1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ
  5. ラザルス・グループ:”旗”を持つ犯罪組織

Info.

お知らせ

海外ブログ

ラザルス・グループ:”旗”を持つ犯罪組織

ラザルス・グループ:"旗"を持つ犯罪組織 のページ写真 1

2025年9月23日、Christine Barry

ラザルス・グループは、朝鮮民主主義人民共和国(DPRK/北朝鮮)と関連する悪名高い国家支援サイバー犯罪組織です。同グループは、同国主要情報機関である偵察総局(RGB)内で活動しています。アナリストらは、ラザルス・グループのメンバーの大半が北朝鮮の平壌を拠点とし、一部は海外の前哨基地やダミー会社を通じて国外で活動していると見ています。海外活動の一例は2018年の米国司法省声明で詳述されています:

パク・ジンヒョク(Park Jin Hyok)は、Chosun Expo合弁企業で10年以上勤務したコンピュータープログラマーであり…北朝鮮軍事情報機関の一部である第110研究所と関連している。 …これらの活動を独自に調査したセキュリティ研究者らは、このハッキングチームを「ラザルス・グループ」と呼称した。

ラザルス・グループは少なくとも2009年から活動しており、世界で最も多産かつ多才な脅威アクターの一つとなっています。

ラザルス・グループとは何か?

「ラザルス・グループ」という名称は当初、北朝鮮に関連する単一の脅威主体、あるいは「少数の連携したアクター群」を指していました。現在では、北朝鮮軍情報部内のサイバー作戦を担当する多数のサブグループ(脅威クラスター)を包括的に指す用語となっています。マンディアントの研究者は2024年にこの図表を作成し、北朝鮮の組織構造に関する最善の評価を示しました:

ラザルス・グループ:"旗"を持つ犯罪組織 のページ写真 2
2024年時点の北朝鮮機関概要(Mandiant提供)

ラザルス・グループのクラスターを掘り下げる前に、国家保安省(MSS)APT37について簡単に確認しましょう。MSSは国内監視と政治保安活動を担当する民間秘密警察・防諜機関です。同省は国内の情報流通を統制し、北朝鮮国民の忠誠心を監視しています。

APT37は国家保安省の任務を支援するサイバー作戦を実行する。2020年から2021年にかけて、同グループは北朝鮮のパンデミック対策の一環としてCOVID-19研究者を標的にしました。また、北朝鮮脱北者を支援する韓国組織への継続的な標的攻撃も実施しています。APT37は一般的にラザルス・グループの一部とは見なされていません。

ラザルス・グループの脅威クラスターはRGB(偵察総局)内に存在する。研究者は当初、これらのクラスターをRGB内の第5局および第3局に遡及しました(2020年のこの図表の通り):

ラザルス・グループ:"旗"を持つ犯罪組織 のページ写真 3
2020年北朝鮮サイバー作戦評価(一部抜粋)、Mandiant提供

この区別は任務の焦点に基づいています。マンディアント研究者は結論づけました:第5局は韓国及びその他の地域的標的に焦点を当て、第3局は対外諜報を担当。金銭的動機を持つラザルス・グループ・クラスターは第110研究所と関連付けられ、第325局は韓国に対する情報戦及び影響工作を実施しました。

COVID-19パンデミックは北朝鮮のサイバー作戦を混乱させ、海外工作員と平壌の指導部との連絡を断絶させました。海外の脅威アクターは様々な形で協力を開始し、RGBの支援なしにグループ資金調達のためランサムウェアキャンペーンを実行し始めました。その結果、パンデミック後の北朝鮮サイバー作戦は以前とは大きく異なるものとなりました。北朝鮮の地政学的利益が変化するにつれ、局の配置は重要性を失いました。このため、2024年の評価では局の区別を廃止し、ラザルス・グループのクラスターをRGB直下に配置しています。

ラザルス・グループ・クラスター

RGB内には複数の活動クラスターが存在し、その多くは複数の名称で追跡されています。これらのクラスターは協力し、インフラやツールを共有し、特定のプロジェクトのために追加のグループに分裂することもあります。ラザルス・グループのアクターは体制の保護と支援の恩恵を受け、北朝鮮情報システム全体から複数の情報源を通じて情報を提供されています。これにより、グループの指導部とオペレーターは新たな機会を迅速に特定し適応することが可能となります。

