北朝鮮と連携しているとされるハッキング組織「コニー（Konni）」が、ネイバーとグーグルの広告システムを悪用してマルウエアを流布する高度な手法を用いたサイバー攻撃、いわゆる「ポセイドン作戦（Poseidon Operation）」を展開していることが明らかになった。正規の広告経路を利用してセキュリティ網を回避する手口で、既存のセキュリティ体制の限界が浮き彫りになったとの指摘も出ている。

サイバーセキュリティ専門企業ジニアンス・セキュリティセンターは16日に公開した脅威インテリジェンス分析報告書で、コニー組織が最近、ネイバーとグーグルの広告インフラを攻撃経路として活用する高度持続型脅威（APT）キャンペーンを実行していると明らかにした。


今回の攻撃の核心は、ポータル広告システムに適用される「クリック追跡経路」を悪用した点にある。クリック追跡とは、利用者が広告をクリックした後、実際の広告主ページへ移動する前に通過する中間URLで、広告成果を分析するために正規に使用される仕組みだ。


ハッカーらは、この合法的なURL構造をそのまま模倣し、利用者を段階的にマルウエア配布サーバーへ誘導した。セキュリティソリューションやAIベースの検知システムが当該リンクを検査しても、ネイバー・グーグルの正規ドメインとして認識され、遮断が難しい点を突いたものだ。

ジニアンスは「これまではネイバー広告経路の悪用事例が主流だったが、最近ではグーグルの広告インフラにまで攻撃範囲が拡大している」とし、「正規の広告トラフィックの中に悪質な行為を隠蔽する手法が、コニー組織の代表的な侵入手口として定着している」と分析した。

攻撃に使用された一部のサーバーは、セキュリティ管理が脆弱なWordPress基盤のウェブサイトであることが確認された。これは、攻撃インフラが遮断された場合でも迅速にサーバーを切り替え、追跡を回避するための戦略とみられる。

攻撃の出発点は、綿密に設計されたなりすましメールだ。コニー組織は金融機関や北朝鮮人権団体を装い、「金融取引の確認」「疎明資料の提出」など、業務との関連性が高い件名で受信者の警戒心を下げた。

メール内のリンクをクリックすると圧縮ファイルがダウンロードされ、その中には文書のように見えるファイルが含まれている。しかし実際にはPDFではなく、Windowsのショートカット（LNK）形式の悪性ファイルで、実行すると文書が開くように装いながら、同時に悪性スクリプトが作動する。

この過程でAutoIt（オートイット）基盤のスクリプトが自動実行され、遠隔操作用マルウエアがインストールされるため、利用者は特段の異常を認識しないまま感染してしまう。

ジニアンス分析チームは、悪性ファイル内部のコードから「Poseidon-Attack（ポセイドン攻撃）」という文字列を含む開発経路を発見した。これを基に、ハッカー組織が今回の攻撃を「ポセイドン」というプロジェクト名で管理し、体系的に準備してきたと判断した。

セキュリティ専門家らは、今回の事例が単なるフィッシング攻撃を超え、国家を背後に持つハッキング組織の攻撃手法が一段と進化していることを示していると警告する。

ジニアンス・セキュリティセンターの関係者は「正規の広告ドメインを一括で遮断することは現実的に不可能で、従来のパターンベースのセキュリティ体制では防御に限界がある」とし、「ファイル実行後の端末内部の異常行為や外部通信をリアルタイムで検知・対応できるEDR（エンドポイント検知・対応）ソリューションの導入が不可欠だ」と強調した。

また「メールに添付された圧縮ファイル、特にその中に含まれるショートカット（LNK）ファイルには細心の注意が必要で、出所が不明な場合は絶対に実行してはならない」と注意を呼びかけた。