APT37|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. APT37
             

APT37

APT37 は、北朝鮮に関連するサイバー攻撃グループで、「Reaper」「RedEyes」「ScarCruft」などの別名でも知られています。APT37は、韓国や日本を含むアジア諸国や、北朝鮮の政治的・経済的利益に影響を及ぼす可能性のある企業や政府機関を主な標的としています。また、人権活動家や脱北者組織、メディアも攻撃対象とされることが多いです。APT37は、情報収集、スパイ活動、政治的工作を目的とした攻撃を得意とし、特にエネルギー・インフラ、金融、製造業など、戦略的に重要な分野で活動しています。

APT37の活動は、2012年頃から報告されており、主にマルウェア、ゼロデイ攻撃、スピアフィッシング攻撃などの手法を駆使して標的に侵入します。APT37は他の北朝鮮系APTグループ(APT38やLazarus)と連携して活動することもあると考えられており、国家の利益に直接貢献するスパイ活動を行っていると見られています。

APT37の主な攻撃手法

APT37は、攻撃対象の特性に合わせて複数の手法を組み合わせて攻撃を仕掛けます。以下は、APT37の代表的な攻撃手法です。

1. スピアフィッシング攻撃

APT37は、標的にスピアフィッシングメールを送り、リンクをクリックさせたり添付ファイルを開かせたりして、マルウェアをインストールさせます。APT37は、政治的に敏感な内容や業務に関連する内容を装って、ターゲットの関心を引き、標的のネットワークに侵入する手段としてこの方法を多用しています。

2. ゼロデイ攻撃

APT37は、未発見の脆弱性を悪用するゼロデイ攻撃も活用します。特に、Microsoft OfficeやAdobe Flashの脆弱性を狙う攻撃が確認されています。ゼロデイ攻撃は、システムのセキュリティ更新が行われる前に脆弱性を利用するため、APT37にとって有効な侵入手段です。

3. カスタムマルウェア「RAT」

APT37は、標的のデバイスを遠隔操作するための「リモートアクセス型トロイの木馬(RAT)」を使い、ネットワーク内にアクセスします。APT37は、特定の攻撃に応じて「KONNI」「DOGCALL」「POISON IVY」などのカスタムマルウェアを使用して、標的のファイルを窃取し、キーロギングやスクリーンショットの取得などの情報収集活動を行います。

4. モバイルデバイスへの攻撃

APT37は、モバイルデバイスも標的にする数少ないAPTグループの一つです。Android向けのスパイウェアを開発し、標的のスマートフォンに感染させて、通話履歴、メッセージ、位置情報、写真などの個人情報を盗むことが確認されています。これにより、ターゲットの行動や通信内容を監視し、重要な情報を収集します。

5. サプライチェーン攻撃

APT37は、サプライチェーン攻撃も行い、標的組織と取引があるサードパーティの業者を介して間接的に侵入することもあります。これにより、標的組織の防御体制を回避し、より効率的にアクセスする手法を取ります。

6. ストガン(steganography)技術の利用

APT37は、隠蔽技術として「ストガン」と呼ばれる画像にマルウェアのコードを埋め込む手法も使っています。この技術は、検出が難しく、標的にマルウェアを送り込む際にセキュリティソフトを回避するために利用されます。

APT37の標的と目的

APT37は、北朝鮮の利益に貢献することを目的とし、以下のような組織や分野を主に標的にしています。

  1. 韓国政府と防衛産業
    APT37は、北朝鮮と政治的緊張のある韓国の政府機関や軍事施設を標的にし、軍事機密や安全保障に関わる情報を収集します。これにより、北朝鮮の国防戦略に役立つ情報を得ることが狙いです。
  2. 人権活動家と脱北者組織
    APT37は、北朝鮮の体制に批判的な人権活動家や脱北者支援組織に対しても攻撃を行います。これにより、北朝鮮政府にとって不都合な情報の収集や、活動家への威圧的なメッセージを送ることが目的とされています。
  3. 日本を含むアジアの政府機関と産業
    日本やアジア各国の政府機関、特に外交関連の組織やエネルギー産業を標的にして、地域の政治情勢やエネルギー政策に関する情報を収集しています。これにより、地域全体の安全保障に関する情報を北朝鮮が把握することが狙いです。
  4. エネルギー・インフラおよび製造業
    エネルギー分野や製造業も標的とし、製品開発や技術情報を盗むことで北朝鮮の経済的利益に貢献しようとしています。また、インフラ関連の情報収集によって、戦略的な意思決定に役立つ情報を得ることを狙っています。
  5. 医療・医薬分野
    APT37は、医療・医薬分野における研究情報を狙うこともあり、特にバイオテクノロジーや医薬品の開発に関わる情報を収集します。これは、北朝鮮が医療技術や医薬品の開発において競争力を持つための情報収集活動の一環と考えられます。

APT37による被害とリスク

APT37の活動は、標的となる組織や個人に対して深刻なリスクをもたらします。

  1. 機密情報の漏洩
    APT37は、政府機関や防衛関連の機密情報を盗むことで、標的国家の安全保障や防衛戦略に関する機密が漏洩するリスクがあります。
  2. 人権活動への圧力と威圧
    APT37は、脱北者や人権活動家に対する監視活動も行い、ターゲットに圧力をかけるためにサイバー攻撃を利用します。これにより、ターゲットが自由な活動や発言ができなくなる恐れがあります。
  3. 産業スパイ活動による経済的損失
    製造業やエネルギー産業の技術や製品開発情報の流出は、ターゲット企業の競争力を低下させ、知的財産の盗難による経済的損失につながります。
  4. 医療技術と公衆衛生に対するリスク
    医療研究のデータや技術情報の窃取は、医療分野の研究開発活動に悪影響を与え、公衆衛生の分野にもリスクをもたらす可能性があります。

APT37に対する対策

APT37のような高度なサイバー攻撃に対抗するためには、以下の対策が有効です。

  1. 多層的な防御体制の整備
    ファイアウォール、侵入防止システム(IPS)、エンドポイントセキュリティなど、多層的な防御を構築して、APT37による侵入を防ぎます。
  2. フィッシング対策と教育
    APT37はスピアフィッシング攻撃を多用するため、従業員にフィッシングメールの識別方法を教育し、不審なリンクや添付ファイルを開かないよう注意を促します。
  3. 脆弱性の管理と迅速なパッチ適用
    APT37はゼロデイ脆弱性を悪用するため、システムの脆弱性管理とパッチの迅速な適用が重要です。定期的な更新で脆弱性を修正し、未対策の脆弱性が悪用されるリスクを軽減します。
  4. モバイルデバイスのセキュリティ強化
    APT37はモバイルデバイスも標的とするため、信頼性のあるモバイルセキュリティアプリを導入し、モバイルデバイスの監視と保護を行います。
  5. 特権アクセス管理の強化
    クレデンシャルダンピングや横移動に対抗するため、特権アカウントへのアクセス管理を強化し、特権アカウントに対して多要素認証(MFA)を導入することが推奨されます。

まとめ

APT37(Reaper)は、北朝鮮と関係があるとされるサイバー攻撃グループであり、韓国や日本などアジア諸国の政府機関、産業、脱北者や人権活動家などを標的にして、情報収集やスパイ活動を行っています。APT37の攻撃に対抗するには、セキュリティの多層化、フィッシング対策、脆弱性管理、モバイルセキュリティ強化が不可欠です。APT37のような高度な持続的脅威には、早期の脅威検出と迅速な対応が重要となります。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。