ロシアと北朝鮮のハッカーがサイバー攻撃で協調か
セキュリティ研究者らは、ロシアと北朝鮮の国家支援型ハッカーが共通のインフラを共有していることを示す証拠を発見しました。これはサイバー地政学における重大な転換点を示唆しています。ロシア系のAdvanced Persistent Threat(APT)グループであるGamaredonと、北朝鮮の主要なサイバー戦部隊であるLazarusが共同で活動している可能性があり、これは国際安全保障に深刻な影響をもたらすと考えられます。
同盟の背景と技術的証拠
ロシアと北朝鮮のパートナーシップは、伝統的な軍事協力の枠を超えて拡大しています。2024年には両国間で包括的戦略的パートナーシップが正式に結ばれ、相互防衛の約束が交わされました。ロシアが2022年にウクライナに侵攻して以来、北朝鮮はモスクワの軍事努力を支援するために弾薬と兵士を供給してきました。この地上の協力が、サイバー空間でも行われているようです。
2025年7月28日、セキュリティ監視システムは、GamaredonとLazarusを共通のIPアドレス(144.172.112.106)を通じて結びつける不審な活動を検知しました。これは、両国の国家支援型アクター間の運用レベルでの協調を示唆しています。このIPアドレスでは、Lazarusに直接帰属するマルウェア「InvisibleFerret」(SHA256: 128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d)がホストされていることが判明しました。これは、以前Lazarusが求職者を標的にした「ContagiousInterview」キャンペーンで観察されたサーバー構造と同一でした。このIPがプロキシやVPNである可能性はありますが、両グループの活動の時系列的な近接性と共有ホスティングパターンは、運用上の協力を強く示唆しています。
主要なハッカーグループのプロファイル
- Gamaredon(ロシア): 少なくとも2013年から活動しており、主にウクライナ政府機関に対して5,000回以上のサイバー攻撃を行ってきました。ウクライナ紛争の激化に伴い、NATO加盟国にも活動を拡大し、キーウへの軍事援助の流れを妨害しています。ウクライナ保安庁は、このグループのメンバーがロシア連邦保安庁(FSB)の第18情報セキュリティセンターに属していると指摘しています。
- Lazarus(北朝鮮): 2009年から活動しており、北朝鮮政府の管理下にあります。当初はスパイ活動や破壊的攻撃に重点を置いていましたが、近年ではStake.com(4,100万ドル)、AtomicWallet(1億ドル)、WazirX(2億3,500万ドル)、Bybit(14億ドル)などの高額な窃盗を含む、金融目的の仮想通貨窃盗にシフトしています。
世界的な安全保障への影響
もしこの協力が確認されれば、これはロシアと北朝鮮の初のサイバー協力事例となります。このようなパートナーシップは、運用上の相乗効果を生み出す可能性があります。Lazarusの仮想通貨に関する専門知識は、秘密作戦の資金源となり、ロシアは北朝鮮の確立された金融インフラから恩恵を受けることができます。この協力はまた、両国の攻撃能力を拡大し、サイバー紛争の複雑さをエスカレートさせます。
この発見は、防御側が単一アクターの帰属を超える検出戦略を適応させる緊急の必要性を強調しています。セキュリティチームは、インフラ相関分析を強化し、組織間の情報共有を優先し、複数の脅威アクターが共通のリソースを悪用する多様な戦術に対処できる多層防御を実施する必要があります。