Lazarus：Sonyハッキング、軍事諜報活動、韓国銀行への攻撃に関与

2014年11月24日朝は、Sony Pictures Entertainment社員の脳裏に刻まれた日となりました。その日、正体不明のサイバー犯罪集団が同社のサーバーをハッキングし、大量の機密情報を流出させ、Sonyブランドは信頼回復という難題を突きつけられたのでした。FBIは、北朝鮮のハッカーの仕業であるとの疑いを表明しました（英語記事）。それ以降、この犯罪者たちに関して多くが知られることはありませんでした。今日までは。

Kaspersky Labは、社会のセキュリティ向上に役立てるため、NovettaおよびAlienVault Labsほかと連携して臨んだ、サイバー犯罪グループ「Lazarus」に関する共同調査について公表します。この犯罪者グループはSony Pictures Entertainmentのハッキングに関わったと見られ、ソウルに拠点を置く銀行や報道機関を狙った数々の攻撃（2013年）にも関与したと考えられています。

例のSony Pictures Entertainmentハッキング事件の後、当社のスペシャリストたちは、この攻撃で使われたと公に名指しされたマルウェア「Destover」のサンプルを解析しました。その中で、共通の性質を持つ異なるマルウェアサンプルが数々のサイバー犯罪活動に使用された形跡が認められました。

当社でのこの調査は、同一のグループによる新たなマルウェアの存在を事前に見つけ出す一助となりました。

Lazarusグループは他に何をしたのか、私たちはどうやって気づいたのか

この攻撃者グループは、自分たちが開発したものを積極的に再利用していました。1つの悪意あるプログラムのコードを、別のプログラムに流用していたのです。さらに、異なるペイロードをインストールするのに使われる特殊なファイル（ドロッパー）は、パスワード保護されたZIPファイル内にデータを格納するという共通点を持っています。ファイルのパスワードは別の攻撃活動で使われたものと同一で、ドロッパー内にハードコードされています。

また、感染システムから自らの痕跡を消去するために使われる手法にも類似点が見られ、同グループの正体を特定する手がかりとなりました。

Evidence suggests @Sony hackers are alive & well and still #hacking https://t.co/uEgsLcrOUP #infosec #TheSAS2016 pic.twitter.com/fzcpD7aUOL

— Kaspersky Lab (@kaspersky) February 12, 2016

この調査により、犯罪者集団「Lazarus」が軍事諜報活動に関与していたこと、また金融、報道、製造などの業界で業務妨害に及んでいたことが明らかになりました。当社の把握するかぎりでは、被害の多くは韓国、インド、中国、ブラジル、ロシア、トルコなどで認められています。同犯罪者グループは、Hangman（2014-2015）およびWild Positron（別名Duuzer、2015）と呼ばれるマルウェアの作成も行っています。Wild Positronは、Security Analyst Summit 2016でも話題に上りました。

当社の調査結果はAlienVault Labsに共有され、両社は双方の取り組みを一本化した共同調査に踏み切りました。一方で、多数の企業やセキュリティ専門家がLazarusグループの活動を調査していることも判明しました。その1社であるNovettaは、これら関係者による調査結果を公にすることを目指した「Operation Blockbuster」（ブロックバスター作戦）を始動し、Kaspersky Labもこれを支援しました。

Sony Pictures Entertainmentへの大規模ハッキング事件。北朝鮮の関与が報じられる一方、関与を示す根拠に乏しいとする意見も根強く存在。 http://t.co/IcLQY5l3uN pic.twitter.com/3G8z3aYY3i

— Kaspersky Labs Japan (@kaspersky_japan) December 20, 2014

この犯罪者グループについて判ること

Lazarusが作り出した最初のマルウェアサンプルは、2009年に遡ります。Sonyに対する攻撃の5年前でした。2010年以降、新規サンプルの数は大幅に増加しています。このことから、Lazarusグループは長期にわたって活動する攻撃グループであると考えられます。同グループの活動は2014年から2015年にかけてピークに達し、2016年の現在も活発に続いています。

同グループの活動時間から判断すると、彼らの活動域はグリニッジ標準時（GMT）+8時間または+9時間のタイムゾーンであり、真夜中（GMT 0:00）頃に活動を開始、GMT3:00頃に昼食休憩をとっています。また、同グループは非常に仕事熱心で、稼働時間は1日15〜16時間に及びます。これまで当社で把握しているAPT集団（参考サイト）の中でも特に勤勉な集団と見受けられます。

このほかにも興味深い特徴が観測されています。Novettaによると、同社が収集したLazarusグループの実行ファイルサンプルのうち3分の2に、韓国/朝鮮語話者に特徴的な要素が含まれていました。

調査は現在も進行中です。Lazarusグループの詳細と当社による調査の内容は、Securelist（英語）にてご覧いただけます。

関係者はブロックバスター作戦を通じ、この危険なサイバー犯罪者集団について多くのことを解明しました。さまざまな理由から、一社単独ではここまでの結果を導き出すことはできなかったことでしょう。たとえば、セキュリティ製品はさまざまな企業によって開発されており、各製品の地政学的分布も一様ではありません。今回の連携は、情報共有がいかにして犯罪者の特定に結びつき、インターネットをより安全な場にする一助となり得るのかを示す好例となりました。