カスペルスキー、Lazarusグループによる韓国組織へのサイバー攻撃「Operation SyncHole」を公開、ゼロデイ脆弱性悪用

PR TIMES より

記事の要約

• カスペルスキーがLazarusグループによる韓国組織へのサイバー攻撃「Operation SyncHole」を公開
• 水飲み場型攻撃とサードパーティ製ソフトウェアInnorix Agentのゼロデイ脆弱性を悪用
• Innorix Agentの脆弱性（KVE-2025-0014）は韓国インターネット振興院（KrCERT）に報告され、パッチが適用された

カスペルスキーがLazarusグループによる韓国組織へのサイバー攻撃「Operation SyncHole」を発表

カスペルスキーは2025年4月24日、悪名高いサイバー攻撃グループ「Lazarus」による新たな攻撃活動「Operation SyncHole」を発見したと発表した。この攻撃は、韓国のソフトウェア、IT、金融、半導体、通信業界の6つの組織を標的としていたのだ。

Lazarusグループは、水飲み場型攻撃とサードパーティ製ソフトウェア「Innorix Agent」のゼロデイ脆弱性を組み合わせた高度な攻撃を実行した。Innorix Agentは、管理システムや財務システムのセキュアなファイル転送に使用されるブラウザー統合型ツールであり、その脆弱性を悪用することで、攻撃者は標的のホストに追加のマルウェアをインストールできたのだ。

攻撃で使用されたマルウェアには、「ThreatNeedle」や「LPEClient」など、Lazarusグループが使用する代表的なマルウェアが含まれていた。最終的には、これらのマルウェアによって内部ネットワーク内での足場を拡大したと推測される。カスペルスキーの研究者は、調査中にInnorix Agentに関連する別のゼロデイ脆弱性も発見し、韓国インターネット振興院（KrCERT）に報告したのだ。

さらに、Lazarusグループは、多くのユーザーが訪れるオンラインメディアのウェブサイトを侵害し、おとりとして使用していた。訪問者のトラフィックをフィルタリングして、標的とする人物を攻撃者が制御するウェブサイトに選択的にリダイレクトさせていた。この手法は、水飲み場型攻撃として知られ、同グループの活動でみられる高度に標的を絞り込む戦略的な特徴を示しているのだ。

攻撃概要と脆弱性情報

ゼロデイ脆弱性とサードパーティ製ソフトウェア

今回の攻撃で明らかになったように、サードパーティ製ソフトウェアの脆弱性は、高度なサイバー攻撃の重要な攻撃経路となる。特に、Innorix Agentのように、管理システムや財務システムといった重要なシステムで使用されているソフトウェアの脆弱性は、深刻な被害につながる可能性があるのだ。

• サードパーティ製ソフトウェアのセキュリティ対策の重要性
• 定期的なソフトウェアアップデートの実施
• 脆弱性情報の迅速な対応

企業は、サードパーティ製ソフトウェアのセキュリティ対策を強化し、定期的なソフトウェアアップデートや脆弱性情報の迅速な対応を行う必要がある。これにより、サイバー攻撃のリスクを軽減し、ビジネスの継続性を確保できるだろう。

Operation SyncHoleに関する考察

今回のOperation SyncHoleは、Lazarusグループの高度な攻撃能力と、韓国のソフトウェアエコシステムに対する深い理解を示している。水飲み場型攻撃とゼロデイ脆弱性の組み合わせは、非常に巧妙であり、従来のセキュリティ対策では検知が困難な可能性があるのだ。

今後、同様の攻撃が他の国や地域でも発生する可能性があり、サードパーティ製ソフトウェアのセキュリティ対策の重要性がますます高まるだろう。企業は、自社のセキュリティ対策を見直し、最新の脅威に対応できる体制を構築する必要がある。特に、韓国のように特定の国や地域に特化したソフトウェアを使用している場合は、注意が必要だ。

また、今回の攻撃は、ゼロデイ脆弱性の早期発見と迅速な対応の重要性を改めて示している。セキュリティベンダーや研究機関は、継続的な脅威情報の収集と分析を行い、新たな脆弱性の発見に努める必要がある。そして、発見された脆弱性情報は、関係各所に迅速に共有し、パッチの適用を促す体制の構築が重要となるだろう。

参考サイト/関連サイト