北朝鮮によるソーシャルエンジニアリング攻撃ソーシャルエンジニアリング攻撃とは?手口と脅威を解説

Share

2024年12月24日、警察庁および金融庁は、同年5月に発生した国内の暗号資産(仮想通貨)取引所から約482億円が窃取された事案に関連して注意喚起*1を発表しました。本記事では、北朝鮮によるソーシャルエンジニアリング攻撃の事例と手法を解説し、企業が取るべき対策例をご紹介します。

ソーシャルエンジニアリング攻撃の概要

北朝鮮のサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」は暗号資産・NFTの窃取を目的とした不正アクセスやソーシャルエンジニアリングを駆使した攻撃を行っています。CISA(米サイバーセキュリティ・インフラセキュリティ庁)によると、暗号資産事業者に加えて暗号通貨に投資するベンチャーキャピタルや暗号通貨・NFTの個人保有者など、ブロックチェーン技術や暗号通貨業界の様々な組織が標的とされていることが確認されています*2

ソーシャルエンジニアリングとは
ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

関連記事:「ソーシャルエンジニアリングとは?その手法と対策

ソーシャルエンジニアリングの手法

「TraderTraitor」はまず、ビジネスパーソン向けの交流サイト「LinkedIn」上で採用希望者になりすまし、ターゲットとなる企業の従業員に接触しています。これにより、従業員の信頼を得たうえで企業の内部システムに侵入し、暗号通貨の正規取引を改ざんしたとされています。

SNSを悪用した手法は近年の北朝鮮の攻撃キャンペーンに多く使われる手法です。偽のアカウント・ペルソナを構築し、ターゲット企業や個人にアプローチします。ディープフェイク技術を用いて履歴書やSNSに掲載する画像やビデオ通話の偽装を行うこともあります。このアプローチは、ターゲット企業内の資産を窃取する、従業員として入り込んで国連決議に基づく経済制裁をかいくぐって外貨を獲得する、ターゲット企業にマルウェアを展開するといった侵害を目的としています。

参考:金融庁/警察庁/内閣サイバーセキュリティセンター
北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる 暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

ソーシャルエンジニアリング攻撃の代表的な手法

手法
フィッシングターゲットをだますことで情報を引き出す(認証情報や個人情報)、マルウェアやマルウェアのダウンローダーなどの実行リンクや添付ファイルを送信する。従来はメールやSMSを使う手法が主流だったが、近年はSNSや音声を使う手法も増えている
スピアフィッシングフィッシングの一形態
特定の個人や企業を狙ったフィッシング攻撃を指す
ビジネスメール詐欺取引先などになりすまし、入金を促す詐欺
ベイティングマルウェアを仕込んだUSBメモリを廊下に落とす、無料の音楽や映画のダウンロードを提供し認証情報を盗むなど、「餌」を使って被害者をおびき寄せる攻撃
プリテキスティング権威のある人物(銀行員、警察、ITサポートなど)になりすまし、個人情報を聞き出す
テールゲーティング正規従業員の同僚や配達員、修理業者などを装って物理的なセキュリティを突破し、機密情報にアクセスする

ソーシャルエンジニアリング攻撃の事例

近年の代表的なソーシャルエンジニアリング攻撃2例をご紹介します。

  • XZ Utilsへのソーシャルエンジニアリング攻撃
    Linuxのオープンソース圧縮ファイルアプリケーションXZ Utilsに悪意のあるコードが埋め込まれたことが発見されたことから2024年3月に発覚した事件*3です。その後、偽のペルソナを騙る攻撃者が約2年間、プロジェクトの貢献者として活動し、悪意のあるコードを埋め込んでいたことが判明した事件です。オープンソースプロジェクトのエコシステムの在り方も同時に問われたのでご存じの方も多いのではないでしょうか。
  • ディープフェイク技術を悪用した詐欺
    在香港の多国籍企業の財務担当者がディープフェイクを用いたビデオ通話会議を通じて騙され、2億香港ドル(日本円で約40億円)を詐欺師に送金してしまった事件*4です。財務担当者は当初CFOを名乗る人物から送られたメールには疑念を抱いたものの、ビデオ通話会議に実在の同僚やCFOが出席しているものと思い込んだことが原因とされています。

