キムスキー

キムスキー (Kimsuky) は、北朝鮮の国家支援型ハッカーグループ^[1]。 国連安保理の北朝鮮専門家パネルは、ラザルスグループと同じく朝鮮人民軍偵察総局(RGB)の傘下にあると指摘しているが^[2]、軍ではなく秘密警察に相当する国家保衛省の傘下とする見方もある^[3][4]。

北朝鮮はラザルスの他、キムスキーやビーグルボーイズなど複数のハッカー集団を擁しているとされ^[5]、2009年頃までは偵察総局傘下に一つの部隊が置かれていただけだったが、情報収集、金銭窃取、インフラ破壊、北朝鮮内での電子戦かく乱など目的ごとに部隊が細分化されたという^[6]。その中でキムスキーは韓国に対するハッキングを主導していると目されており^[1]、政府、シンクタンク、産業、原子力事業者、および韓国統一部を標的としたスパイ活動やサイバー攻撃を行っている^[7]。近年はロシア、アメリカ、ヨーロッパ諸国など活動範囲は拡大している^[8]。 また北朝鮮は国際社会による経済制裁で困窮しており、外貨集めのため暗号通貨などの窃盗も行っていると見られている。2017年5月にインタビューを受けた北朝鮮軍偵察総局所属のハッカーだった脱北者は「サイバーの目的は、軍事情報の収集と資金稼ぎ。ハッキングは国際問題になるため、金正恩の指示がないとできない」と語っている^[5]。

「Kimsuky」という名前は、同グループの攻撃を初めて報告したロシアのセキュリティ企業カスペルスキーが、盗み出した情報を送信する電子メールアカウント名が「キム・スクヒャン(Kimsukyang)」だったことから名付けたものである^[9]。同グループは「Gold Dragon」「Babyshark」「Appleseed」など数多くのマルウェアを使用するが^[10]、kimsukyの文字がコード内に繰り返し使用されているためキムスキーシリーズとも呼称される^[11]。

別名

国家支援型ハッカー集団は自ら名乗り出たり犯行声明を出すことも無いため、セキュリティ企業各々によって付けられた様々な識別名が多数存在する。

• クラウドストライクはベルベット・チョンリマ（紫の千里馬）^[4][8][12]
• PwCはブラック・バンシー^[8][12]
• マイクロソフトはタリウム^[8][12]
• シマンテックはクローバーワーム、スプリングテイル^[12]

2012年、アメリカのサイバーセキュリティ・インフラセキュリティ庁とFBIは少なくとも2012年にはキムスキーが活動を開始していた可能性があるとしている^[8][13][14]。

2013年、セキュリティ企業が初めてKimsukyの活動を確認したとされ、軍事関連や報道機関を対象に継続的な情報奪取を試みていた^[9]。

2015年

2015年、韓国で23基の原子炉を運営している韓国水力原子力発電（英語版）（韓水原：KHNP）に対しハッキングを行った^[15][16]。韓国政府の報告書では、この攻撃を受けたのは「重大ではないネットワーク」で影響はなかったものの、キムスキーはネットワークに侵入した直後に3基の原子炉の閉鎖を要求してきたとしている^[17]。

2019年

5月、韓国のセキュリティ企業イストセキュリティ(ESTsecurity)は、キムスキーが韓国の仮想通貨取引所アップビットの顧客を狙ったフィッシング詐欺を行っているというレポートを発表した。メールの差出人は同取引所のアドレスを装っており、顧客に対しアカウント情報を要求する内容の偽造メールを送付。ファイルを開くとマルウェアが実行され、各種パスワードや取引所のアカウント情報などを攻撃者に送信し、無断でリモート接続を行う不正なファイルをインストールするという^[18]。

7月中旬から8月中旬、ESTsecurityはキムスキーが韓国統一部など政府機関を語り、韓国の退職した外交官や政府、軍関係者を標的とした攻撃を行っていたと報じた^[19][20]。太永浩元・駐英北朝鮮公使（2016年に韓国に亡命）がスマートフォンをハッキングされた事件で、背後にいたのがキムスキー^[1]または同じく北朝鮮のハッカー集団である「クムソン121」(Geumseong121)だったとされている^[21]。退職者を狙ったのは、現役の高官と強い繋がりを維持している割に、強固なサイバーセキュリティー対策が施された政府のITシステムを使えず、セキュリティが甘くなるため標的にしやすかったためと推察される^[22]。

2020年

9月、国際連合安全保障理事会の11人の職員に対しハッキングを行っていたとが報告された^[16][23]。「国際平和と安全保障の維持のための法規範強化：国際人権法」というタイトルの電子メールを送り、中には悪意のあるプログラムを仕込まれていた^[1]。

セキュリティ企業Mandiantは、北朝鮮のハッカー集団「TEMP.Hermit」と「Kimsuky」が新型コロナウイルスのワクチン開発を行う製薬会社をハッキングしていたと報告した^[24][25][26]。

11月から2021年2月にかけて、2020年アメリカ合衆国大統領選挙や北朝鮮の党大会に関するテーマの標的型攻撃メールの存在が報告された^[27]。

2021年

5月、韓国の保守政党「国民の力」の河泰慶議員が、最上位の国家保安施設である韓国原子力研究院の内部ネットワーク内でキムスキーが検出されたと報告した^[28]。同研究院は当初ハッキングの事実を伏せていたが、仮想私設ネットワーク(VPN)の脆弱性を突かれ、身元不明の外部の人間から不正アクセスを受けていたことを認めた^[29]。韓国のセキュリティ企業IssueMakersLabによると、攻撃に使われた13個のIPアドレスの内1つが同グループと関連することが判明した。原子力関連技術が北朝鮮に流出した可能性も含め、韓国政府が被害の詳細を調べているが、「中核情報が北朝鮮に流出した場合、深刻な安全保障上のリスクをもたらす可能性がある」と同議員は警告している^[30][31]。

6月、韓国航空宇宙産業(KAI)がハッキングを受けたことで判明した。KAIへのハッキングはKAERIと同時期に行われたという点で、同一犯による犯行と考えられている^[32]。情報当局は、KAIの開発している戦闘機「KF-21」（ボラメ）や、大宇造船海洋が建造している「島山安昌浩級潜水艦」の設計図面などを狙ったと見ている^[33][34]。

11月、セキュリティ企業プルーフポイントは、キムスキーが朝鮮統一問題を扱うロシアの専門家と関連機関を攻撃したと報じた^[35]。

2022年

2月、国連安保理はキムスキーが国際原子力機関(IAEA)に技術データを盗み出す目的でVPNにサイバー攻撃を行った可能性があると報告した^[36]。

• ラザルスグループ - 北朝鮮のハッカー集団。
• リコシェ・チョンリマ（英語版） - 同上。
• 北朝鮮サイバー軍