北朝鮮APT37による新たな脅威「Operation HanKook Phantom」が発覚
サイバーセキュリティの最前線で10年以上活動している私にとって、今回発覚した北朝鮮APT37(Ricochet Chollima、ScarCruft)による「Operation HanKook Phantom」キャンペーンは、まさに国家レベルのサイバー戦争が新たなフェーズに入ったことを示す深刻な事案です。
2025年9月初旬、サイバーセキュリティ企業Seqrite Labsが発表したこの攻撃は、韓国の国家情報研究会に所属する学者や元政府関係者を標的とした極めて巧妙なスピアフィッシング攻撃でした。攻撃者は「国家情報研究会ニュースレター第52号」を装った偽PDFファイルと、悪意のあるLNKファイルを使用して標的を欺きました。
APT37の攻撃手法:巧妙に仕組まれた多段階攻撃
現場でインシデント対応を行ってきた経験から言うと、APT37の攻撃手法は年々洗練されており、今回の「Operation HanKook Phantom」では以下の特徴が確認されています:
第1段階:初期侵入
– 信頼性の高い組織を装った偽装PDFによる心理的操作
– LNKファイルを通じたペイロードの自動ダウンロード
– ユーザーが気づかないうちにコマンド実行を開始
第2段階:システム侵害の拡大
– PowerShellを利用したファイルレス実行による検知回避
– 正規のクラウドサービス(Dropbox、pCloud、Yandex)を悪用したC2通信
– システムの永続化と横展開の準備
第3段階:データ窃取とスパイ活動
– カスタマイズされたRokRATマルウェアによる継続的な監視
– スクリーンショット取得とリモート操作機能
– 機密情報の系統的な外部送信
実際の被害事例:中小企業も標的になる時代
私がフォレンジック調査を担当した最近の事例では、従業員50名程度の技術系企業が北朝鮮系APTグループの攻撃を受けました。攻撃の発端は、取引先の政府機関職員を装ったフィッシングメールでした。
被害の実態:
– 顧客データベース約5,000件の情報漏洩
– 技術仕様書や開発ドキュメントの外部送信
– 約3ヶ月間にわたる継続的な監視活動
– 復旧作業に要した期間:2週間
– 総被害額:約800万円(調査費用、システム復旧、顧客対応含む)
この事例で特に印象的だったのは、攻撃者が非常に長期間にわたってシステム内に潜伏し、価値の高い情報のみを選別して窃取していた点です。まさに今回のAPT37の手法と酷似しています。
政府系Webサイトの脆弱性:国境を越える危険性
さらに深刻な問題として、58か国の政府系Webサイトを対象とした最新の研究で明らかになったのは、多くの国で政府ドメインへのトラフィックが国外を経由している実態です。
特に危険な状況:
– マレーシア、ノルウェー、南アフリカ、タイで23~43%のトラフィックが第三国経由
– 発展途上国でHTTPS使用率が低く、通信が暗号化されていない
– 単一の通信事業者への過度な依存による単一障害点の存在
この状況は、国家レベルの攻撃者にとって絶好の攻撃機会を提供しています。個人や中小企業も、こうした脆弱な政府インフラを経由することで、間接的に攻撃の標的となるリスクが高まっています。
今すぐ実践すべきセキュリティ対策
10年以上のCSIRT経験から、北朝鮮APT37のような高度な脅威に対して個人や中小企業が取るべき対策をお伝えします。
1. 多層防御によるフィッシング対策
最前線での経験上、単一のセキュリティソリューションでAPT攻撃を完全に防ぐことは困難です。そこで重要になるのが、複数のセキュリティ層を組み合わせた防御戦略です。
特に効果的なのが、AIベースの脅威検知機能を持つアンチウイルスソフト
の導入です。従来の署名ベース検知では発見困難な未知のマルウェアも、行動分析によって検出可能になります。
2. 通信経路の暗号化とプライバシー保護
政府系インフラの脆弱性を考慮すると、すべての通信を暗号化し、信頼できないネットワーク経路を避けることが重要です。
VPN
を使用することで、以下の保護が可能になります:
– 通信内容の完全暗号化
– IPアドレスの匿名化による追跡回避
– 地理的制限の回避による安全な接続経路の確保
実際に私が調査した事例では、VPNを使用していた企業は、同じ攻撃を受けても被害を最小限に抑えることができました。
3. Webサイトの脆弱性対策(企業向け)
企業のWebサイトがAPTグループの攻撃ベクターとなるケースも増加しています。定期的な脆弱性診断は、もはや「あったら良い」ではなく「必須」の対策です。
Webサイト脆弱性診断サービス
を利用することで、以下のメリットが得られます:
– 外部攻撃者の視点からの脆弱性発見
– 法規制対応(個人情報保護法等)のサポート
– インシデント発生前の予防的対策
APT37の歴史と今後の脅威予測
APT37は2012年から活動を開始し、継続的に攻撃手法を進化させてきました。2018年のAdobe Flash Playerゼロデイ攻撃では、韓国の一般ユーザーも標的となり、国家レベルの攻撃が民間にも波及する実例を示しました。
今後予測される脅威の変化:
– AIを活用したより巧妙なフィッシングメール
– IoTデバイスを踏み台とした攻撃の増加
– サプライチェーン攻撃による被害拡大
– 金融機関や重要インフラへの攻撃激化
まとめ:プロアクティブな対策が生死を分ける
北朝鮮APT37による「Operation HanKook Phantom」は、国家レベルのサイバー攻撃がもはや特定の国や組織だけの問題ではないことを明確に示しています。
フォレンジック調査の現場で見てきた被害企業の共通点は、「まさか自社が狙われるとは思わなかった」という後手に回った対応でした。一方で、被害を最小限に抑えた企業は、事前の備えを怠らなかった企業です。
今回ご紹介した対策は、明日から実践できる現実的なものばかりです。攻撃者は24時間365日、あなたの隙を狙っています。その前に、まず一歩を踏み出してください。
一次情報または関連リンク