ソーシャルエンジニアリング攻撃の対策方法

今回の北朝鮮によるソーシャルエンジニアリング攻撃を受け、FBIは注意喚起*5を行い、企業や個人に対して警戒を促しました。また、日本の警察庁も企業に対し、セキュリティ対策の強化を求めています。企業側では、「システム管理者」「従業員」「人事担当者」の3方向からの対策例を考え、組織一丸となってセキュリティ対策を実行することが重要です。技術的な面では、マルウェア検出システムの導入や定期的な更新も重要となります。これにより、自組織がソーシャルエンジニアリング攻撃で踏み台にされていた場合でも被害を最小限に抑えることが可能になります。

ディープフェイクを用いたSNS上の偽アカウント・ペルソナは、過去の研究で多くの人が簡単に見抜けないことが明らかになっています。企業や個人は最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが不可欠です。継続的な教育、技術的防御、国際協力を通じて、安全なデジタル環境を維持することが求められます。

関連情報:
Mink, J., Luo, L., Barbosa, N. M., Figueira, O., Wang, Y., & Wang, G. (Year), University of Illinois at Urbana-Champaign & Santa Clara University., DeepPhish: Understanding User Trust Towards Artificially Generated Profiles in Online Social Networks.

まとめ

  • ソーシャルエンジニアリングとは、人の心理を巧みに操り、重要情報等を聞き出したりすること
  • 従業員教育×技術対策×物理セキュリティの3つを組み合わせて対策を強化
  • 最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが重要

Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    拡大・高度化する標的型攻撃に有効な対策とは
    ―2020年夏版

    Share

    「組織のセキュリティにとって最大の脅威」は何だと思いますか?IPAが毎年公表している「情報セキュリティ10大脅威」で例年第1位にランクインしている「標的型攻撃による機密情報の窃取」ではないでしょうか。「標的型攻撃」は、特定の組織をターゲットに定めた攻撃が行われます。「攻撃者に狙われるものはないからウチには関係ない」とは言えません。ターゲット組織を直接狙う代わりに、ターゲットとなる組織の取引先(サプライチェーン)の中で最もセキュリティの弱い組織を入口にし、侵入を図るケースもあるためです。本記事では、標的型攻撃の特徴、対策のポイントについて解説します。

    手口がさらに巧妙化

    今年に入り、防衛省と取引関係にある超大手企業の情報漏えいが立て続けに明らかになり、世間をにぎわせました。攻撃者は、攻撃の痕跡を消すなどの巧妙な手口を使い、過去数年にわたって標的の組織に潜入を続け、国家防衛に関する機微情報の窃取を行っていたとみられています。こうした、秘匿性の高い情報を狙った高度かつ持続的な攻撃は「APT(Advanced Persistent Threat)」と呼ばれますが、近年のIoTの普及等を背景に、攻撃者は、情報を保有する組織のみならず、その組織とつながりを持つあらゆる関連組織をも標的に含めるようになっています。

    各国で注意喚起

    度重なる情報漏えい事件の発覚で警戒感が強まる中、2020年6月、経済産業省からサイバーセキュリティの強化推進を目的とした報告書が公開されました。内容は、中小企業を含めたサプライチェーン全体のサイバーセキュリティ強化を呼びかけるものであり、昨今のセキュリティ被害の特徴として「標的型攻撃の更なる高度化」「サプライチェーンの弱点への攻撃」「不正ログイン被害の継続的な発生」という傾向が指摘されています。一方、同じく2020年6月、日本と並び、従来サイバー攻撃遭遇率が比較的低いとされていたオーストラリア、ニュージーランドにおいて、組織的と見られる大規模サイバー攻撃が確認され、当局から注意喚起が出されています(下表参照)。オーストラリアでは、同時期に日本企業の子会社におけるランサムウェア被害も確認されており、親会社を最終ターゲットにしたサプライチェーン攻撃につながる可能性も懸念されるところです。グローバル化が進む今日、海外のことだから日本国内とは関係ないと言い切れないという点で、意識の変革も求められます。

