Googleの正規サービスが、国家支援型ハッカーグループによって破壊活動のツールに変えられた。北朝鮮のサイバー攻撃グループ「KONNI」が、Android端末の紛失・盗難時に位置特定やデータ保護を目的とする「Find Hub」(日本では旧「デバイスを探す」に相当)を悪用し、標的のスマートフォンやタブレットを遠隔で初期化、データを完全消去する新たな攻撃キャンペーンが確認された。これは、侵入の痕跡を抹消するための巧妙かつ悪質な手口であり、信頼されるクラウドサービスが孕む新たなリスクを浮き彫りにしている。

AD

Googleの善意が牙を剥く、前代未聞のサイバー攻撃

今回の攻撃を明らかにしたのは、韓国のサイバーセキュリティ企業Geniansの脅威分析部門であるGenians Security Center (GSC)だ。GSCのレポートによると、この攻撃は北朝鮮の偵察総局傘下にあるとされるハッカーグループ「Kimsuky」や「APT37」とも関連が指摘される「KONNI」によるものと特定されている。

注目すべきは、攻撃者がマルウェアを使って直接デバイスを破壊するのではなく、Googleがユーザー保護のために提供している正規の機能を悪用した点にある。GSCは、国家支援型ハッカーグループがGoogleのデバイス管理機能を乗っ取り、データ破壊という破壊的活動に利用したことが確認された初のケースだと指摘している。 この手口は、従来のセキュリティ対策の多くをすり抜ける可能性を秘めており、我々が日常的に利用するサービスの信頼性を根底から揺るがすものだ。

攻撃の標的となったのは、主に韓国国内のユーザーであり、特に北朝鮮脱北者の若者を支援する心理カウンセラーなどが含まれていた。 これは、KONNIが特定の目的を持って標的を選定し、情報収集や関係者への妨害活動を行っていることを示唆している。

巧妙に仕組まれた攻撃の全貌:信頼の悪用からデータ破壊まで

この攻撃は、単一のマルウェアによる単純なものではない。人間の心理的な隙を突くソーシャルエンジニアリングから始まり、複数の技術を連鎖させた、極めて計画性の高いシナリオに沿って実行される。

侵入の第一歩:KakaoTalkで配布される「ストレス解消アプリ」

攻撃の起点は、韓国で絶大なシェアを誇るメッセンジャーアプリ「KakaoTalk」だった。 攻撃者は、まず標的となる人物(今回のケースでは心理カウンセラー)のアカウントを乗っ取る。そして、その人物になりすまし、信頼関係のある連絡先リスト、例えばカウンセラーが支援する脱北者の学生などに、マルウェアを仕込んだファイルを送信する。

ファイルは「Stress Clear.msi」といった、無害なアプリケーションを装っていた。 「ストレス解消プログラム」という名称は、心理的な支援を求める人々の関心を引きやすく、警戒心を解くための巧みな偽装だ。信頼する知人から送られてきたファイルであるため、被害者は疑いなく実行してしまう可能性が高い。このように、人間関係における「信頼」を悪用する点が、この攻撃の第一の巧妙さである。

水面下で進行するマルウェア感染と情報窃取

被害者が「Stress Clear.msi」を実行すると、表面的には通常のインストール画面が表示される。しかし、その裏では悪意のある活動が静かに進行していた。

  1. AutoItローダーの潜伏: MSIインストーラーは、バックグラウンドで「AutoIt」というスクリプト言語の実行ファイルと悪意のあるスクリプト(IoKlTr.au3)をPCの共有フォルダ(Public\Music)にコピーする。
  2. 永続性の確保: 攻撃者はWindowsのタスクスケジューラを悪用し、1分ごとにこの悪意のあるスクリプトを実行するよう設定する。 これにより、PCが再起動されてもマルウェアは活動を続け、システムに深く根を下ろす。
  3. RATの投下: 潜伏したスクリプトは、外部のC2(コマンド&コントロール)サーバーと通信を開始し、さらなるマルウェアをダウンロードする。これには「RemcosRAT」「QuasarRAT」「RftRAT」といった、遠隔操作を可能にするRAT(Remote Access Trojan)が含まれていた。

