は、国際銀行間通信協会 (SWIFT) の指示を偽造して不正な資金移動を行う金銭目的のグループです。 Mandiant はこれを APT38 と呼び、Crowdstrike はこれを「Star Horse」と呼んでいます。

2020年の米陸軍の報告書によると、BlueNorOffには約1,700人のメンバーがおり、敵のネットワークの脆弱性とシステムの長期的な評価と悪用に焦点を当て、国の政権のために金銭的利益を得たり関連システムを制御したりするために金融サイバー犯罪活動に従事しています。 2014年から2021年の間に、彼らの標的には、バングラデシュ、チリ、インド、メキシコ、パキスタン、フィリピン、韓国、台湾、トルコ、ベトナムを含む少なくとも13か国の16の機関が含まれていた。違法な収益は同国のミサイルおよび核技術の開発資金として使われたとみられる。

BlueNorOff による最も悪名高い攻撃は、2016 年の銀行強盗で、SWIFT ネットワーク経由でニューヨーク連邦準備銀行の中央銀行の口座から 10 億ドル近くを違法に送金しようとしたものでした。一部の取引が無事完了した後（スリランカに2,000万ドル、フィリピンに8,100万ドル）、ニューヨーク連邦準備銀行は指示書のスペルミスを理由に疑念を抱き、残りの取引をブロックした。

BlueNorOff に関連するマルウェアには、DarkComet、Mimikatz、Nestegg、Macktruck、WannaCry、Whiteout、Quickcafe、Rawhide、Smoothride、TightVNC、Sorrybrute、Keylime、Snapshot、Mapmaker、net.exe、sysmon、Bootwreck、Cleantoad、Closeshave、Dyepack、Hermes、Twopence、Electricfish、Powerratankba、Powerspritz などがあります。

BlueNorOff の一般的な手法には、フィッシング、バックドアの設定、脆弱性の悪用、ウォーターホール型攻撃、古くて安全でない Apache Struts 2 バージョンを使用してシステム上でコードを実行すること、Web サイトへの戦略的なハッキング、Linux サーバーへのアクセスなどがあります。犯罪的なハッカーと協力することもあるという報告もあります。

アンドアリエル

AndAriel は Andarial とも綴られ、Silent Chollima、Dark Seoul、Rifle、Wassonite としても知られ、論理的には韓国をターゲットにしていることが特徴です。アンドリルのニックネーム「サイレント・マキシマ」は、グループの秘密主義的な性質に由来している。[70]政府機関、防衛機関、さまざまな経済界の主要組織など、韓国のあらゆる機関が Andril の攻撃を受ける可能性があります。

2020年の米陸軍の報告書によると、アンドリルには約1,600人のメンバーがおり、その任務は偵察活動、ネットワークの脆弱性の評価、潜在的な攻撃に対する敵のネットワークのマッピングを行うことです。彼らは韓国に加え、他の国の政府、インフラ、企業も標的にしていた。攻撃手法としては、ActiveX コントロールの悪用、韓国のソフトウェアの脆弱性、ウォーターホール型攻撃、スピアフィッシング (マクロウイルス手法)、IT 管理製品 (ウイルス対策ソフトウェア、プロジェクト管理ソフトウェアなど) への攻撃、サプライチェーン (インストールプログラムや更新プログラム) を介した攻撃などがあります。使用されたマルウェアには、Aryan、Gh0st RAT、Rifdoor、Phandoor、Andarat などが含まれます。

関係者の訴追

2021年2月、米国司法省は、北朝鮮の軍事情報機関である偵察総局のパク・ジンヒョク、ジョン・チャンヒョク、キム・イル・パクの3名を、ラザルス・グループ（ラザルス）による複数のハッキング活動に関与したとして起訴した。パク・ジニョク氏は2018年9月に起訴された。現在、容疑者はいずれも米国に拘留されていない。さらに、カナダ人1人と中国人2人もラザルス・グループの資金移動業者およびマネーロンダリング業者として活動していたとして起訴された。