北朝鮮のハッカーによるクラウド環境への侵入
要約:北朝鮮のハッカーはどのようにクラウド環境に侵入し、暗号資産を盗んだのでしょうか?Google Cloudの2025年上半期クラウド脅威地平線レポートによると、同社の脅威インテリジェンスチームは、従業員にソーシャルメディアプラットフォームを通じて接触を試みた後、2つの組織に侵入したとされる北朝鮮関連のハッキンググループUNC4899を監視しています。
「2020年以降活動しているUNC4899は、主に暗号資産およびブロックチェーン業界を標的にしており、複雑なサプライチェーンの侵害を実行する高度な能力を示しています。」
攻撃の手法と影響
また、2024年第3四半期から2025年第1四半期の間に、サイバーセキュリティ企業MandiantはUNC4899に関連する2件の別々のインシデントに対応し、1件はGoogle Cloud環境、もう1件はAWS環境に影響を与えました。侵入の初期段階と最終段階では共通の戦術が見られましたが、中間段階で使用された手法は異なり、被害者のシステムアーキテクチャの違いを反映している可能性があります。
レポートはさらに、これらの攻撃の初期段階で、ハッカーがソーシャルメディアプラットフォームを通じて被害者と接触し、1件はTelegram、もう1件はLinkedInを通じてフリーランスのソフトウェア開発者のリクルーターを装ったと詳細に述べています。
標的となった従業員は、知らず知らずのうちに自分のワークステーションで悪意のあるDockerコンテナを実行するよう指示されました。この行動により、GLASSCANNONのようなダウンローダーや、PLOTTWISTおよびMAZEWIREバックドアなどの二次ペイロードを含むマルウェアが展開され、最終的に攻撃者がコマンド・アンド・コントロール(C2)サーバーに接続できるようになりました。
「いずれの場合も、UNC4899は被害者のホストおよび接続された環境に対していくつかの内部偵察活動を行い、被害者のクラウド環境に移行するために使用する資格情報を取得した。」
偽の求人情報と企業への侵入
北朝鮮のハッカーは、企業に侵入するために偽の求人情報にますます依存しています。7月には、米国財務省が北朝鮮のIT労働者を米国企業に隠して配置する計画を運営していたとしてSong Kum Hyokに制裁を科しました。これらの労働者は、中国やロシアに拠点を置き、偽の身分や国籍を使用し、雇用者はその欺瞞に気づいていなかったのです。
Shibariumの重要性
世界的な脅威が暗号プラットフォームにセキュリティを強化させる中、これは分散型でコミュニティ主導のエコシステムであるShibariumの重要性を強調する強力なリマインダーです。従来の中央集権的な脆弱性にさらされる設定とは異なり、Shibariumのオープンインフラは、開発者が透明性、回復力、信頼を中心に構築できるようにします。
単一の障害点に依存するのではなく、Shibariumはバリデーター、開発者、コミュニティ参加者のネットワーク全体に制御を分散させます。この分散化は、国家支援のハッキンググループのような悪意のある行為者が足場を得ることを難しくするだけでなく、脆弱性が発生した際の迅速な検出と対応を可能にします。
暗号空間が増大するサイバーリスクに直面する中、Shibariumのようなエコシステムは、分散化、透明性、そして人々を搾取するのではなく、サービスを提供するツールを構築するという共通のコミットメントに根ざした新たな道を強調しています。
