はじめに

サイバーセキュリティ企業Trellixが発表した最新の脅威レポートによると、2025年4月から9月にかけて、北朝鮮政府関連のハッカー集団が国家支援型サイバー攻撃の大部分を占め、世界をリードしていることが明らかになりました。ピョンヤンのサイバー部隊は、マルウェアを使用しない侵入手法を含む、より高度なハッキング技術を展開しており、その活動は「フィッシングやスパイ活動から雇用ベースの潜入まで、深化し多様化している」とTrellixは指摘しています。

北朝鮮のサイバー活動の現状

Trellixの報告書によれば、北朝鮮関連グループが脅威検出の状況を支配しており、特に悪名高いLazarus Groupが検出数の8.6%を占め、AndarielとKimsukyがそれに続いています。これら北朝鮮関連グループ全体で、Trellixが特定した国家支援型活動の18.2%を占めており、これは北朝鮮のサイバー活動における「著しいエスカレーション」を示しています。彼らは、リモートITワーカーを装った詐欺など、慎重で検出が困難な侵入戦略を追求しています。

攻撃手法と標的

国家支援型ハッカーグループは、マルウェアや脆弱性を回避し、「living-off-the-land（環境寄生型）」技術、すなわちシステムに元々備わっているツールを悪用する傾向が強まっています。特に、Windowsの組み込み機能であるCommand PromptとPowerShellがハッカーによって最も頻繁に使用されるツールの上位に挙げられており、これは「通常のネットワーク活動に溶け込むように設計された高度な回避戦略」と一致しています。Trellixは、この報告書が「確立されたツール選好、継続的な革新、そして戦略的インテリジェンス目標との明確な連携を持つ、成熟したAPT（高度持続的脅威）エコシステム」を明らかにしていると述べています。

攻撃の標的としては、通信セクターがサイバー犯罪者と国家支援型ハッカーの両方にとって最大の標的となり、攻撃全体の71%を占めました。その他、テクノロジー、運輸、ビジネスサービス、金融が上位5位に入っています。被害国別では、トルコが33%で最も多く、米国が24%で続きました。トルコの突出は、「ヨーロッパとアジアの間の戦略的地位、その重要なインフラ、および地域の地政学的緊張に関連する協調的なキャンペーン」が背景にあるとTrellixは推測しています。

セキュリティリーダーへの提言

この脅威環境に対処するため、Trellixはセキュリティリーダーに対し、以下の対策を推奨しています：

• カスタム攻撃ツールや正規プロセスの悪用を検出できる多層防御を実装する。
• 文脈情報を使用して行動異常を特定できる検出ソフトウェアを導入する。
• 最小特権アクセスなどのゼロトラスト原則を適用する。
• 高価値資産を隔離する。
• ネットワーク内を移動しようとするハッカーの主要な標的となる特権アカウントへのアクセスを厳格に強制する。
• SOC、IT、脅威インテリジェンスチーム間の連携を強化し、異常なコマンドライン使用や正規の資格情報を通じた横方向の移動などの微妙な逸脱を早期に特定する。

結論

Trellixは、「組織は、明確な地政学的動機を持つ持続的で標的型キャンペーンを特徴とする成熟したAPTエコシステムに直面している」と結論付けています。重要インフラセクターへの活動の集中と、国家支援型アクターの優勢は、APT作戦が純粋な金銭的動機よりも国家安全保障目標とますます連携していることを示唆しています。

元記事: https://www.cybersecuritydive.com/news/north-korea-hacking-trellix-report/803641/