Packet Pilot X (Twitter)
2025-12-14

Kimsukyによる人事革新庁を装った委託教育生選抜のマルウェア分析

Kimsukyグループが人事革新庁を装い、委託教育生の選抜を狙ったマルウェアを使用していることが明らかになりました。このマルウェアは、特定のターゲットに対してフィッシング攻撃を行い、機密情報を盗むことを目的としています。攻撃手法やマルウェアの挙動について詳細に分析されており、今後の対策が求められています。

メトリクス

このニュースのスケール度合い

7.0 /10

インパクト

6.0 /10

予想外またはユニーク度

6.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

7.5 /10

主なポイント

  • Kimsukyグループは、特定のターゲットを狙ったフィッシング攻撃を行っています。
  • このマルウェアは、機密情報を盗むために設計されています。

社会的影響

  • ! このような攻撃は、政府機関の信頼性を損なう可能性があります。
  • ! 市民の個人情報が漏洩するリスクが高まるため、社会全体に影響を及ぼします。

編集長の意見

Kimsukyグループの最近の攻撃は、特に社会工学的手法を駆使しており、ターゲットの信頼を得ることに成功しています。このような攻撃は、単なる技術的な脅威にとどまらず、社会的な信頼をも揺るがすものです。特に、政府機関を装ったフィッシング攻撃は、一般市民に対する影響が大きく、情報漏洩のリスクを高めています。今後、KimsukyのようなAPTグループによる攻撃はますます巧妙化することが予想されます。したがって、企業や政府機関は、従業員に対するセキュリティ教育を強化し、フィッシング攻撃に対する警戒を高める必要があります。また、マルウェアの検出と防御のための技術的対策も重要です。特に、メールフィルタリングやエンドポイントセキュリティの強化が求められます。さらに、攻撃の兆候を早期に発見するための監視体制を整えることも重要です。これらの対策を講じることで、Kimsukyのような脅威に対抗することが可能となります。

解説

Kimsukyが「人事革新庁・委託教育生選抜」を騙るスピアフィッシング──JSE/HWPX連携で公務・研究コミュニティを狙い撃ちです

今日の深掘りポイント

  • 人事革新庁(韓国・中央政府、英名 Ministry of Personnel Management)名義の「委託教育生選抜」通知を偽装するスピアフィッシングが観測され、JSEスクリプトとHWPX文書を組み合わせたマルウェア鎖で機密情報窃取を狙う事例が報告されています。
  • テーマの精緻化(人事・教育・選抜)により、対象コミュニティ内での開封率と実行率が高まりやすく、域内の研究・行政・教育ネットワークへ波及し得る構図です。
  • 日本側は直接的なHWP/HWPX利用が少ない一方、JSE(Windows Script Host)実行やメール転送ルール悪用を起点にコラボ先経由の二次侵害を受けやすい状況です。添付遮断とスクリプト実行の全面制御、加えてIOCの即時共有が鍵です。
  • 本件は「緊急対応価値が高いが、手口は既知TTPの洗練版」という型。短期はゲートウェイ・EDRのブロック強化、長期は人事・研究連絡の検証プロセス(真正性検証)を業務フローとして組み込む運用整備が必要です。

はじめに

北朝鮮関連APTとして知られるKimsukyが、韓国政府の人事機関を装い、公務員・研究者向けの「委託教育生選抜」通知を偽造したスピアフィッシングを展開しています。観測例ではJSEスクリプトやHWPX文書が用いられ、個別の対象に合わせた高精度の社会工学と、軽量ドロッパによる二段・多段の侵入が示唆されています。日本の読者にとって重要なのは、国内が一次標的でなくとも、共同研究・国際研修・学会委託などの接点を介した二次侵害が起こり得ることです。特にメール由来のスクリプト実行とクラウド連携アカウントへの横展開は、迅速な初動で封じるべきリスクです。

参考情報として、今回の動向についての公開スレッド・共有情報が確認できます。一次情報として十分な技術詳細が開示されているわけではないため、以下の分析の一部は、過去のKimsukyの一般的TTPに基づく仮説も含みます(明示します):

深掘り詳細

事実関係(公開情報ベース)