RATに感染したPCは、完全に攻撃者の支配下に置かれる。キーボード入力の記録、Webカメラの盗撮、ファイルの窃取など、あらゆる情報が盗み出される。この段階で最も重要な標的となるのが、Googleや韓国のポータルサイトNaverなどのアカウント認証情報(IDとパスワード)だ。

「デバイスを探す」機能の悪用:GPS追跡と遠隔データ消去

Googleアカウントの認証情報を手に入れた攻撃者は、いよいよこの攻撃の核心である「Find Hub」の悪用に取り掛かる。

攻撃者は、窃取したアカウント情報を使って被害者のGoogleアカウントにログイン。次に「Find Hub」サービスにアクセスし、登録されているスマートフォンやタブレットの位置情報をGPSでリアルタイムに追跡する。 攻撃者は被害者が自宅や職場から離れ、すぐにはデバイスの異変に気づけないタイミングを正確に見計らっていた。

そして、被害者が外出中であることを確認すると、攻撃者は躊躇なく「Find Hub」のリモートワイプ(遠隔データ消去)機能を実行する。この命令が実行されると、Android端末は工場出荷時の状態にリセットされ、写真、連絡先、メッセージ、アプリケーションなど、保存されていた全てのデータが完全に消去される。

GSCの分析によると、攻撃者はワイプコマンドを一度だけでなく、3回以上にわたって執拗に繰り返し送信していた。 これは、万が一被害者が初期化プロセスに気づいても、復旧作業を困難にし、デバイスを長時間使用不能な状態に陥れるための、極めて悪質な妨害工作である。

証拠隠滅と感染拡大の二重攻撃

デバイスのデータ消去は、単なる嫌がらせではない。これは、自らの侵入の痕跡を消し去るための、計算された証拠隠滅工作だ。スマートフォンが初期化されれば、そこから攻撃の足跡を追うことは極めて困難になる。

さらに狡猾なのは、攻撃がここで終わらない点だ。スマートフォンがワイプされ、各種通知が被害者の元に届かなくなった隙を突き、攻撃者は次の手に移る。被害者のPCにまだログイン状態で残っているKakaoTalkのデスクトップアプリを悪用し、そこから友人や同僚など、連絡先リストの全員に新たなマルウェアを一斉に送信するのである。

つまり、データ破壊による証拠隠滅と、乗っ取ったアカウントを踏み台にした二次的な感染拡大を、ほぼ同時に実行していたのだ。これは、攻撃者の戦術的な成熟度の高さを示すものであり、従来のAPT攻撃シナリオとは一線を画す、新たな脅威の形と言えるだろう。

AD

なぜKONNIの犯行と言えるのか?デジタル証拠が語る真実

GSCがこの一連の攻撃をKONNIの犯行と断定した背景には、複数の揺るがぬデジタル証拠が存在する。

過去のキャンペーンとの類似点

今回の攻撃で使われた手口やツールは、過去に確認されているKONNIのキャンペーンと多くの共通点が見られる。

  • ツールの重複: 攻撃の中核を担ったAutoItスクリプト「IoKlTr.au3」は、過去にKONNIが警察機関などを装ったスピアフィッシング攻撃で使用したものと同一だった。
  • MSIパッケージの類似性: マルウェアの配布に使われたMSIインストーラーは、過去のキャンペーンと同様、EMCO Software社の「MSI Package Builder」という特定のツールで作成されていた。バージョンも酷似しており、同じ攻撃者が作成した可能性が極めて高い。
  • RATの相関: 投下されたRATの中には、韓国を標的とした攻撃で頻繁に観測される「RftRAT」が含まれていた。このRATは世界的に見ると使用例が少なく、特定の攻撃者グループとの関連性が強いマルウェアである。

