今日のハイパーコネクテッドな環境では、安全なネットワーク境界という従来の概念が急速に崩れつつあります。国家が支援するサイバーキャンペーンは、もはや遠い脅威ではなく、特に政治的に敏感な分野や戦略的に重要な分野で活動する組織にとって、永続的かつ広範なリスクとなっています。こうした巧妙な攻撃者は、従来の防御を迂回することにますます習熟し、正規のツールや、私たちがデジタル上のやりとりに置いている信頼そのものを悪用して、環境に侵入し、驚くほどステルスで重要な情報を収集するようになっています。
Aryaka Threat Research Labs の最新リサーチでは、進化を続ける北朝鮮のサイバースパイ活動に光を当てています。地政学的、軍事的、経済的な情報を収集するという平壌の永続的な戦略的要請によって、APT43、Thalium、Velvet Chollima などさまざまな別名でも知られる Kimsuky のようなグループが、この不透明な領域で非常に活発かつ正確なオペレーターとして台頭してきました。Kimsukyは10年以上にわたり、韓国の政府機関、防衛関連企業、政策シンクタンクを標的とした情報収集活動を行ってきました。こうした活動は、政治的、軍事的、技術的な情報を獲得するという北朝鮮の長期的な戦略を支えるものであり、国際的な孤立と制裁の継続を考えれば、特に不可欠なものです。
このKimsukyのキャンペーンの特徴は、巧妙なソーシャルエンジニアリングと非常に洗練されたマルウェアのフレームワークを見事に組み合わせていることです。この作戦は、悪意のある LNK ファイルを配信することから始まります。多くの場合、この LNK ファイルは、一般に公開されている韓国政府の資料を巧みに模倣したおとり文書の中に偽装され、その正当性を高めて被害者をおびき寄せます。クリックされると、これらのショートカット・ファイルは高度に難読化されたスクリプトを実行し、被害者のマシンにすでに存在する信頼できるシステム・ユーティリティを経由して目立たないように配信されます。この “living off the land “テクニックは、マルウェアの足跡を大幅に減らし、従来のシグネチャベースの検出を回避するのに役立ちます。
侵入に成功すると、マルウェアのフレームワークが起動し、ステルス性、持続性、包括的なデータ流出を実現します。マルウェアは、侵害された環境を綿密にカタログ化し、その脆弱性と潜在的なデータリポジトリを理解するために、広範なシステムプロファイリングを実行します。その後、主要なユーザーデータや専有情報をターゲットに、認証情報や機密文書の窃取に移ります。最大限の情報収集を確実にするため、マルウェアはキーロギングとクリップボードキャプチャを通じてユーザーのアクティビティも監視し、機密データの継続的なストリームを提供します。最後に、検知を回避するために、窃取したデータの流出は、標準的なWebトラフィック上で目立たないように小さなセグメントで行われるため、ネットワーク監視ツールが悪意のある活動を通常のネットワーク運用と区別することは非常に困難です。このような多層的なアプローチにより、Kimsuky の巧妙さが進化していること、そして標的となっている組織に持続的な脅威を与えていることが明らかになりました。
本稿では、このキャンペーンをキムスキーの活動という幅広い文脈の中に位置づけることで、北朝鮮のサイバー活動が、より大規模で国家と連携した戦略の一部であることを説明します。暗号通貨のウォレットを盗むなど、金銭的な動機に基づく活動もありますが、これらの活動は依然として、より広範な国益に資するものです。Kimsukyのキャンペーンは、伝統的なサイバー犯罪活動のような日和見的なものでも、利益を追求するものでもなく、地政学的・経済的な目的と戦略的に一致した、的を絞った持続的なものです。
クラウドの普及、リモートワークの増加、サプライチェーンの相互接続など、企業環境の分散化が進む中、従来の境界ベースの防御ではもはや十分ではありません。本稿では、ゼロ・トラストやセキュア・アクセス・サービス・エッジ(SASE)など、最新のアイデンティティ中心のセキュリティ・モデルの緊急の必要性を強調します。これらのモデルは、キムスキーをはじめとする洗練された国家の脅威を防御するための可視性と制御性を高めるものであり、これらの戦略を採用することの緊急性と重要性を強調するものです。
脅威に関する調査レポート全文はこちら