研究者は通常、プロジェクトベースで出現・消滅するクラスターを含め、同時に5~8つのクラスターを追跡しています。以下の4つのクラスターが主要グループです:

  • TEMP.Hermit(別名:Diamond Sleet、Labyrinth Chollima、Selective Pisces、TA404):このクラスターは世界中の政府機関、防衛機関、通信機関、金融機関を標的とする。「ラザルス・グループ」という呼称は、最も頻繁にこの活動クラスターを指します。
  • APT43(別名:Kimsuky、Velvet Chollima、Black Banshee、Emerald Sleet、Sparkling Pisces、Thallium):北朝鮮の主要情報収集組織。韓国、日本、米国政府・防衛・学術分野を標的とした高度な諜報活動を実施。
  • APT38(別名:Bluenoroff、Stardust Chollima、BeagleBoyz、CageyChameleon):北朝鮮における金銭目的の活動で最も活発な脅威。銀行、仮想通貨取引所、DeFiプラットフォームを標的とします。APT38は大規模な仮想通貨窃取活動を通じて制裁を回避しています。
  • Andariel(別名APT45、Silent Chollima、Onyx Sleet DarkSeoul、Stonefly、Clasiopa):防衛・航空宇宙・原子力分野に対するサイバー諜報活動と、医療機関に対するランサムウェア攻撃を両立させる二重目的クラスターです。ランサムウェア攻撃で得た資金は諜報活動に充てられます。

ラザルスグループの活動には二つの主要任務があります。諜報・破壊活動に加え、同グループは政権のための資金獲得も担っています。北朝鮮経済は長年国際的な制裁に直面し孤立しているため、この不正収益に依存しています。サイバー犯罪は比較的低コストでありながら、政権が自由に使用できる確実な(現時点では)制裁回避資金を供給します。専門家は、この資金が兵器開発プログラムに流用されていると疑っています。2024年国連報告書より:

調査委員会は、2017年から2023年にかけて朝鮮民主主義人民共和国(DPRK)が暗号通貨関連企業に対して行ったとされる58件のサイバー攻撃を調査中です。被害総額は約30億ドルと推定され、これらが同国の大量破壊兵器開発資金に充てられていると報告されています。

DPRKは、利益が得られる限り、また国際制裁が継続する限り、これらのサイバー攻撃を継続するでしょう。ラザルスグループの金融犯罪活動は、北朝鮮国家経済の基盤的かつ不可欠な構成要素です。

とはいえ、情報収集活動も同様に重要です。パンデミック期間中、同グループは機密性の高いCOVID-19ワクチン研究ファイザーアストラゼネカ、その他複数の製薬企業保健省から窃取していたことが判明しています。また、ロシア侵攻開始で当局の注意が逸れている隙にウクライナ政府機関を標的としました。

カスペルスキーの研究者は、ラザルス・グループの脅威クラスターが、諜報活動と金銭目的のサイバー犯罪を分離・保護する構造を有すると結論づけました。この構造により、RGB(ラザルス・グループ)は各クラスターに最も関連性の高い情報のみを提供できますが、あくまで推測です。これらのクラスターはマルウェアやサーバー、その他のインフラ、さらには人員まで共有していることが確認されており、全てが同一のRGB情報にアクセスしている可能性もあります。

起源

北朝鮮のサイバー能力は1990年、情報技術戦略の主要機関として朝鮮コンピュータセンター(KCC)が設立されたことに端を発します。1995年と1998年には当時の最高指導者金正日が朝鮮人民軍(KPA)に対しサイバー能力の追求を指示しました。

KPAの規模は韓国軍のおよそ2倍であったが、装備と能力が不足していました。金正日は、軍事力の格差を埋める有効な武器としてサイバー作戦を認識しました。専門家は「サイバー戦争」が1998年に軍事領域として正式に確立され、2000年までにこの専門分野の訓練が開始されたと見ています。

ラザルス・グループが脅威主体として台頭したのは2000年代後半、国連が北朝鮮の2006年核実験を理由に制裁を発動した直後のことでした。現在の最高指導者金正恩が権力を掌握し、その政権が軍事力とデジタル戦力の示威を優先するにつれ、制裁はさらに強化されました。こうした環境下で、ラザルスは経済窃盗と世界的なランサムウェア攻撃を基盤とする国家収入源へと成長しました。

