韓国クラッカー関与? 高級ホテル客を狙い撃ち、スパイ集団「DarkHotel」の正体に海外注目

 ロシアのセキュリティーベンダーであるカスペルスキー・ラボは11月10日、DarkHotelと呼ばれるグループがホテルの客を狙っていると世界に警告した。このグループは2007年からホテルのWi-Fi接続をハイジャックしてスパイ活動をしており、有線は攻撃の対象になりやすいという。

 攻撃の標的となっているのは、インド、日本、北朝鮮の企業幹部や、軍あるいは非政府組織で働く人だという。対象となっている国は核兵器をすでに保持しているか、簡単に作ることが可能な国であることを海外メディアは指摘している。

◆謎に包まれたクラッカー集団
 DarkHotelの手口は次の通りだ。標的となったゲストが5つ星ホテルのWiFiネットワークに接続すると、新しいAdobeソフトウェアのアップデートに関するホップアップが現れる。ダウンロードを許可するとコンピュータには、悪質な実行ファイルであるマルウェアがダウンロードされてしまい、サイバー攻撃にさらされることとなる。

 DarkHotelはマルウェアが検出されないように、安全なソフトであることを証明する証明書をつけている。クラッカーは簡単に解読できる、低レベルの暗号化証明書を企業から盗み出し、それをコピーして使用している。カスペルスキーによると、ドイツテレコムやインドネシア政府などに属する認証機関の証明書が使用されているという。

 手口はわかっているものの、そのほかのことはなぞに包まれている。カスペルスキーはいまだに攻撃者がホテルのサーバーに侵入する方法を解明できていないという。ログを調査しても、彼らは通常のクラッカーが行うようにバックドアを使用していないという。DarkHotelはサーバーに侵入し、タスクを実行し、証拠とともに消えるのである。しかしログをみてもバックドアは存在しない。彼らの侵入を手引きしている内通者がいるのかもしれない。

◆断片を繋げていくと見えてくるのは?
 だれが何のために行っているのかが分からない攻撃だが、様々な情報を繋ぎ合わせるとある国が関わっているのではないかというのが、海外メディアの報道だ。

 エコノミスト誌やBBCニュースは、アタックがあまりにも洗練され、組織化されていることから、大きな資金が裏で流れており、国家的な動きではないとかと指摘している。

 さらに『WIRED』は、カスペルスキーの今までの調査から韓国が関わっているのではと指摘している。根拠となっているのは、アタッカーが使用したマルウェアは韓国人に攻撃が行われたとき、シャットダウンするようにデザインされたこと、アタッカーが使用したキーロガー(ユーザーのキーボードやマウスの動きを記録し監視するために使用)は、ハングル文字で表示され、韓国の暗号化装置とつながっていることが判明したこと、2007年に作成されたロガーは、Chpieという韓国のコーダーに由来した名前の人物によって書かれていることを挙げている。

【関連書籍】
情報セキュリティ白書2014

Text by NewSphere 編集部