    日本 6月12日、経済産業省が昨今の攻撃動向にもとづき、サプライチェーン全体のサイバーセキュリティ対策が急務である旨を注意喚起*6
    ニュージーランド 6月16日、CERT NZ(ニュージーランドCERT)が、リモートデスクトッププロトコル(RDP)、仮想プライベートネットワーク(VPN)などのリモートアクセスシステムを介して組織のネットワークにアクセスするサイバー攻撃キャンペーンに関して注意喚起*2
    オーストラリア 6月19日、ACSC(オーストラリアサイバーセキュリティセンター)が、既知のリモートコード実行を引き起こす脆弱性やスピアフィッシング攻撃を用いた攻撃キャンペーンに関して注意喚起*3

    各国での大規模サイバー攻撃への注意喚起

    攻撃の特徴を知る―ポイントは「侵入」

    2020年現在、標的型攻撃やAPT攻撃は最大限の脅威をもたらす攻撃のひとつであるといえ、あらゆる規模の組織に標的型攻撃、APT攻撃への備えが求められています。対策を立てるには、攻撃の特徴に応じたアプローチをとらなくてはなりません。それを考える上でのキーワードとなるのが「侵入」です。ここでは、攻撃者の視点で「侵入」と「侵入後」の2つのフェーズに分けて対策を考えてみましょう。

    「侵入」前後の攻撃の流れ

    まず、攻撃者が「侵入」前後でどんな手口を用いて攻撃を行うのかを押さえましょう。

    <「侵入」の手法>
    攻撃者は、標的とする組織に、極めて多様な方法で内部への侵入や侵害行為をします。代表的な手法は以下のとおりですが、単一の手口を使うとは限らない点や、巧妙化が進んでいる点に注意が必要です。

    標的型フィッシングメールによるもの
    ・添付ファイルによるマルウェアの投下
    ・偽サイトへ誘導し、認証情報の窃取

    Webアプリケーションなどの公開アプリケーションの脆弱性を悪用するもの
    ・不正アクセス
    ・マルウェアのインストール

    有効なアカウント情報を悪用するもの
    ・VPN、RDP、SSHなどの社内インフラへアクセスできるアカウント情報を悪用した不正アクセス
    ・メール、コラボレーションプラットフォーム等のSaaSのアカウント情報を悪用して不正アクセスを行い、なりすましメールなどへの悪用を行うケース

    リモート環境で使用されるVPN、リモートデスクトップなどの脆弱性を悪用するもの
    ・脆弱性および設定の不備を突いた不正アクセス


    図:侵入の手法(例)


    防御側は、侵入を防ぐための対策をそれぞれの手法に対して講じる必要があります。

    <「侵入後」の手法>
    侵入に成功した攻撃者は、最終目的の達成(例えば、ランサムウェアによる身代金要求、破壊活動、情報窃取やコインマイナーのインストールなど)に向け、継続的に探索・侵害行為を進めます。これは「水平展開(Lateral Movement)」と呼ばれる活動で、マルウェア、リモートアクセスツール、Webシェルなどの不正なツールの使用に加えて、正規のツールや機能をも悪用し、社内インフラ内の他のサーバや機器類への侵入を深めていきます。

    防御側としては、「いかに早期の段階で侵入に気づいて対策を打てるか」が、被害を最小化する上での鍵になります。「侵入後」を想定した対策が何もとられていなかった場合、被害が目に見える形で明らかになった時点で初めてそれに気づき、取り返しのつかない事態を招く可能性があります。

    侵入されることを前提に対策を立てる

    具体的にとり得る対策に関しても、「侵入」「侵入後」の観点から検討していくことができます。「侵入」への対策(「侵入を起こさない」ための対策)を立てるのはもちろんですが、「侵入後」の対策(「侵入は起こりうる」ことを想定した対策)も必須です。

