フォーティネットの脅威インテリジェンス研究員、今野俊一氏の分析によれば、北朝鮮のAPTグループ「Lazarus」(別名HIDDEN COBRA)は、少なくとも2009年から活動を続け、破壊的なサイバー作戦、大規模な情報窃取、スパイ活動で悪名高い。同グループは、AIを攻撃戦略に組み込むことで、その活動を大幅に高度化させている。
Lazarusの概要と歴史
Lazarusは、2013年に韓国の金融・放送セクターを標的にDarkSeoulマルウェアを展開し、2014年にはSony Picturesに対してワイパー型マルウェア「Destover」を用いた大規模攻撃を実行。北朝鮮の指導者を風刺した映画『The Interview』への報復が動機とされる。その後も、暗号資産取引所や金融機関を狙った巨額窃取を繰り返し、得た資金は国際制裁回避や政権維持に使われているとみられる。
標的となる業界は、航空宇宙、防衛、教育、エネルギー、金融サービス、政府機関、産業、メディア、テクノロジー、通信など多岐にわたる。また、AndarielやBluenoroffといったサブグループに分かれ、スパイ活動から金融詐欺まで役割を分担している。
AI活用による攻撃手法の進化
2024年10月以降、LazarusはAI生成コンテンツを悪用した攻撃を展開。2025年2月には、Google Chromeのゼロデイ脆弱性を利用し、正規のゲームサイトを装った偽サイトでマルウェアを配布。AI生成の画像やテキストでサイトの信憑性を高め、被害者を騙して悪意あるソフトウェアをダウンロードさせた。
さらに、ソーシャルエンジニアリング攻撃では、LinkedInなどのビジネス向けプラットフォームでAI生成プロフィールを使用。テクノロジー・サイバーセキュリティ分野の個人を標的に、偽の採用担当者がパーソナライズされた求人情報を送り、悪意ある添付ファイルやフィッシングリンクへ誘導。企業ネットワークへの初期アクセスを目的としたスパイ活動や情報窃取を狙う。
史上最大級の暗号資産窃取事件
2025年2月下旬、Lazarusのサブグループは、偽のウォレット管理インタフェースを作成し、暗号資産取引所Bybitの経営陣を欺いて、コールドウォレットから不明なホットウォレットへの送金を承認させた。この結果、40万ETH以上(約15億ドル相当)のEthereumが窃取され、史上最大級の暗号資産窃取事件となった。
Lazarusは現在も攻撃手法を進化させ続けており、AIによる自動化や偽装技術を取り入れ、攻撃範囲を拡大している。
日本への影響と警戒点
Lazarusは北朝鮮当局の下部組織とされ、15年以上にわたり諜報、金銭搾取、破壊攻撃を展開。近年では、身分を偽った「IT人材」を企業に潜入させる手口や、SNSで実在の企業リクルーターを装い、好条件のオファーで従業員を騙す事例が日本国内でも観測されている。
最大の標的は韓国や米国だが、日本も資金源や技術情報の獲得先として狙われている。実際に、国内の複数の暗号資産取引所から数百億円の暗号資産が流出した事件や、日本の組織を狙った情報・認証情報を盗み出す攻撃が発生。また、過去のSony Picturesへの侵入やデータ破壊、未公開映画の流出もLazarusの犯行と推測されている。
今野氏は「目的がスパイ活動であれ金銭搾取であれ、結果は異なるが、本質的にはネットワーク内に侵入され、拡散を許している事実に変わりはない。北朝鮮当局が方針を転換すれば、確立したアクセス権はいつでも破壊活動に転用され得る」と警鐘を鳴らす。
Lazarusは日本の組織にとって現在進行形の脅威であり、引き続き高い警戒が求められる。