  • 偽装テーマ: 韓国「人事革新庁」を名乗る「委託教育生選抜」関連通知を装うスピアフィッシングです。公務・研究・教育の人事・研修業務に親和的なテーマで、特定個人に合わせた精緻な誘導が想定されます。malware.newsの共有情報に基づく記載です。
  • 侵入媒体: JSE(Windows Script Hostスクリプト)とHWPX(Hancom OfficeのXMLベース文書)を用いた攻撃チェーンが示唆されています。過去のKimsuky事例でもHangul文書系の誘導とスクリプト/ローダの併用は一般的で、既知TTPの延長線上に位置づけられます(この点は一般論としての背景、詳細はMITRE参照)。MITRE G0094
  • 目的: 機密情報窃取とみられ、対象は公務員・研究者など、政策・学術情報にアクセスできる人物群が中心です。メール由来の社会工学により、初期実行を得た後の資格情報・文書・メール内容の収集が狙いと推定されます(目的は公開情報の記載に合致、具体的なモジュール構成は未確認のため仮説を交えます)。

インサイト(編集部による分析・仮説を含む)

  • テーマ精度の高さが「開封・実行率」を押し上げる局面です。訓練・選抜・採用の通知は、平時の業務フローに自然に入り込みやすく、添付開封の心理的ハードルが低下します。特に「委託教育生」など制度固有の表現は、内部関係者にしか通用しない“共通言語”として機能し、違和感を下げます。
  • 技術的には新規性が限定的でも、業務文脈への最適化(社会工学の磨き込み)で成功率を稼ぐタイプです。したがって防御側は「未知のエクスプロイト検出」ではなく「スクリプト・不審文書の既知ブロック」と「正当業務の真正性検証」を並行して徹底する必要があります。
  • 日本組織のリスクは二次侵害の連鎖です。韓国側の一次標的が侵害されると、共同研究の連絡網やプロジェクト文書共有(メール転送ルール・クラウド共有リンク)を経由して、日本側のアカウント・端末・リポジトリに波及し得ます。日本ではHWPXの業務利用が少数派でも、JSEやメール転送ルール悪用は普遍的な攻撃面です。
  • メトリクス的観点では、即応の必要性と実行可能性がともに高いタイプです。すなわち「今すぐ実装できるブロック/検証策」で効果を出しやすく、かつ波及のスピードが速いほど被害の裾野も広がる構造です。CISO視点では、技術対策だけでなく、業務プロセス(研修・選抜通知の真正性検証や、添付の取り扱いポリシー)を含む統合的コントロールが成否を分けます。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。個別事案の詳細TTPは公開範囲に限りがあるため、Kimsuky一般の行動様式と今回のテーマを踏まえた推定を含みます(仮説と明記)。

  • シナリオA:個別職員の端末初期侵入からメールボックス支配へ(仮説)

    • 初期アクセス: スピアフィッシング添付(T1566.001)。JSEやHWPXを介してユーザ実行を誘導。
    • 実行: Windows Script Hostによるスクリプト実行(T1059.005)。場合によりPowerShell連鎖(T1059.001)を仮定。
    • 永続化: Runキー/スタートアップ(T1547.001)やタスクスケジューラ(T1053.005)を仮定。
    • 資格情報: ブラウザ保存情報(T1555.003)やメールクライアントのトークン収集、キーロギング(T1056.001)を仮定。
    • 偵察・窃取: システム情報収集(T1082)、文書探索(T1083)、メールボックス内容の収集・転送(T1114)。
    • C2/流出: HTTPS(T1071.001)やWebサービス流用(T1102)、通常C2経由のデータ流出(T1041)。
    • 影響: メールアカウント支配により転送ルールの設置、プロジェクト関係者への二次スピアフィッシング拡散が加速。

  • シナリオB:人事・研修ワークフローのなりすましで学術・行政の接点に横展開(仮説)

    • 初期アクセス: 信用度の高い送信元(なりすまし/類似ドメイン/侵害済み正規アカウント)からの配信(T1566.002/001)。
    • 防御回避: 添付の拡張子偽装やコンテンツ分割(T1036)、セキュリティ製品例外ディレクトリの悪用(T1562)。
    • 横展開: 共有ドライブやクラウドの共有リンク再利用(T1021.002/クラウド横展開は手口により異なるため一般化)。
    • 影響: 委託教育の選抜・研修・出張の書類が広く関係者に回覧されるプロセス上、複数組織にまたがる横展開が成立しやすい。

  • シナリオC:侵害メールボックスを踏み台に日本側へ誘導(仮説)