    <「侵入」への対策>
    侵入を防ぐには、防御のための機構を実装すること、外部からアクセスできる箇所に不備がないことを確認することが求められます。防御機構の代表例は、従来であればファイアウォール、Webアプリケーションに関してはWebアプリケーションファイアウォール(WAF)による対策などが挙げられるでしょう。これに加えて、最近では多要素認証の実装が強く推奨されており、実際に導入を検討されている組織も多いのではないでしょうか。また、基本的ではありますが見逃されやすいこととして、公開する必要のないアプリケーション(例:Windowsのファイル共有など)が外部に公開されていないかどうかの確認、不要なアカウント情報の削除などを含むアカウント管理の徹底といった点が挙げられます。

    <「侵入後」の対策>
    防御に関しては、古典的ではありますが、社内環境におけるネットワークセグメンテーションの徹底、不要なアプリケーションの削除・無効化、ユーザ管理の厳格化や特権ユーザの管理の徹底などが有効でしょう。破壊活動のターゲットとなった場合に備えたデータバックアップも重要です。一方、検知については、IDS/IPSによる侵入検知やSIEMによるログ・イベント情報の収集・解析、エンドポイントセキュリティ製品による検知といったものが挙げられます。

    攻撃で実際に用いられた手法を詳細に分類し、緩和策や検知方法を記載した「MITRE ATT&CK®」というナレッジベース/フレームワークを参照すると、攻撃手法に対して緩和策がないケースが散見されます。また、厳格に適用すると運用上大きな負荷となる緩和策も一部にはあります。このため、具体的対策を立てるにあたっては、「防御できる領域はしっかり防御し、防御が難しい領域については検知に力を入れる」といった判断が求められます。

    「侵入」「侵入後」の対策の確認方法

    では、侵入、侵入後に向けた一連の対策によって、適正に攻撃を防ぎ、見つけ出すことができているかどうかを確認するにはどうすればよいでしょう。そこで威力を発揮するのが「ペネトレーションテスト」です。ペネトレーションテストでは、自組織において防御や検知ができていない領域を把握するため、多様なシナリオによる疑似攻撃を実行してシステムへの不正侵入の可否を検証します。ペネトレーションテストの結果は、今後対策を打つべき領域の特定や優先順位付け、対策を実施する前の回避策などの検討に役立てることが出来ます。

    侵入への対策
    目的:システムへの侵入を防ぐ
      侵入後の対策
    目的:侵入された場合の被害を最小化する
    ・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
    ・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
    ・VPNやリモートデスクトップサービスを用いる端末
    ・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
      ・社内環境におけるネットワークセグメンテーション
    ・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
    ・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
    ・SIEMなどでのログ分析、イベント管理の実施
    ・不要なアプリケーションや機能の削除・無効化
    ・エンドポイントセキュリティ製品によるふるまい検知の導入
    対策の有効性の確認方法
    ・脆弱性診断
    ・ペネトレーションテスト
      ・ペネトレーションテスト

    「侵入まで」と「侵入後」の対策

    一方、外部からアクセスできる箇所に攻撃の起点に悪用され得る脆弱性や設定の不備が存在しないかどうかを確認することも重要です。その際に有効なのが「脆弱性診断」です。攻撃者はシステムの脆弱性を突いて侵入を試みるため、診断によって脆弱な領域を洗い出し、優先度に応じた対策を講じます。なお、診断は、定期的に実施するだけでなく、システム更改時にも必ず実施することが推奨されます。

    なお、脆弱性診断やペネトレーションテストでセキュリティ事業者のサービスを利用する場合は、診断やテスト後のサポート体制についても事前に確認しておくことが必要です。攻撃者は、日々研究を重ねながら脆弱性を探し出し、手を替え品を替え、攻撃を仕掛けてきます。継続的なフォローアップを行ってくれる事業者を選び、ますます高度化する標的型攻撃に常時体制で備えていくことが求められるでしょう。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像