
Lazarus Group(ラザルス・グループ)は、北朝鮮政府と関連があるとされるハッカー集団で、世界中の企業、金融機関、政府機関を標的としたサイバー攻撃を行っています。
その活動は主にサイバー犯罪、金融詐欺、情報戦略に分類され、特に北朝鮮の国家としての経済的・軍事的利益のために利用されているとみられています。
目次
Lazarus Groupの概要
Lazarus Groupは、2009年ごろからその活動が確認されており、主に国家財政サポートを目的とした不正な資金獲得や、政府・企業の機密情報を盗むサイバースパイ活動、さらには政治的・軍事的な攻撃を実施しています。
彼らの主な標的には、銀行や仮想通貨取引所といった金融機関、IT・エネルギー・防衛関連企業、米国・日本・韓国・欧州諸国の政府機関やインフラが含まれます。
Lazarus Groupの主な攻撃手法
Lazarus Groupは高度なサイバー攻撃技術を駆使し、以下のような手法を使用して標的を狙います。
- フィッシング攻撃: 偽のメールやメッセージを使用し、標的の認証情報を窃取
- マルウェアの使用: 独自のマルウェアを開発し、システム侵入やデータを窃取
- ランサムウェア攻撃: 感染したシステムを暗号化し、身代金を要求
- ウォーターホール攻撃: 標的がよく利用するウェブサイトを改ざんし、そこにアクセスしたユーザーのデバイスを感染させる
- 仮想通貨のハッキング: 仮想通貨取引所を狙い、数億ドル規模の資金を窃取
代表的な攻撃事例:ソニーやDMM、Coincheck等の日本企業も標的に
以下の事例がLazarus Groupが関与していると考えられています。
ソニー・ピクチャーズ・エンタテインメント(2014年)
2014年、ソニー・ピクチャーズ・エンタテインメントは映画『The Interview』を制作しました。この作品は北朝鮮の最高指導者・金正恩氏を風刺する内容を含んでいたため、北朝鮮政府の強い反発を招きました。その結果、Lazarus Groupによる報復的なサイバー攻撃が行われたと考えられています。
攻撃は高度なマルウェアを使用し、ソニー・ピクチャーズの内部システムを破壊。従業員の個人情報、未発表の映画、財務記録、機密文書などが流出しました。さらに、攻撃者は「映画の公開を中止しなければ、さらなる攻撃を行う」と脅迫し、大きな混乱を引き起こしました。この事件は、国家が関与するサイバー攻撃の典型例として広く知られています。
DMM Bitcoin(2024年)
2024年5月、暗号資産取引所「DMM Bitcoin」は、Lazarus Groupの一味とされる「TraderTraitor」によるサイバー攻撃を受け、約4,502.9BTC(当時のレートで約482億円相当)の暗号資産が流出しました。
この攻撃では、暗号資産のウォレットソフトウェアを提供する「Ginco」の従業員が標的になりました。
攻撃者は、Gincoのウォレット管理システムへのアクセス権を持つ従業員に対し、試験を装った悪意あるPythonスクリプトのURLを送付しました。従業員がこのURLにあるコードを自身のGitHubページにコピーしたことで、システムが侵害されました。
その後、攻撃者は取得したセッションクッキー情報を悪用し、Gincoの通信システムにアクセス、DMMの従業員による正規の取引リクエストを改ざんし、結果として大量のビットコインを不正に送金しました。
この事例は、Lazarus Groupが高度なソーシャルエンジニアリング手法を駆使し、暗号資産関連企業を標的としたフィッシング攻撃を続けていることを示しています。
バングラデシュ中央銀行(2016年)
2016年、Lazarus Groupはバングラデシュ中央銀行のシステムをハッキングし、国際銀行間送金ネットワーク「SWIFT」を悪用して総額8,100万ドル(約88億円)を不正送金しました。
攻撃者は、バングラデシュ中央銀行の内部ネットワークに侵入し、SWIFTを通じて米ニューヨーク連邦準備銀行に偽の送金指示を送信。資金はフィリピンの銀行口座へ送られ、その後カジノを経由して資金洗浄が行われたとされています。
この事件は、国際金融システムの脆弱性を突いた巧妙な手口として世界に衝撃を与えました。
WannaCryランサムウェア(2017年)
2017年、世界中の企業や政府機関を混乱に陥れた「WannaCry」ランサムウェア攻撃の背後にもLazarus Groupが関与しているとされています。
具体的には、「EternalBlue」と呼ばれるWindowsの脆弱性を悪用、感染したコンピュータのファイルを暗号化し、被害者はファイルを復元するために身代金を支払うよう要求されました。
被害は全世界150カ国に及び、病院や鉄道会社などの重要インフラも影響を受けました。特に英国の国民保健サービス(NHS)は大きな被害を受け、医療システムが停止する事態に陥りました。
頻繁に仮想通貨や仮想通貨取引所へ攻撃(2018年~現在)
Lazarus Groupは、近年、仮想通貨を標的にしたハッキングを活発に行っています。
- Coincheck(2018年): 日本の仮想通貨取引所「Coincheck」から約5.3億ドル(約580億円)相当の仮想通貨が流出しました。攻撃者は内部のセキュリティ管理の脆弱性を突き、多額の資産を不正に送金しました。
- Axie Infinity (2022年): 人気NFTゲーム「Axie Infinity」のRonin Networkが攻撃を受け、6億ドル(約800億円)以上の資金が流出しました。攻撃者は、Roninのバリデータノードのアクセス権を乗っ取り、不正なトランザクションを実行しました。