ラザラス・グループに帰属する最初の作戦は「オペレーション・トロイ」であり、2009年に米国および韓国政府ウェブサイトに対する分散型サービス拒否(DDoS)攻撃の波として開始されました。これらの攻撃は2013年まで継続し、諜報活動や情報窃取を含む高度な作戦へと発展しました。作戦終盤には標的に破壊的なワイパー型マルウェアが投入されました。

2011年3月、ラザルス・グループはTen Days of Rain(十日間の雨)として知られるキャンペーンを開始。韓国国内の侵害されたコンピューターから発動された、高度化を続けるDDoS攻撃の波が、韓国メディア、銀行、重要インフラを襲いました。2年後、同グループはDarkSeoulワイパー攻撃を実行し、3大放送局、金融機関、ISPをダウンさせました

ラザルス・グループは2014年11月24日、ソニー・ピクチャーズエンタテインメントへの侵入により、高度なグローバル脅威としての存在感を示しました。同グループは数テラバイトに及ぶ内部データを窃取・公開。これには電子メール、従業員情報、未公開映画や脚本が含まれていました。ソニーのワークステーションもマルウェアに感染し使用不能に陥りました。この攻撃は北朝鮮指導者暗殺を題材としたコメディ映画『ザ・インタビュー』への報復でした。北朝鮮は関与を否定していますが、研究者や米国当局者はラザルス・グループによる攻撃と確信しています

攻撃開始時にソニー社内のコンピューターに表示されたと思われる「頭蓋骨」スプラッシュページの画像。投稿者は元ソニー社員を名乗り、現ソニー社員から画像を受け取ったと主張。この画像は最初にRedditに投稿された。Wired経由

金融に関する攻撃

ラザロ・グループは2015年頃から金融犯罪を加速させた。同グループはエクアドルのバンコ・デル・アウストロ銀行から1200万ドル、ベトナムのティエンフォン銀行から100万ドルを盗んだ事件に関与したとされています。これらは2016年2月のバングラデシュ銀行強奪事件の前兆であり、ラザロはSWIFT銀行ネットワークを悪用して8100万ドルを盗み出す前に発見され阻止されました。

2017年、ラザルス・グループはワナクライランサムウェアワームを拡散させ、世界中に広がり数十万台のコンピューターデータを暗号化しました。この攻撃は全世界で約40億ドルの損害と英国医療システムに1億ドル超の混乱をもたらしたと推定されます。グループが回収した金額は約16万ドルに過ぎず、多くの研究者はワナクライは典型的な身代金要求スキームではなく実力示威だったと考えるに至りました。

同時期、ラザルスは仮想通貨取引所、銀行、フィンテック企業への攻撃を開始。2018年9月までに、グループはアジアの5取引所から約5億7100万ドル相当の仮想通貨を窃取。うちコインチェック(日本)からは約5億3000万ドルが盗まれました

2020年には、アプリケーション管理プログラムWIZVERA VeraPortに対するサプライチェーン攻撃を実行。このプログラムは韓国政府が採用するセキュリティ機構の一部であり、政府機関やインターネットバンキングサイトを保護する役割を担っていました。その後2023年にはVoIPソフトウェア提供企業3CXへの攻撃が発生。両攻撃は、ソフトウェア供給網に対する多段階のステルス攻撃を実行する同グループの能力を明らかにしました。

偽の求職者詐欺

同グループの現行戦略の一つは、偽の求人広告や従業員を装った詐欺による企業への潜入です。これらの手口は広く「オペレーション・ドリームジョブ」として知られ、主に米国、イスラエル、オーストラリア、ロシア、インドの防衛、航空宇宙、政府部門を標的としています。

この攻撃の一形態では、脅威アクターが有名企業の採用担当者を装います。偽採用担当者はオンラインプロフィールやオープンソースインテリジェンス(OSINT)を活用し、暗号通貨、フィンテック、防衛、ソフトウェア開発などの業界で働く個人を標的にします。「採用担当者」はLinkedInやメールで候補者に連絡し、高給職への応募を提案します。標的が関心を示せば、脅威アクターはマルウェアを仕込んだ文書である職務内容説明書や雇用契約書を送付します。この攻撃はAxie Infinityのエンジニアに対して成功し、同社に5億4000万ドルの損失をもたらした

