北朝鮮ハッカーが米国のIT企業に侵入
北朝鮮政府に支援されたハッキンググループがアメリカのIT管理会社に侵入し、仮想通貨会社を標的にする踏み台にしたと、サイバーセキュリティ専門家が発表したことが明らかになった。
ハッカーは2023年6月下旬にコロラド州に本拠を置くジャンプクラウド(JumpCloud)に侵入し同社システムへのアクセスを利用して5社未満の顧客を標的にしたとブログ投稿で述べている。同社は、被害を受けた顧客を特定しなかったが、ジャンプクラウドを支援しているサイバーセキュリティ企業のCrowdStrike HoldingsとJumpCloudの顧客の1社を支援しているMandiantはともに、関与したハッカーは仮想通貨の窃盗に焦点を当てていることで知られていると指摘している。
また、このハッキングは、北朝鮮のサイバースパイが、かつてはデジタル通貨企業を断片的に狙うことで満足していたが、現在では、複数の被害者に広くアクセスできるような企業、つまりサプライチェーン攻撃として知られる戦術に取り組んでいることを示唆している。米国のセンチネルワン(SentinelOne)社に勤務し、Mandiant社とCrowdStrike社の攻撃を独自に確認したトム・ヘーゲル(Tom Hegel)氏は次のように述べている。
の意見では、北朝鮮は本当にハッキング能力を強化している。
北朝鮮によるハッキングは今後も続く
北朝鮮はこれまで、国連報告書を含む膨大な証拠にもかかわらず、デジタル通貨強盗の組織化を否定しており、ニューヨークの国連平壌代表部は、コメントの要請に応じていない。
CrowdStrike社は、ハッカーたちをLabyrinth Chollimaと特定しており、Mandiant社は、ハッカーは北朝鮮の主要対外情報機関である偵察総局(RGB)で働いていたと述べている。ジャンプクラウドのハッキングは、ネットワーク管理者がデバイスやサーバーを管理するための製品であり、今月初めに同社が顧客にメールを送り、現在進行中のインシデントに関連し、慎重を期して認証情報を変更すると伝えた際、初めて公になったという。インシデントがハッキングであることを認めたブログ投稿の以前のバージョンでは、ジャンプクラウドは侵入を6月27日まで遡っており、サイバーセキュリティ特化ポッドキャストであるRisky Businessは今週初め、2人の情報筋の話として、北朝鮮が侵入の容疑者であったことを挙げている。
Labyrinth Chollimaは北朝鮮で最も多作なハッキング・グループのひとつであり、孤立した北朝鮮で最も大胆かつ破壊的なサイバー侵入のいくつかを担当していると言われている。ブロックチェーン分析会社のチェイナリシス(Chainalysis)は2022年、北朝鮮関連グループが複数のハッキングで推定17億ドル(約2,407億円)相当のデジタルキャッシュを盗んだと発表した。CrowdStrikeのインテリジェンス担当であるアダム・マイヤーズ上級副社長は、平壌のハッキング集団を過小評価すべきではないと述べ、北朝鮮のサプライチェーンへの攻撃は、これが今年最後になることはないと注意喚起している。