北朝鮮のハッカー組織キムスキが生成型人工知能(AI)を活用してマルウェアを開発し、政府公務員の電子認証書まで狙うなど、サイバー攻撃の手口を一段と高度化しているとの分析が出た。
セキュリティ企業カスペルスキーが北朝鮮のハッカーグループであるキムスキの最新攻撃戦術を分析した報告書を14日に発表した。
2013年にカスペルスキーが初めて識別したキムスキは、10年以上活動を続けてきた北朝鮮連係の攻撃(APT)組織である。他の韓国語ベースのAPTグループに比べ技術水準は相対的に低いとの評価を受けるが、カスタマイズしたスピアフィッシングメール作成に強みを持つことで知られている。
報告書によると、キムスキは最近、大規模言語モデル(LLM)をマルウェア開発に活用していることが明らかになった。カスペルスキーの研究陣は、直近数カ月間の活動を分析する過程で、ラスト(Rust・プログラミング言語)基盤のバックドアである「HelloDoor(ヘロドア)」を識別した。このマルウェア内部では絵文字を含むコメントと文法的な誤りが見つかったが、カスペルスキーはこれをLLMがコード作成過程に関与した状況とみている。これにより、AIを活用したサイバー攻撃ツールの開発がさらに速く高度化する可能性があるとの分析が出ている。
攻撃手法でも変化が確認された。キムスキは既存のマルウェア拡散方式に加え、ビジュアルスタジオコード(VSCode)のリモートトンネリング機能とリモート管理ツールを攻撃チャネルとして転用していることが明らかになった。これは被害システムがマイクロソフトのサーバーと通信しているように見せることでセキュリティソリューションの検知を回避し、攻撃者がウェブブラウザーを通じて秘匿的に被害機器へ接続できるようにする。
政府機関を狙った脅威も増えている。キムスキが使用する「AppleSeed」マルウェアには、公務員が政府システム接続に使用する政府公認電子認証書(GPKI)の保存ディレクトリを収集する機能が搭載されていることが確認された。カスペルスキーは、当該認証書が流出した場合、公務員アカウントのなりすましを通じた政府システムへのアクセスが懸念されると説明した。
今回の分析では、韓国の軍関係者、政府公務員、防衛産業企業の社員、軍出入りの記者、通信会社の社員などが感染した状況も確認された。キムスキは、製品の見積書や採用公告に偽装した精巧なスピアフィッシングメールを用いて初期侵入を試みていることが分かった。最近ではメッセンジャーを使って接近したり、韓国の正常なウェブサイトをハッキングしてC2(コマンド・アンド・コントロール)サーバーとして悪用するなど、インフラ隠匿の戦術も並行している。
イ・ヒョウン・カスペルスキーコリア支社長は「キムスキの最新キャンペーンは、AIを活用したコード生成と正常ソフトウェアの武器化という二つの軸で精巧さを高めている」と述べ、「企業と機関は行為ベースの検知体制を構築し、最新の脅威インテリジェンスを定期的にアップデートすべきだ」と強調した。