第二の攻撃手法では、脅威アクターがIT技術者やフリーランサーを装います。数千人の北朝鮮技術者が海外に派遣され、韓国・日本・欧米のフリーランサーを偽装しています。これらの工作員は偽名でグローバル企業のソフトウェア開発や暗号通貨関連業務に従事するほか、ラップトップファームを介して活動し脅威アクターの真の出所を隠蔽しています。

これらの北朝鮮労働者の一部は、RGB(朝鮮労働党)への収入獲得を任務としています。他には内部アクセス権の取得を命じられ、資金の横領、知的財産の窃取、あるいは将来のラザルス攻撃を支援するためのマルウェアの埋め込みを行います。

ラザルス・グループ:"旗"を持つ犯罪組織 のページ写真 4
PCMag経由のFBI指名手配ポスター(北朝鮮IT労働者)

こうした偽労働者詐欺は、企業の採用活動を攻撃ベクトルに変えます。他の脅威グループも同様の攻撃を行いますが、ラザルスグループ関連のものほどの成功や影響力を持つものは存在しません

感染経路と好まれる戦術

ラザルスグループはシステムへのアクセス獲得に以下の一般的な戦術を用います:

  • 標的型フィッシングメール:ラザルスは標的を絞ったフィッシングメールを送信することが確認されています。これらは政治的・金融関連のメッセージを装い、受信者に悪意のある添付ファイルやURLへの操作を促します。一般的なソフトウェアのゼロデイ脆弱性を悪用する場合もあります。これは依然として同グループの主要な初期アクセス手法です。
  • ソフトウェア脆弱性の悪用:ラザルスはゼロデイ攻撃手法を利用・開発し、公知の脆弱性を極めて迅速に兵器化する能力を持ちます。
  • ウォーターホール攻撃と戦略的ウェブ侵害:同グループは標的層への到達手段としてこれらの戦術を用います。ある攻撃では、ラザルスグループがポーランド金融規制当局のサイトに悪意あるコードを注入し、銀行従業員を悪意あるダウンロードで感染させました。また正規のソフトウェア更新サイトを侵害し、改ざんされたインストーラーを配布した事例もあります。
  • サプライチェーン攻撃:前述の攻撃例が示す通り、ラザルスはサプライチェーン侵害に長けています。
  • ソーシャルエンジニアリングと偽装人物:従業員詐欺以外にも、ラザルスは潜在的なビジネスパートナーや投資家などの偽装身分を作成。例えば、暗号通貨スタートアップへの投資に関心を持つベンチャーキャピタリストを装い信頼関係を構築した後、マルウェアを仕込んだ「デューデリジェンス文書」を共有する手口があります。
  • ラザルス共謀者によるマルウェアの埋め込み: 外国企業に潜入する「偽の労働者」はシステムにマルウェアを配置し、ラザルス・グループのオペレーターに侵入経路を開きます。

ラザルス・グループのソーシャルエンジニアリングを伴わない攻撃は、完全なAPT攻撃チェーンを示します。スピアフィッシングメールや脆弱性悪用による初期アクセスから始まり、ネットワーク内部に侵入すると脅威アクターはマルウェアを配置し、簡易バックドアを開設してコマンドアンドコントロール(C&C/C2)サーバーとの接続を確認します。感染マシンがドメインコントローラーやその他の機密デバイスであるとグループが判断した場合、攻撃を継続します。

この段階でラザルスグループはターゲットシステムに完全なツールキットをインストールします。これにはキーストロークロガー、ネットワークスキャナー、マシンを完全に制御可能な第二段階バックドアといった高度なツールが含まれます。これらのペイロードは検出回避のためレジストリに隠蔽されるか、正当なファイルとして偽装されます。

次の段階は、権限昇格とサーバー間横移動であり、通常は既知の脆弱性や盗んだ認証情報で達成されます。ミッションに応じて、特定データの検索・窃取や金融取引システムの特定を行い、資金窃取の準備を進めます。例えば「FASTCash」作戦では、ラザルスは銀行の決済スイッチサーバーにマルウェアを埋め込み、不正なATM現金引き出しを承認させました。

