出典:Marian Weyo(Shutterstockより)
北朝鮮と関連のあるKimsukyサイバー脅威グループは、ChatGPTやその他のAIサービスを利用して偽の身分証明書画像を作成し、ソーシャルエンジニアリング攻撃をより説得力のあるものにしたり、コード実行を隠蔽したりする手段として活用し始めています。
最新の攻撃では、このグループが韓国軍の身分証明書のディープフェイクを用いて、標的となるジャーナリスト、研究者、人権活動家らにリンクをクリックさせようとしたことが、韓国のサイバーセキュリティ企業Geniansが9月15日に発表した分析で明らかになりました。この攻撃は防衛関連機関を標的とし、標的となった個人に身分証明書のドラフトの確認を依頼していました。
この手法は、受信者にメールの内容が個人的または職業的に関連性があると認識させることが全てだと、Geniansの広報担当者はDark Readingの質問に答えました。
「これは単なる視覚的な欺瞞ではなく、ソーシャルエンジニアリングの効果を高めることが目的です」と広報担当者は述べました。「受信者の実際の業務内容に合致した画像を使用することで、関与する可能性が大幅に高まります。」
このソーシャルエンジニアリング攻撃は、生成AIを使って合成アイデンティティを作成する最新の事例に過ぎません。北朝鮮のグループPurpleDeltaとPurpleBravo(いずれもRecorded Futureによる呼称)は、北朝鮮IT労働者作戦に関与するグループであり、AIを使ってコード生成や文書の修正、英語の校正、他言語から韓国語への翻訳などを行っていると、Recorded Futureの主任脅威インテリジェンスアナリスト、Mitch Haszard氏は述べています。
AI生成であることを示すメタデータ付きの偽の韓国軍身分証明書。出典:Genians
「AIの分野では、PurpleDeltaが詐欺活動を支援するために多種多様なAIツールを使用していることや、PurpleBravoが暗号通貨業界のソフトウェア開発者を架空の求人で狙う際にAI生成のリクルーター画像を使っていることを観察しています」と彼は述べています。
OpenAIとAnthropicの両社は、ハッキンググループが自社の大規模言語モデル(LLM)や生成AIシステムを攻撃活動の支援に利用していることについて報告書を発表しています。例えばAnthropicの8月下旬の報告書では、ある脅威アクターが合成アイデンティティサービスを作成し、特定の機能のためにClaude Code LLMを多用していたことが判明しました。例えば、異なるカード認証サービス間でのローテーションや、検知を避けるためのリクエスト制限などです。
増殖するアイデンティティ
偽の身分証明書を作成することは、フィッシングやソーシャルエンジニアリング攻撃に信憑性を持たせるための手段としてますます一般的になっています。北朝鮮のグループは、IT労働者になりすます工作員のために偽の身分証明書を頻繁に作成してきました。これは、北朝鮮の技術者を欧米企業に潜り込ませる大規模な作戦の一環です。
軍用IDは、フィッシングの誘いに信憑性を持たせるだけでなく、標的に合わせてカスタマイズされた文書でもあると、脅威検知・対応企業Trellixの脅威インテリジェンス部門責任者John Fokker氏は述べています。「軍用IDは一定の権威を与えますが、攻撃を成立させるためには他の誘い文句も使えたはずです」と彼は言います。
このような身分証明書は1時間ほどで作成でき、サイバーセキュリティ企業やソフトウェア企業でさえ欺くことが可能です。実物のような写真付きIDでフィッシングの誘いを強化する手法は、ソーシャルエンジニアリングに特化したグループの間でますます人気になっていると、サイバーセキュリティソフトウェア企業Trend Microの上級脅威リサーチャー、Stephen Hilt氏は述べています。
「この『ディープフェイク軍用ID』の誘い自体はまだ確認していませんが、こうしたグループが使う進化した欺瞞の一種であり、攻撃用のペルソナ強化にAIを利用している事例は記録しています」と彼は述べています。「偽のIDは要求に権威を持たせ、ファイルを開かせるもっともらしい理由を与え、悪意のあるローダーが実行される間のカモフラージュにもなります。」
危険な社会的状況
最新の攻撃では、手口はソーシャルエンジニアリングに大きく依存しています。被害者はまずフィッシングメール内のリンクをクリックし、zipファイルをダウンロード・開封し、さらにアーカイブ内のLNKファイルを開くことでシステムが侵害されます。攻撃に含まれていた他の文書には、北朝鮮の経済問題に関する報告書や、尹錫悦政権による戒厳令宣言をめぐる昨年の韓国危機に関する政府調査報告書などがありました。
「これらの攻撃は、標的を引きつけて欺くことを目的としたテーマが特徴であり、北朝鮮研究、国防、政治・社会問題などのセンシティブな話題に焦点を当てていました」とGeniansは報告書で述べています。
脅威リサーチャーたちは、IPアドレスや特定のマルウェアなどの脅威インジケーターを相関させ、北朝鮮の国家グループとの関連性を見つけることで、Kimsukyがこれらの攻撃に関与していることを突き止めました。