【ITニュース解説】ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics

作成日: 2025年09月03日更新日: 2025年09月04日

ITニュース概要

北朝鮮関連のハッキング集団ScarCruftは、フィッシング詐欺を用いて「RokRAT」というマルウェアを配布する新たな攻撃を展開した。「Operation HanKook Phantom」と呼ばれるこの作戦は、韓国の国家情報研究協会の学者らを標的としている。

出典: ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics | The Hacker News公開日: 2025年09月01日

ITニュース解説

ニュース記事によると、北朝鮮に関連するハッキンググループ「ScarCruft（スカークラフト）」が、「RokRAT（ロックラット）」というマルウェアを使って、韓国の学術関係者を狙ったフィッシングキャンペーンを展開しているという。この一連の攻撃活動は、セキュリティ企業によって「Operation HanKook Phantom（オペレーション・ハンクック・ファントム）」と名付けられている。まず、「ScarCruft」というハッキンググループについてだが、これは別名「APT37」とも呼ばれる、高度なサイバー攻撃を行う集団である。APTとは「Advanced Persistent Threat」の略で、特定のターゲットに対し、高度な技術と継続的な攻撃手段を用いて情報を窃取したり、システムに損害を与えたりする集団を指す。このようなグループは、単なるいたずら目的ではなく、国家の支援を受けているか、あるいは国家と密接な関係を持ち、政治的な目的や国家機密の窃取、産業スパイ活動などを目的として、組織的に活動することが多い。ScarCruftも北朝鮮に関連するとされており、過去にも様々なサイバー攻撃に関与し、その手口の巧妙さで知られている。次に、彼らが今回の攻撃で用いた手法「フィッシングキャンペーン」について説明する。フィッシングとは、インターネットを使った詐欺の一種で、信頼できる組織や人物を装って偽のメールやウェブサイト、メッセージなどを送りつけ、個人情報や認証情報（IDやパスワードなど）を騙し取る手法のことだ。例えば、宅配業者や銀行、公的機関などを装った偽の通知を送り、ユーザーを偽のウェブサイトへ誘導して情報を入力させようとする。今回のケースでは、学術関係者が標的となっていることから、大学や研究機関、学会などからの連絡を装ったメールが使われた可能性が高い。巧妙な内容で標的の注意を引き、不審なリンクをクリックさせたり、悪意のあるファイルをダウンロードさせたりすることで、攻撃の足がかりを築く。フィッシングは、高度な技術的な防御をすり抜け、人間の心理的な隙を突くため、依然として多くのサイバー攻撃で用いられる有効な手段となっている。このフィッシングキャンペーンで配布されたのが、「RokRAT」というマルウェアだ。マルウェアとは、「Malicious Software（悪意のあるソフトウェア）」の略で、コンピューターやシステムに不正な操作を行わせたり、情報を盗み出したりする目的で作られたプログラムの総称である。RokRATは、その中でも「RAT（Remote Access Trojan）」と呼ばれる種類に属する。RATとは、感染したコンピューターを攻撃者が遠隔地から操作できるようにするトロイの木馬型マルウェアのことだ。トロイの木馬とは、無害なプログラムやファイルに見せかけて、コンピューターに悪意のある機能を忍び込ませるタイプのマルウェアである。RokRATがコンピューターに侵入すると、攻撃者はそのコンピューターをまるで自分の手元にあるかのように自由に操作できるようになる。具体的には、ファイルやドキュメントを盗み見たり、改ざんしたり、別のマルウェアを追加でインストールしたり、さらにはウェブカメラやマイクを遠隔で起動して、標的の周囲の状況を盗聴・盗撮するといったスパイ活動まで行うことが可能になる場合がある。つまり、感染したコンピューターは、攻撃者の意のままに操られる「ゾンビ」のような状態になってしまうのだ。今回の攻撃の「標的」も重要な要素だ。ニュース記事では「韓国の学術関係者」、特に「国家情報研究協会に関連する個人」が狙われたと指摘されている。学術関係者は、最先端の研究成果や技術情報、ときには政府機関との共同研究による機密情報などを扱っていることが多く、サイバー攻撃者、特に国家が関与する攻撃グループにとっては非常に価値のある標的となりやすい。国家情報研究協会のような機関は、国の安全保障や戦略に関わる重要な情報収集や分析を行っている可能性が高く、そこに所属する個人を狙うことは、その国の機密情報を手に入れようとするスパイ活動の一環と考えることができる。これらの情報が敵対勢力の手に渡れば、国家の戦略的優位性が損なわれたり、軍事技術の発展に悪用されたりする可能性があり、その影響は甚大である。最後に、今回の攻撃活動に付けられた「Operation HanKook Phantom」という作戦名についてだ。「HanKook」は韓国を意味し、「Phantom」は幽霊や幻影、隠密性を意味する。サイバーセキュリティの研究機関が特定の攻撃キャンペーンに名前を付けるのは、その攻撃の性質や関連性を特定し、セキュリティコミュニティ内で情報を共有しやすくするためである。今回「Phantom」と名付けられたのは、ScarCruftの攻撃が非常に巧妙で、発覚しにくいように隠密に行われることが多いからかもしれない。攻撃者は、まるで影のように標的のシステムに潜伏し、時間をかけて、しかし確実に情報を収集しようとする傾向がある。システムエンジニアを目指す者として、このようなサイバー攻撃のニュースは、サイバーセキュリティの重要性を深く認識する機会となる。システムやネットワークの設計、開発、運用において、セキュリティ対策は最も基本的な要素の一つであり、常に最新の脅威動向を把握し、それに対応できる知識と技術を身につけることが求められる。例えば、不審なメールやリンクを開かない、多要素認証（パスワードだけでなく、別の方法で本人確認を行う仕組み）を導入する、使用するソフトウェアやOSを常に最新の状態に保つ、といった基本的なセキュリティ対策の徹底は不可欠である。さらに、万が一の攻撃に備えて、侵入検知システムや堅牢なバックアップ体制を構築するなど、多角的な視点での対策が必要となる。サイバー攻撃は日々進化しており、それに対応できるよう、常に学び続ける姿勢が不可欠だ。