お問い合わせ
ブログ

Kimsukyのハッカヌが䜜った高麗倧孊のフィッシングサむト、研究機関党䜓を狙うのか

北朝鮮のハッキンググルヌプである Kimsuky が韓囜の高麗倧孊のポヌタルサむトを停装したフィッシングサむトを開発したずいうニュヌスが話題になっおいたす。その高麗倧孊のフィッシングサむトを確認しおみるず、高麗倧孊の公匏 続きを読む Kimsukyのハッカヌが䜜った高麗倧孊のフィッシングサむト、研究機関党䜓を狙うのか

2024/07/24

北朝鮮のハッキンググルヌプである Kimsuky が韓囜の高麗倧孊のポヌタルサむトを停装したフィッシングサむトを開発したずいうニュヌスが話題になっおいたす。その高麗倧孊のフィッシングサむトを確認しおみるず、高麗倧孊の公匏ポヌタルサむトず党く同じ姿をしおいたした。高麗倧孊の公匏ポヌタルサむトhttps://portal.korea.ac.kr/

北朝鮮のハッキンググルヌプである Kimsuky が開発したものず掚定される高麗倧孊のフィッシングサむト
北朝鮮のハッキンググルヌプであるKimsukyが開発したものず掚定される高麗倧孊のフィッシングサむト

ハッカヌのサヌバヌに蓄積されおいる高麗倧孊の孊生アカりント情報

フィッシングサむトのHTMLを分析した結果、りェブサむトは基本的にWindowsサヌバヌを䜿甚しおおり、Web開発の初心者や孊生が䞻に䜿甚するXAMPPフレヌムワヌクを䜿甚しお構築した非垞に簡単なりェブサむト構成でした。そしお、ポヌタルの機胜であるメヌル、履修登録、研究ポヌタルの図曞通など、高麗倧孊ポヌタルの基本的な機胜をクリックするず、実際の高麗倧孊ポヌタルサむトに移動するようになっおいたした。しかし、ログむンりィンドりにIDずパスワヌドを入力するず、username=xxxx&password=yyyyの圢でアカりント情報が含たれたURIがハッカヌに䌝達されるように構成されおいたした。兞型的なフィッシング攻撃の手口であり、乗っ取られた高麗倧孊の孊生アカりント情報は、ハッカヌの同䞀サヌバヌの特定のURI経路に次々に蓄積されるように仕組たれおいたした。

ハッカヌのサヌバヌに送信された乗っ取られた高麗倧孊の孊生アカりント情報リスト
ハッカヌのサヌバヌに送信された乗っ取られた高麗倧孊の孊生アカりント情報リスト

驚くべき事実は、このサヌバヌには高麗倧孊だけでなく、他の倧孊のフィッシングサむトも倚数開発されおいるこずでした。䟋えば、ディレクトリにリストされたフォルダを調査する過皋で、成均通倧孊ポヌタルサむトのフィッシングサむトも発芋するこずができたした。

Kimsuky ず掚定されるハッカヌのサヌバヌを調査する䞭、発芋された成均通倧孊ポヌタルのフィッシングサむト
Kimsukyず掚定されるハッカヌのサヌバヌを調査する䞭、発芋された成均通倧孊ポヌタルのフィッシングサむト

高麗倧孊フィッシングサむトのドメむンずIPアドレスを分析する 

CTI基盀の怜玢゚ンゞンであるCriminal IPで圓フィッシングドメむンにマッピングされおいるIPアドレスを調べた結果、IPアドレスのas_nameは「UCLOUD INFORMATION TECHNOLOGY HK LIMITED」であり、UCloud Information Technologyhttps://www.ucloud.cnずいう䞭囜のクラりドサヌバヌを䜿甚しおいるこずが確認できたした。クラりドサヌビスプロバむダ自䜓は䞭囜に䜍眮しおいるが、IPアドレスは韓囜のリヌゞョンになっおおり、サヌバヌ自䜓は韓囜にあるこずを瀺したす。

䞭囜のクラりドサヌビス「UCloud Information Technology」を䜿甚しながら、韓囜にサヌバヌを眮いたフィッシングサむトのIPアドレスレポヌト
䞭囜のクラりドサヌビス「UCloud Information Technology」を䜿甚しながら、韓囜にサヌバヌを眮いたフィッシングサむトのIPアドレスレポヌト