同グループは複数の方法で痕跡を隠蔽しようとします。一つは、破壊的マルウェアをスケジュール実行するように設定する方法です。バングラデシュ銀行強奪事件では同グループが仕掛けたマルウェアが取引記録の改ざん・削除やログファイル消去を行い、銀行が不正送金を検知できないようにしました。ラザルスはまたロシア語のスニペットや他国のマルウェアコードを埋め込み、帰属の特定を困難にしています。さらに北朝鮮のIPアドレスを隠すため、他国のコンピューターを経由して活動します。

脱北者たち

北朝鮮とラザルスグループに関する情報の多くは、RGB(ラザルスグループ)やその他の高位機関の元メンバーから得られています。これらの脱北者は現在、異なる身分で生活し活動しているため、以下の人物は偽名を使用していると推測されます。

最も著名な脱北者はキム・グクソン(Kim Kuk-song)で、30年間北朝鮮の諜報活動に関与していました。彼は2014年に韓国へ亡命しました。

2021年のBBCインタビューでキムは、ラザルスグループが国家によって高度に管理されていること、工作員は高度な訓練を受け「最高指導者のためにあらゆる手段で資金を調達せよ」との指令を受けていることを確認しました。彼はサイバースペースを北朝鮮にとっての「秘密戦争」と表現し、これらの工作員が通常軍では達成不可能な任務を遂行していると述べました。 また、サイバー作戦が敵の排除や、麻薬・武器密輸など北朝鮮のその他の非合法事業の支援に利用されていることも認めました。

キム・フングァン(Kim Heung-kwang)は元コンピュータ科学教授で、RGBで活動する工作員を指導していました。2004年に脱北し、2015年時点で北朝鮮には約6,000人の訓練を受けたサイバー戦士がいたと推定しています。

チャン・セユル(Jang Se-yul)は2007年に北朝鮮を脱出しました。彼はサイバー工作員のエリート軍事大学であるミリム大学で学びました。ロイター通信のインタビューで、彼はRGBの脅威アクターは幼い頃から選抜・訓練されていたと述べ、2014年時点で約1,800名が存在したと語りました。また、中国や他国で活動する北朝鮮ハッカーの家族が「人質」として拘束されているが、サイバー作戦の成功時には報奨が与えられる可能性もあると、確認しました。

IT部門で働いていた低レベルの脱北者の中には、サイバー工作員が一般市民よりはるかに良い生活条件にあると述べる者もいます。特典には良質な食糧、外国映画や国際ニュースへのアクセスが含まれます。これらは北朝鮮では贅沢品です。

脱北者の証言には差異があるものの、中央集権的で厳重に管理され、十分な資金を投入されたハッキングプログラムの存在が一貫して描かれています。これらの証言は作戦の背景にある思考様式も明らかにしています:ラザルスグループのメンバーは、特権・イデオロギー・家族への懸念に駆られ、祖国に奉仕する忠実な労働者と自らを認識しています。

自己防衛策

ラザルスグループは多層的な正当な世界的脅威です。世界中の企業を混乱させ、暗号資産や銀行送金で数億ドルを窃取し、偽の身分で従業員として企業に潜入し、求人詐欺で企業を感染させるなど、その手口は多岐にわたります。自らを世界との戦争状態にあると位置付けるラザルスグループに対し、警戒を怠らないことが極めて重要です。

偽の求人・従業員詐欺への対策:

  • 採用時の厳格な身元確認: 企業は新規採用者、特にリモート勤務ポジションに対して徹底的な審査を実施すべきです。これには、書類と本人を照合するためのライブビデオ面接(複数回)の実施や、厳格な身元調査が含まれます。
  • 人事・採用担当者向け意識向上トレーニング:人事担当者は偽の候補者の兆候を見抜く訓練を受ける必要があります。一般的な危険信号には、ビデオ通話の拒否、外国のタイムゾーンを示唆する不自然な勤務時間、完璧に一致しすぎるか、汎用的すぎる履歴書などが挙げられます。
  • 不審な求人オファーに関する従業員教育:従業員に対し、不審な求人オファーはフィッシングの罠となり得ることを周知すべきです。正当な採用担当者は、採用プロセス中に候補者にアプリケーションのインストールや実行ファイルの実行を要求しません。突然舞い込んだ注目度の高い求人オファーは、攻撃の可能性を判断するため、従業員に開示するよう促す等。
  • 個人アカウントの保護:従業員に対し、個人用メールやソーシャルメディアを強固で固有のパスワードと二要素認証で保護するよう促します。ラザルスグループは盗んだ認証情報を使って従業員の個人メールやLinkedInアカウントを侵害することがあります。適切なパスワード管理は侵害成功のリスクを低減します。