マルウェアに残された「開発者の痕跡」

さらに決定的な証拠が、マルウェアの内部から見つかった。解析されたAutoItスクリプトには、開発環境の内部フォルダパスと思われる文字列が残されていた。

D:\3_Attack Weapon\Autoit\Build\Remcos\RunBinary.a3x

「Attack Weapon(攻撃兵器)」と名付けられたこのフォルダパスは、過去のKONNIのマルウェアから発見されたパス構造(D:\3_Attack Weapon\Autoit\Build\Lilith\Lilith.a3x)と完全に一致する。 これは、攻撃者が同じ開発環境を使い回していることを示す強力な証拠であり、いわば「デジタルな指紋」に他ならない。

これらの技術的証拠を総合的に分析した結果、一連の攻撃はKONNIによるものと結論付けられた。

我々はどう身を守るべきか?個人と企業ができる対策

この巧妙な攻撃から身を守るためには、従来の対策に加えて、新たな視点での防御が不可欠だ。

個人ユーザー向けの防御策

  • 2要素認証(2FA)の徹底: 最も重要な対策だ。Googleをはじめとする重要なオンラインアカウントには、必ず2要素認証を設定すること。たとえパスワードが盗まれても、2FAが不正ログインを防ぐ最後の砦となる。
  • 安易にファイルを開かない: 知人からのメッセージであっても、添付ファイルやリンクは一度立ち止まって考える習慣を持つべきだ。特に実行形式のファイル(.exe, .msiなど)には最大限の警戒が必要だ。
  • PCの電源オフ: 自宅を離れる際や就寝時にはPCの電源を落とす。これにより、遠隔操作のリスクを物理的に低減できる。
  • Webカメラの物理的遮断: 使用しないときは、Webカメラにカバーをかけるなど物理的に塞ぐことを推奨する。Webカメラによる盗撮は、被害者の不在を確認する手段にも使われる。

企業に求められるセキュリティ

  • EDR(Endpoint Detection and Response)の導入: 従来のアンチウイルスソフトでは検知が困難な、今回のようなファイルレス攻撃や振る舞いによる攻撃を検知・対応するためには、EDRの導入が不可欠だ。プロセスの異常な挙動や不審な通信を監視し、早期に脅威を封じ込める体制が求められる。
  • 行動ベースの異常検知: 正規のツールが悪用される攻撃に対抗するには、「何を使っているか」ではなく「どのように使っているか」を監視する行動ベースの検知が有効だ。
  • 従業員への継続的な教育: ソーシャルエンジニアリングは、常にセキュリティの最も弱い環である「人」を狙う。定期的な訓練と啓発により、組織全体のセキュリティ意識を高めることが重要だ。

AD

「正規機能の武器化」が示す新たな脅威

今回の事件は、サービス提供側の善意の機能が、いかに容易に攻撃者の「武器」となり得るかという厳しい現実を突きつけている。

「デバイスを探す」機能は、本来ユーザーの資産を守るためのセーフティネットだ。しかし、アカウントという「鍵」を奪われれば、そのセーフティネットはユーザー自身を奈落に突き落とす罠へと反転する。これは、クラウドサービスが社会インフラとして深く浸透した現代において、我々が直面する新たなパラダイムシフトと言えるだろう。

攻撃者はもはや、ゼロから複雑な攻撃ツールを開発する必要はない。GoogleやMicrosoft、Amazonといった巨大プラットフォーマーが提供する、高機能で信頼性の高いサービスを乗っ取れば、より低コストで、かつ検知されにくい攻撃を実行できる。これは「Living Off the Land (LotL)」と呼ばれる攻撃手法の究極的な進化形であり、セキュリティ業界全体にとっての大きな課題だ。

Googleのようなプラットフォーマーには、今一度、自社サービスが悪用されるリスクシナリオの再点検が求められる。例えば、リモートワイプのような強力な権限を行使する際には、パスワードの再入力だけでなく、登録済みの他のデバイスへのプッシュ通知や、顔認証・指紋認証といった多要素での本人確認を必須とするなどの追加的なセキュリティ措置の導入が考えられる。

我々は、便利で高機能なサービスが、常に性善説の上だけで成り立つわけではないことを認識しなければならない。国家の支援を受けた高度な攻撃者は、我々の想像の斜め上を行く発想で、システムの「想定外の脆弱性」を突いてくる。今回のKONNIによる攻撃は、その冷徹な事実を我々に改めて示した、重要な警告である。

Sources