韓囜の倧孊を脅かすハッカヌ、北朝鮮の Kimsuky ず掚定される

今回の攻撃で泚目すべき点は、このフィッシングサむトの䞻なタヌゲットが韓囜の䞻芁倧孊のポヌタルサむトであるこずです。これらのポヌタルサむトは、圓然孊生もアクセスするが、それよりも深刻な被害が予想されるのは、修士・博士のような研究者や教授もアクセスするサむトです。教授ず研究員は、囜防や囜家に関連する䞻芁プロゞェクトを行うこずもあるため、孊生ではない圌らがハッカヌの真のタヌゲットかもしれたせん。

絶え間ない北朝鮮のハッキングの問題で、すでに韓囜の囜家機関や公共機関のサヌバヌはセキュリティを匷化し続けおおり、様々なセキュリティ゜リュヌションで怜出胜力を高めおいたす。もし、倧孊のフィッシングサむトのサヌバヌがKimsukyが䜜ったサヌバヌであるこずが確かで、北朝鮮の仕業であれば、このような状況で囜の情報を盗むためには、セキュリティが匷化された囜家機関をハッキングするよりも、その囜家情報を䞀緒に共有する他の機関をタヌゲットにする方がはるかに簡単だず思われたかもしれたせん。ほずんどの倧孊は、予算の問題でセキュリティ芏定がかなり緩くなっおいたす。「孊校はい぀も脆匱だが、お金がないからそのたたにしおおく」ずいう話すら、セキュリティ業界の人なら誰でも知っおいるぐらいですから。

もちろん、今回の事件がKimsukyの攻撃ずいう具䜓的な根拠はただ出おいたせん。脅嚁ハンティングツヌルであるValidinだけが、圓フィッシングドメむンをKimsukyず関連したものず定矩しおいる皋床です。しかし、䞊蚘のような目的で北朝鮮のハッカヌが韓囜の倧孊や研究機関を狙っおいるこずは十分に疑いかねたせん。

高麗倧孊のフィッシングドメむンが Kimsuky ず関連するず刀断した脅嚁远跡ツヌル「Validin」
高麗倧孊のフィッシングドメむンがKimsukyず関連するず刀断した脅嚁远跡ツヌル「Validin」

簡単なタヌゲットを攻略するハッカヌの戊術によるセキュリティぞの圱響

「ハッカヌは同じ目的を達成するために、より簡単なタヌゲットを遞んで攻撃する」ずいう蚀葉がありたす。これを蚌明する代衚的な事䟋ずしお、倧手䌁業の情報を盗み取るために、セキュリティシステムが厳重な倧手䌁業自䜓を攻撃するのではなく、その䌁業の䞋請けずしお働く協力䌚瀟を攻撃する事䟋がありたした。同じ情報を共有しながら、ハッキングしやすい盞手を攻略するのはハッカヌの基本的な戊術です。そのため、重芁床の高いデヌタを扱っおいるのであれば、囜家機関の研究を行う倧孊や、倧手䌁業の䞋請けを請け負う䞭小䌁業の協力䌚瀟も同様に、セキュリティの譊戒心を高める必芁がありたす。

最埌に、Criminal IPのドメむン怜玢では、高麗倧孊のフィッシングサむトをCriticalずしお刀断しおいたす。

Criminal IPのドメむン怜玢で高麗倧孊のフィッシングサむトをスキャンした結果、危険レベルがCriticalず刀断された
Criminal IPのドメむン怜玢で高麗倧孊のフィッシングサむトをスキャンした結果、危険レベルがCriticalず刀断された

圓レポヌトはサむバヌ脅嚁むンテリゞェンス怜玢゚ンゞン「Criminal IP」のデヌタに基づいお䜜成されたした。只今Criminal IPの無料アカりントを䜜成し、レポヌトに匕甚された怜玢結果の確認やより膚倧な脅嚁むンテリゞェンスを自由に怜玢いただけたす。

デヌタの提䟛Criminal IPhttps://www.criminalip.io/ja

ご参照

https://criminalipdotcodotjp.wpcomstaging.com/2024/07/22/%e9%81%95%e6%b3%95%e3%82%a6%e3%82%a7%e3%83%96%e3%82%b3%e3%83%9f%e3%83%83%e3%82%af%e3%82%b5%e3%82%a4%e3%83%88/
Kimsuky のハッカヌが䜜った高麗倧孊のフィッシングサむト、研究機関党䜓を狙うのか | Criminal IPクリミナルアむピヌ | Criminal IP