文書作成ソフト「ハングル」で作られたファイルを開くだけで悪性コードに感染する北朝鮮連係ハッキング攻撃が確認された。教授や放送作家を詐称して信頼を積んだ後に悪性ファイルを送る巧妙な手法だ。

サイバーセキュリティ企業ジニアンスセキュリティセンターは22日、北朝鮮と関連したハッキング組織「APT37」が遂行した「アルテミス作戦」を識別したと明らかにした。この作戦はハングル文書ファイル（HWP、HWPX）内部に悪性コードを隠して配布する方式が核心だ。


攻撃は主に「スピアフィッシング」で始まった。攻撃者は特定大学教授や韓国主要放送局の番組作家を詐称して電子メールやメッセンジャーで接近した。国会国際会議討論者招請、北朝鮮の人権関連インタビュー要請など受信者の関心事に巧みに食い込む内容で信頼を蓄積した後、関連文書としハングルファイルを送りつけた。


問題のファイルを開き文書内に含まれたリンクをクリックした瞬間に攻撃が始まる。文書に隠された悪性コードが実行され、攻撃者は被害者のPC環境にアクセスする権限を確保する。見た目は正常な文書閲覧過程と変わらず、使用者が異常の兆候を感じにくいというのがセキュリティ業界の説明だ。

悪性コードはその後、痕跡を最大限隠したまま作動する。イメージファイル内に悪性コードを隠して伝達する「ステガノグラフィー」技法を使ってセキュリティプログラムの探知を避け、正常なプログラムが悪性コードを正常な構成要素と勘違いして呼び起こさせる「DLLサイドローディング」方式もともに活用した。ジニアンスによるとAPT37はJPEGイメージに「RoKRAT」という悪性モジュールを隠して伝達し、最近ではこれまで報告されていない人物写真まで攻撃に利用した。

一部の事例では初期接触段階で悪性リンクやファイルを全く使わず、何度も自然な対話を通じて信頼を積んだ後に悪性コードを送る方式も確認された。セキュリティ専門家が「人の心理を精密に狙った社会工学的攻撃」と評価する理由だ。

ジニアンスは「実際に外部に明らかになる攻撃事例は一部にすぎない。公開された情報だけで危険度を判断すれば攻撃組織の実際の活動範囲と浸透能力を過小評価しかねない」と警告した。続けて▽ハングル文書と悪性コード実行過程に対する異常行為モニタリング▽DLLサイドローディング疑い行為探知▽エンドポイントセキュリティ（EDR）と行為基盤探知を連動した多層防衛体系の構築が必要だと勧告した。

セキュリティ業界関係者は「出処が不明なハングル文書は開かないことが最善の防御。特にインタビュー要請や行事招請のようにもっともらしい名分を掲げたファイルであるほど格別の注意が必要だ」と話した。