ラザルスグループのサイバー攻撃への防御策:

  • パッチ管理とネットワークセグメンテーション:ラザルスグループが悪用する脆弱性を排除することが最善の防御策の一つです。既知の脆弱性を侵入経路として悪用されないよう、重要ソフトウェアは速やかにパッチを適用してください。バングラデシュ銀行ハッキング事件が成功した背景には、パッチ未適用のシステムとファイアウォールの出口(egress)フィルタリング不在が一部要因と報じられています。ネットワークをセグメント化し横方向の移動を制限するとともに、機密性の高いシステムはアクセスを制限した専用ネットワークに隔離してください。
  • エンドポイント保護:ワークステーションやサーバーにBarracuda Managed XDRなどの高度なツールを導入しましょう。エンドポイントで実行されるラザルスマルウェアはこの保護機能によって検知されます。同グループはマルウェアを絶えず変異させますが、振る舞いベースの検知により不審なプロセスをフラグ付け・警告できます。
  • 強固なIDおよびアクセス管理(IAM): 特にリモートアクセスや管理者アカウントにおいて、あらゆる場所で多要素認証(MFA)を徹底してください。最小権限の原則を適用し、従業員が業務遂行に必要な権限のみを保持するよう確保します。重要システムへのアクセスは、MFAまたは物理トークン(例:YubiKeyThetis)で保護された少数のアカウントに限定すべきです。
  • アウトバウンド通信の監視:ラザルスはC&C/C2サーバーを用いて攻撃を管理しデータを窃取します。内部サーバーから未知の外部IPへのアップロードや、企業内で認識されていないIPへの継続的なビーコン送信といった異常をネットワーク監視で検知します。データ漏洩防止(DLP)ソリューションは機密データの流出検知・阻止に有効です。
  • メールセキュリティとフィッシング対策:メールゲートウェイを強化し、悪意のある添付ファイルやリンクをフィルタリングします。添付ファイルにはサンドボックス処理を、クリックされたリンクにはURL書き換えによる分析を適用。これにより標的型フィッシングや求人詐欺攻撃からユーザーを防御します。従業員には不審メールの確認訓練を実施し、定期的なフィッシングシミュレーションとセキュリティ訓練を展開してください。
  • インシデント対応計画とバックアップ: インシデント対応計画を策定し、重要システムを定期的にオフラインでバックアップします。ラザルス・グループのような脅威アクターがデータを消去または暗号化した場合、保護されたバックアップシステムから復元できる状態にしておきます。インシデント対応とデータ復旧手順を定期的に訓練します。
  • 既知のラザルス・グループ手法に対する脅威ハンティング: 自社環境内でラザルスの痕跡を積極的に探索します。既知のマルウェアハッシュやその他の不審な動作を探します。TightVNCなどの正当なツールや異常なスケジュールされたタスクを確認し、これらが攻撃の兆候となる可能性があります。
  • ゼロトラストの採用:あらゆるユーザーやデバイスがいつでも侵害される可能性があると想定したゼロトラストアプローチを採用します。ゼロトラストは内部セグメント間でもユーザーとデバイスを継続的に検証し、許可範囲を超えるアクセスを試みるマシンやユーザーを検知します。

バラクーダで出来ること

AI搭載サイバーセキュリティプラットフォームにより、保護とサイバーレジリエンスを最大化できます。高度な保護、リアルタイム分析、プロアクティブなレスポンス機能を提供する統合プラットフォームは、セキュリティギャップの解消、運用複雑性の低減、可視性の向上を支援します。主要セキュリティ機能を統合することで、管理負担を最小化し運用を簡素化。統合プラットフォームの全メリットを活用可能です。

Barracudaソリューションをご確認ください

これらのマルウェアをはじめ、最新のマルウェアなどの脅威に対抗するため、Barracuda の製品、ソリューションに関する情報を製品ページからご確認ください。よろしくお願いいたします。

追加参考リソース

Related posts