北朝鮮の支援を受けた有名なハッカー集団が最近、コロラド州ルイビルに拠点を置く米国のIT管理会社JumpCloudに侵入した。事情に詳しい情報筋によると、ハッカー集団はこの侵入を足掛かりに、暗号通貨を扱う企業をさらに標的にし、デジタル資産を吸い上げようとしていたという。

このサイバー攻撃の性質は、北朝鮮のハッカーの戦略が進化していることを示している。以前は、彼らは暗号通貨関連企業を個別に標的にしていたが、現在は複数の暗号通貨ソースとつながりを持つ単一のゲートウェイ企業を攻撃する手口になっているようだ。

JumpCloudの対応

JumpCloud はブログ投稿でこの侵害を認め、「国家が支援する脅威アクター」が関与していると示唆した。しかし、具体的な犯人や影響を受けた顧客について質問されると、同社は口を閉ざしたままだった。JumpCloud の代表者は、影響を受けた顧客は 5 社未満であることを確認したが、侵害中にデジタル通貨が盗まれたかどうかはまだ明らかになっていない。

専門家の確認

著名なサイバーセキュリティ企業であるクラウドストライク・ホールディングスは、このサイバー侵入を、北朝鮮の悪名高いサイバー工作員集団「ラビリンス・チョルリマ」と特定されるグループが仕組んだものであると確証した。クラウドストライクの諜報担当上級副社長アダム・マイヤーズ氏は、ハッカーの目的について詳細を語ることは避けたが、彼らが歴史的に仮想通貨保有を標的とする傾向を強調した。同氏は、「彼らの主な目的は、政権への資金提供にあるようだ」と述べた。

手口を解明する

センチネルワンのサイバーセキュリティ研究者トム・ヘーゲル氏は、北朝鮮のハッキング手法の変化を指摘した。捜査には直接関わっていないが、ヘーゲル氏は北朝鮮が「サプライチェーン攻撃」の技術を磨いてきたことを強調した。こうした戦略には、サービスやソフトウェアプロバイダーに侵入し、顧客から間接的にデータや資金を吸い上げることが含まれる。ヘーゲル氏は「北朝鮮は確実に賭け金を上げている」と警告した。

さらに、ヘーゲル氏は、ジャンプクラウドが公開したデジタルの手がかりが、ハッカーたちと北朝鮮に関連する典型的な活動を結び付けていることを強調した記事を発表する予定だ。

反応と背景

米国のサイバー監視機関CISAとFBIはともにこの問題についてコメントを控えた。

ネットワーク管理者の支援を専門とする会社、ジャンプクラウドでのこの情報漏洩は、同社が顧客に「事件」により認証情報が変更されていると通知したことで発覚した。その後、ジャンプクラウドはブログ投稿で、情報漏洩を6月27日まで遡って追跡したことを明らかにした。サイバーセキュリティを専門とするポッドキャスト「Risky Business」も、北朝鮮が攻撃の第一容疑者だと特定している。

大胆なサイバー攻撃で悪名高いラビリンス・チョルリマは、北朝鮮有数のハッカー集団の一つだ。同集団はこれまでに、膨大なデジタル通貨を盗み出してきた。ブロックチェーン分析企業チェイナリシスは昨年、北朝鮮のハッカーが複数の作戦で推定17億ドル相当の仮想通貨を盗んだと驚くべき事実を報告した。

クラウドストライクのマイヤーズ氏は、北朝鮮のサイバー部隊を過小評価しないように警告し、今後、北朝鮮による同様のサプライチェーン攻撃がさらに増えると予想している。