北朝鮮を背後とするハッキング組織がアンドロイドスマートフォンとPCを遠隔操縦して主要データをまるごと削除するサイバー攻撃をした状況が初めて発見された。

10日、情報セキュリティー会社ジニアンス・セキュリティ・センターの脅威分析報告書によると、9月5日にハッカーが国内のある心理相談者のスマートフォンを初期化して奪ったカカオトークのアカウントを通じて「ストレス解消プログラム」に偽装した悪性ファイルを知人に送った。


同月15日にもある北朝鮮人権活動家のアンドロイドスマートフォンが初期化され、奪われたカカオトークのアカウントを通じて知人36人に悪性ファイルが流布される事件が発生した。


カカオトークのメッセージを通じた悪性コード流布は、信頼ある知人関係を偽装した典型的な社会工学基盤の北朝鮮発ハッキング攻撃と分析された。しかし今回の事件では前例のない攻撃手法が追加で発見された。

ハッカーは被害者のスマートフォン、PCなどに浸透した後、長期間潜伏してグーグルおよび国内主要情報技術（IT）サービスアカウント情報などを盗み出した。

続いてスマートフォンのグーグル位置基盤照会を通じて被害者が自宅や事務室などでなく外部にいる時点を確認した後、グーグル「ファインドハブ」機能を通じてスマートフォンを遠隔で初期化した。

同時に自宅・事務室などにあるすでに悪性コードに感染したPCやタブレットを通じて知人に「ストレス解消プログラム」などに偽装した悪性コードを流布した。

知人の一部が悪性ファイルであることを疑って電話やメッセージなどで真偽を確認したが、ハッキング被害者のスマートフォンはプッシュ通知・電話とメッセージなどが遮断された状況だった。このため初期対応が遅れ、追加被害は急速に増えた。

ハッカーは被害者のスマートフォン、タブレット、PCから写真と文書、連絡先など主要データも削除した。

また報告書は、ハッカーは被害者が外部にいることを確認するのにPCなどに搭載されたウェブカムを活用した状況もあると伝えた。悪性コードにウェブカム、マイク制御機能が含まれていたが、感染したウェプカムを通じて被害者の一挙手一投足を監視した可能性があるということだ。

報告書は「アンドロイドスマート機器のデータ削除とアカウント基盤の攻撃など複数の手法を組み合わせた戦略は、従来の北朝鮮発ハッキング攻撃で前例がなかった」とし「北朝鮮のサイバー攻撃戦術が人々の日常に入り込む実質的破壊段階に高度化していることを見せている」と懸念を表した。

ジニアンスはハッキング被害を最小化するためログインの2段階認証を適用し、ブラウザのパスワード保存を控えるべきと助言した。また、PC未使用時の電源遮断など使用者レベルのセキュリティー守則と同時にデジタル製造会社レベルの多重認証体系強化が要求されると強調した。

これに先立ち京畿（キョンギ）南部警察庁安保サイバー捜査隊は、北朝鮮人権活動家に対するハッキング事例を捜査中で、犯行に利用された悪性コード構造は北朝鮮ハッキング組織が主に使用してきたものと似ている点を確認したと明らかにした。