「スマホ乗っ取り初期化」北朝鮮のハッキングが破壊的段階に

北朝鮮が背後にいるとみられるハッカー集団が、アンドロイド端末やパソコンを遠隔操作し、写真や文書、連絡先などのデータを完全に削除するサイバー攻撃を行っていたことが分かった。これまで個人情報の窃取にとどまっていた北朝鮮のサイバー活動が、現実世界により破壊的な被害をもたらす段階に進化した可能性がある。

韓国の情報セキュリティ企業「ジニアンス・セキュリティセンター」が10日に発表した脅威分析報告書によると、今回確認された攻撃は北朝鮮系ハッカーによる初の「実被害型」攻撃とみられる。報告書によれば、9月5日には韓国内の心理カウンセラーのスマートフォンが強制的に初期化され、奪われたカカオトーク（KakaoTalk）アカウントを通じて「ストレス解消プログラム」を装った悪性ファイルが複数の知人に送信された。

さらに同月15日には、北朝鮮人権活動家のスマートフォンでも同様の攻撃が行われ、端末が初期化された上で、奪取されたカカオトークから悪性ファイルが知人36人に一斉送信された。こうした「信頼関係を装う」手口は、北朝鮮発の典型的なソーシャルエンジニアリング型攻撃とされるが、今回はそれを超える新たな手法が確認された。

ハッカーは被害者のスマートフォンやPCに侵入後、長期間潜伏してGoogleや主要ITサービスのアカウント情報を盗み取った。さらに、Googleの位置情報を活用して被害者が自宅を離れたタイミングを確認し、「デバイスを探す」機能を悪用してスマートフォンを遠隔初期化。その直後、すでに感染していたPCやタブレットを使い、知人に同様の悪性ファイルを拡散させた。

被害者のスマートフォンは通知・通話・メッセージ機能がすべて遮断され、「操作不能」状態にされたため、周囲の人々が異変を察知しても初動対応が遅れ、被害は急速に広がったという。

さらに、ハッカーがPCに搭載されたウェブカメラやマイクを遠隔操作し、被害者の行動を監視していた可能性も指摘されている。感染した端末からは、写真・文書・連絡先などのデータが削除されていた。

ジニアンスは報告書で「北朝鮮のハッカーが、スマート機器のデータ消去とアカウント乗っ取りを組み合わせた攻撃を行ったのは前例がない。北朝鮮のサイバー戦術が、人々の日常生活を直接脅かす“破壊段階”に進化している」と警告した。

同社は被害を防ぐため、二段階認証の導入やブラウザでの自動パスワード保存の回避、使用していない機器の電源遮断など、基本的なセキュリティ対策を徹底するよう呼びかけている。

韓国警察当局もすでに北朝鮮人権活動家の被害事例を捜査中で、使用された悪性コードの構造が北朝鮮系ハッカー組織「ラザルス」などが過去に用いたものと類似していることを確認したという。