北朝鮮と連携したハッカー組織とされる「コニ(Konni)」が、スピアフィッシング(特定の個人を狙って個人情報を盗むフィッシング)メールとカカオトークのメッセンジャーを連携させ、悪性コードを拡散する多段階攻撃を行っていることが分かった。
16日、サイバーセキュリティ企業「ジニアンス」によると、コニは特定の標的を定めた後、攻撃が成功するまで長期間執拗に侵入を続ける「高度持続的脅威(APT)」攻撃を続けている。特に今回の攻撃は、感染したPCのカカオトークPC版を拡散経路として利用した点が特徴だ。
攻撃はスピアフィッシングメールから始まる。通常のメールのように見えるが、悪性のショートカット(LNK)ファイルが含まれており、利用者がそのファイルを実行すると内部に隠された悪性スクリプトが作動し、PCが感染する。その後、攻撃者は感染した端末に長期間潜伏し、内部文書やアカウント情報を盗み取った後、被害者のカカオトークPC版に不正にアクセスする。さらに友人リストの一部を選び、「北朝鮮関連映像企画案」などを装った悪性ファイルを再送信し、攻撃を拡散させたとみられる。
専門家らは、ショートカットファイルや公文書形式を装った添付ファイルに対して警戒心を持つよう、教育を強化する必要があると注意を喚起している。
ハン・チェヨン記者 chaezip@donga.com
About Dong-A Ilbo