コンテンツへスキップ
ホーム » Kimsukyのハッカーが作った高麗大学のフィッシングサイト、研究機関全体を狙うのか

Kimsukyのハッカーが作った高麗大学のフィッシングサイト、研究機関全体を狙うのか

北朝鮮のハッキンググループである Kimsuky が韓国の高麗大学のポータルサイトを偽装したフィッシングサイトを開発したというニュースが話題になっています。その高麗大学のフィッシングサイトを確認してみると、高麗大学の公式ポータルサイトと全く同じ姿をしていました。(高麗大学の公式ポータルサイト:https://portal.korea.ac.kr/

北朝鮮のハッキンググループである Kimsuky が開発したものと推定される高麗大学のフィッシングサイト
北朝鮮のハッキンググループであるKimsukyが開発したものと推定される高麗大学のフィッシングサイト

ハッカーのサーバーに蓄積されている高麗大学の学生アカウント情報

フィッシングサイトのHTMLを分析した結果、ウェブサイトは基本的にWindowsサーバーを使用しており、Web開発の初心者や学生が主に使用するXAMPPフレームワークを使用して構築した非常に簡単なウェブサイト構成でした。そして、ポータルの機能であるメール、履修登録、研究ポータルの図書館など、高麗大学ポータルの基本的な機能をクリックすると、実際の高麗大学ポータルサイトに移動するようになっていました。しかし、ログインウィンドウにIDとパスワードを入力すると、username=xxxx&password=yyyyの形でアカウント情報が含まれたURIがハッカーに伝達されるように構成されていました。典型的なフィッシング攻撃の手口であり、乗っ取られた高麗大学の学生アカウント情報は、ハッカーの同一サーバーの特定のURI経路に次々に蓄積されるように仕組まれていました。

ハッカーのサーバーに送信された乗っ取られた高麗大学の学生アカウント情報リスト
ハッカーのサーバーに送信された乗っ取られた高麗大学の学生アカウント情報リスト

驚くべき事実は、このサーバーには高麗大学だけでなく、他の大学のフィッシングサイトも多数開発されていることでした。例えば、ディレクトリにリストされたフォルダを調査する過程で、成均館大学ポータルサイトのフィッシングサイトも発見することができました。

Kimsuky と推定されるハッカーのサーバーを調査する中、発見された成均館大学ポータルのフィッシングサイト
Kimsukyと推定されるハッカーのサーバーを調査する中、発見された成均館大学ポータルのフィッシングサイト

高麗大学フィッシングサイトのドメインとIPアドレスを分析する 

CTI基盤の検索エンジンであるCriminal IPで当フィッシングドメインにマッピングされているIPアドレスを調べた結果、IPアドレスのas_nameは「UCLOUD INFORMATION TECHNOLOGY HK LIMITED」であり、UCloud Information Technology(https://www.ucloud.cn)という中国のクラウドサーバーを使用していることが確認できました。クラウドサービスプロバイダ自体は中国に位置しているが、IPアドレスは韓国のリージョンになっており、サーバー自体は韓国にあることを示します。

中国のクラウドサービス「UCloud Information Technology」を使用しながら、韓国にサーバーを置いたフィッシングサイトのIPアドレスレポート
中国のクラウドサービス「UCloud Information Technology」を使用しながら、韓国にサーバーを置いたフィッシングサイトのIPアドレスレポート

韓国の大学を脅かすハッカー、北朝鮮の Kimsuky と推定される

今回の攻撃で注目すべき点は、このフィッシングサイトの主なターゲットが韓国の主要大学のポータルサイトであることです。これらのポータルサイトは、当然学生もアクセスするが、それよりも深刻な被害が予想されるのは、修士・博士のような研究者や教授もアクセスするサイトです。教授と研究員は、国防や国家に関連する主要プロジェクトを行うこともあるため、学生ではない彼らがハッカーの真のターゲットかもしれません。

絶え間ない北朝鮮のハッキングの問題で、すでに韓国の国家機関や公共機関のサーバーはセキュリティを強化し続けており、様々なセキュリティソリューションで検出能力を高めています。もし、大学のフィッシングサイトのサーバーがKimsukyが作ったサーバーであることが確かで、北朝鮮の仕業であれば、このような状況で国の情報を盗むためには、セキュリティが強化された国家機関をハッキングするよりも、その国家情報を一緒に共有する他の機関をターゲットにする方がはるかに簡単だと思われたかもしれません。ほとんどの大学は、予算の問題でセキュリティ規定がかなり緩くなっています。「学校はいつも脆弱だが、お金がないからそのままにしておく」という話すら、セキュリティ業界の人なら誰でも知っているぐらいですから。

もちろん、今回の事件がKimsukyの攻撃という具体的な根拠はまだ出ていません。脅威ハンティングツールであるValidinだけが、当フィッシングドメインをKimsukyと関連したものと定義している程度です。しかし、上記のような目的で北朝鮮のハッカーが韓国の大学や研究機関を狙っていることは十分に疑いかねません。

高麗大学のフィッシングドメインが Kimsuky と関連すると判断した脅威追跡ツール「Validin」
高麗大学のフィッシングドメインがKimsukyと関連すると判断した脅威追跡ツール「Validin」

簡単なターゲットを攻略するハッカーの戦術によるセキュリティへの影響

「ハッカーは同じ目的を達成するために、より簡単なターゲットを選んで攻撃する」という言葉があります。これを証明する代表的な事例として、大手企業の情報を盗み取るために、セキュリティシステムが厳重な大手企業自体を攻撃するのではなく、その企業の下請けとして働く協力会社を攻撃する事例がありました。同じ情報を共有しながら、ハッキングしやすい相手を攻略するのはハッカーの基本的な戦術です。そのため、重要度の高いデータを扱っているのであれば、国家機関の研究を行う大学や、大手企業の下請けを請け負う中小企業の協力会社も同様に、セキュリティの警戒心を高める必要があります。

最後に、Criminal IPのドメイン検索では、高麗大学のフィッシングサイトをCriticalとして判断しています。

Criminal IPのドメイン検索で高麗大学のフィッシングサイトをスキャンした結果、危険レベルがCriticalと判断された
Criminal IPのドメイン検索で高麗大学のフィッシングサイトをスキャンした結果、危険レベルがCriticalと判断された

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供:Criminal IP(https://www.criminalip.io/ja

ご参照:

https://criminalipdotcodotjp.wpcomstaging.com/2024/07/22/%e9%81%95%e6%b3%95%e3%82%a6%e3%82%a7%e3%83%96%e3%82%b3%e3%83%9f%e3%83%83%e3%82%af%e3%82%b5%e3%82%a4%e3%83%88/
タグ:

コメントを残す

Criminal IP(クリミナルアイピー)をもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む