- Atomic Wallet(2023年):仮想通貨ウォレットサービス「Atomic Wallet」が大規模なハッキング被害を受け、約3,500万ドル(約48億円)相当の仮想通貨が流出しました。 この攻撃により、同社がハッキングに関する情報提供や適切な対応を怠ったと複数の投資家から集団訴訟を起こされています。
- Stake.com(2023年):オンラインカジノおよびスポーツベッティング(賭博)プラットフォーム「Stake.com」が大規模なハッキング被害を受け、約4,100万ドル(約60億円)相当の仮想通貨が流出しました。
Lazarus Groupを含む、北朝鮮のサイバー攻撃集団は窃取した仮想通貨を以下のアドレスに移動したこと
Ethereumアドレス
- 0x94f1b9b64e2932f6a2db338f616844400cd58e8a
- 0xba36735021a9ccd7582ebc7f70164794154ff30e
- 0xbda83686c90314cfbaaeb18db46723d83fdf0c83
- 0x7d84d78bb9b6044a45fa08b7fe109f2c8648ab4e
Binance Smart Chain(BSC)アドレス:
- 0xff29a52a538f1591235656f71135c24019bf82e5
- 0x0004a76e39d33edfeac7fc3c8d3994f54428a0be
- 0xbcedc4f3855148df3ea5423ce758bda9f51630aa
- 0xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd62
- 0x95b6656838a1d852dd1313c659581f36b2afb237
Polygonアドレス:
- 0xa2e898180d0bc3713025d8590615a832397a8032
- 0xa26213638f79f2ed98d474cbcb87551da909685e
Bitcoinアドレス:
- bc1qfesn3jj65fhmf00hh45ueql8je8jae6ep3qk84
- bc1qtalh4l8qc0p2qw70axxjhwu9z7rm93td5sgsl3
- bc1qlq3s8hgczfe62yt94xqasdr5ftuuyrc5kgvpwr
- bc1qy78e6ml7f3p438jqrrlzsewx625y0sr7jsesa7
- bc1qqa682d2q0wtx5gfpxh4yfl9s4k00ukakl5fpk5
- bc1qmqgkxzzfzjqepptw9xzxy03672xg55q559fmvr
- bc1qdjmwm8q74r0yx99nghaeu33xdmz3lqnt2uspqv
- bc1qrqv5f7jxhp67jcgk9wv5jx4795wlntvhdz2a7j
- bc1q82gvk20m08uctmmr97p2mqyxtyh6xf68rwe0t9
- bc1q8y9wc2p9444y8r77xtmswxm9qqw90nrpufkx47
- bc1qqvpjgaurtnhc8smkmdtwhx9c8207m0prsyxyjx
- bc1qfcl8a4ck7uu3phgg5fj6g9servp6f85j3frcd3
- bc1qqydp9muxtnxyet3ryfqc467wjtm23f0r7eh5aa
- bc1qe4n22sduyylws74aewc6y6g32nglvglqu7hted
- bc1qy0ggpxu8f6lta6vf44vervr4py2uu829grj8yh
- bc1q32dzmf4t5a3xxvyxn07scgpmjznnz3kwjhw8uc
- bc1qkrkxgvp2te3xhgn74c2azt4flf9u05y56kh3a9
- bc1q6w7qlaj3mfkgfrxwtvhw45cu86wew7xpjfqcmy
- bc1qc593a4d2hznk2ext3k2zmpdrqazlhhh80m4xas
- bc1qtnuzecpqaakj0dt855n24dv7u5pme7vyct2cf2
- bc1qvjpgxa2g3nvyw2hnclptextllu9dr4vkew8jfp
- bc1qg0qygyv3qfp8cjyy99ch9vc9dp876vl8wys67u
Lazarus Groupの現在の動向
- 仮想通貨関連の攻撃を継続: DeFi(分散型金融)やNFT関連のプラットフォームへの攻撃が増加
- AIを活用したフィッシング攻撃: より精密で巧妙な詐欺メールを使用する傾向
- 国家レベルでの対応強化:
- 国際的なサイバーセキュリティ協力が進む
企業、個人が取るべき対策
米国、EU、日本、韓国などが制裁を強化し、国際的なサイバーセキュリティ協力が進む一方、企業や個人単位で以下のような対策が必要です。
(1) 企業
- 二段階認証(2FA)の導入
- サイバーセキュリティ教育の徹底
- 定期的なシステムアップデートとパッチ適用
- ネットワーク監視と異常検知システムの導入
- 重要データのバックアップ
(2) 個人
- フィッシングメールへの注意(怪しいリンクや添付ファイルを開かない)
- パスワードの使い回しを避ける(パスワードマネージャーを活用)
- 仮想通貨ウォレットのセキュリティ強化(ハードウェアウォレットの使用)
- OSやソフトウェアの最新アップデートを適用
まとめ
Lazarus Groupは、北朝鮮政府と関係の深い高度なハッカー集団であり、サイバー犯罪、国家支援型ハッキング、金融詐欺を行っています。特に仮想通貨や金融機関を標的とした攻撃が多発しており、世界中のセキュリティ機関が警戒を強めています。
企業や個人も、サイバーセキュリティ対策を強化し、こうした攻撃から自身を守ることが極めて重要です。
参照元