    • 初期侵害済みの韓国側組織から、正規スレッドへの割り込み(T1566.003:Reply-chain phishing)で日本側担当へ不審添付を送信。
    • 日本側はHWPXを開けないため、代替としてJSE/ZIP/ショートカット等を提示するソーシャル誘導(T1204)。
    • 結果として、日本側のEDR・ASR未整備端末でスクリプトが成功、O365/Google Workspaceの資格情報・セッション窃取へ。

これらのシナリオは、いずれも技術的新規性よりも「業務プロセスへの溶け込み」に価値が置かれている点が共通しています。したがって、波及影響はメール・ID領域に集約しやすく、広義のサプライチェーン(学術・行政・研究連携)の中で信頼の連鎖を断ち切る設計が重要です。

参考:

セキュリティ担当者のアクション

短期の即応と、中期の運用改善に分けて提案します。実装しやすい順で列挙します。

  • ゲートウェイ・添付対策(直ちに)

    • .jse/.js/.vbe/.vbs/.wsf をメールゲートウェイでブロック/隔離します(正当業務で必要な場合は申請制にして例外化)。
    • HWP/HWPXを高リスク拡張子として隔離・変換(CDR)し、オンライン閲覧/サンドボックス経由のみ許可します。MIMEタイプ検査と拡張子・内容の不一致検知も有効です。
    • Reply-chainフィッシング検知(スレッド差し込みや外部転送ルール検出)を強化します。

  • エンドポイント強化(直ちに)

    • Windows Script Hostの無効化(組織ポリシーでwscript/cscriptの実行を禁止)と、mshta/powershellの実行制御(AppLocker/WDAC/EDRポリシー)を適用します。
    • Office/ドキュメントから子プロセス生成・Win32 API呼び出しをブロックするASRカテゴリの適用を検討します(運用影響は段階的に評価)。
    • ハンティング/検知ルール例(自組織EDRに合わせて調整):
      • メールクライアントから wscript.exe/cscript.exe/mshta.exe/powershell.exe が子プロセスとして起動。
      • 非標準ユーザパスに配置されたスクリプトからの外向きHTTPS通信。
      • 新規の永続化(Runキー/タスクスケジューラ)作成イベントの相関。

  • アイデンティティ防御(直ちに)

    • メール転送ルールの異常検出・強制監査(特に自動転送、件名/宛先ベースのルール)を定期スキャンします。
    • 条件付きアクセス/多要素認証の段階的強化(デバイス準拠・地理ガード・リスクベース)を適用します。
    • 不可能旅行・異常セッション継続(長時間/夜間)の自動遮断ポリシーを適用します。

  • 業務プロセスの真正性検証(短期~中期)

    • 人事・研修・選抜通知に関する「検証の作法」を標準業務手順に組み込みます。例:差出人ドメインの正当性確認、公式サイト掲示と照合、別経路(公的代表番号)での再確認、添付は一旦ゲートウェイ閲覧ポータルで開く、など。
    • 韓国を含む対外機関とのやり取りで「指定フォーマット(HWP/HWPX等)」の提出が必要な場合、提出・受領のチャンネルをS/MIMEや専用ポータルに限定します。

  • ティアダウンと情報共有(継続)

    • 受信した不審HWPX/JSEを中央SOCに即エスカレーションし、ハッシュ・送信元・件名パターンをIOCとして全社配布・ブロックに反映します。
    • 国内外のCSIRT/JPCERT/業界ISACとIOC・TTPを相互共有し、二次侵害の早期遮断を図ります。

  • 演習・検証(中期)

    • MITRE ATT&CKベースで、スクリプト実行・メールボックス支配・クラウドID横展開を含むパープルチーム演習を実施します。技術対策だけでなく、業務フローの検証(真正性確認の運用)まで含めて評価します。

最後に、この種のキャンペーンは「新しいゼロデイ」よりも「よく効く手口の再現性」によって成立します。裏返せば、基本のブロックと検証を“業務として”定着させた組織ほど被害率は下がります。JSE/HWPXのような“業務で滅多に使わないものほど厳格に扱う”という原則を、今期の標準として徹底するのがもっとも費用対効果の高い一手です。

参考情報:

背景情報

  • i Kimsukyは、北朝鮮に関連するAPTグループであり、主に韓国の政府機関や企業を標的にしています。彼らの攻撃手法は、社会工学を利用したフィッシングやマルウェアの配布が特徴です。
  • i 最近の攻撃では、人事革新庁を装ったメールが送信され、受信者がマルウェアに感染するよう仕向けられています。この手法は、ターゲットの信頼を得るために巧妙に設計されています。
Packet News 一覧へ戻る