寄付窓口はこちら

【対訳】FBI: 北朝鮮、巧妙なソーシャル・エンジニアリング攻撃で暗号業界を積極的に狙う (North Korea Aggressively Targeting Crypto Industry with Well-Disguised Social Engineering Attacks)

対訳 セキュリティ

北朝鮮、巧妙なソーシャル・エンジニアリング攻撃で暗号業界を積極的に狙う(North Korea Aggressively Targeting Crypto Industry with Well-Disguised Social Engineering Attacks)

FBIの公開した記事の対訳です。

www.ic3.gov

Alert Number: I-090324-PSA

September 03, 2024

The Democratic People's Republic of Korea ("DPRK" aka North Korea) is conducting highly tailored, difficult-to-detect social engineering campaigns against employees of decentralized finance ("DeFi"), cryptocurrency, and similar businesses to deploy malware and steal company cryptocurrency.

朝鮮民主主義人民共和国(「DPRK」、通称北朝鮮)は、分散型金融(「DeFi」)、暗号資産、および類似の事業に従事する従業員に対して、高度にカスタマイズされた、検知が困難なソーシャルエンジニアリングキャンペーンを実施し、マルウェアを展開して企業の暗号資産を盗んでいます。

North Korean social engineering schemes are complex and elaborate, often compromising victims with sophisticated technical acumen. Given the scale and persistence of this malicious activity, even those well versed in cybersecurity practices can be vulnerable to North Korea's determination to compromise networks connected to cryptocurrency assets.

北朝鮮のソーシャルエンジニアリングの手法は複雑かつ巧妙で、高度な技術的ノウハウを駆使して被害者を陥れることがしばしばあります。この悪質な活動の規模と持続性を考えると、サイバーセキュリティ対策に精通している人でも、暗号資産に接続されたネットワークを侵害しようとする北朝鮮の強固な意志に脆弱である可能性があります。

North Korean malicious cyber actors conducted research on a variety of targets connected to cryptocurrency exchange-traded funds (ETFs) over the last several months. This research included pre-operational preparations suggesting North Korean actors may attempt malicious cyber activities against companies associated with cryptocurrency ETFs or other cryptocurrency-related financial products.

北朝鮮の悪意あるサイバー犯罪者は、過去数か月にわたり、暗号資産上場投資信託(ETF)に関連するさまざまなターゲットについて調査を行っていました。この調査には、北朝鮮の攻撃者が暗号通貨ETFやその他の暗号通貨関連金融商品に関連する企業に対して悪意のあるサイバー活動を試みる可能性を示唆する、事前活動の準備が含まれていました。

For companies active in or associated with the cryptocurrency sector, the FBI emphasizes North Korea employs sophisticated tactics to steal cryptocurrency funds and is a persistent threat to organizations with access to large quantities of cryptocurrency-related assets or products.

暗号資産部門で活動している、または関連している企業に対して、FBIは、北朝鮮が高度な戦術を用いて暗号資産を盗み、大量の暗号資産関連資産または製品にアクセスできる組織に対して執拗な脅威となっていることを強調しています。

This announcement includes an overview of the social engineering tactics North Korean state-sponsored actors use against victims working in DeFi, cryptocurrency, and related industries; potential indicators of North Korean social engineering activity; mitigation measures for those most at risk; and steps to take if you or your company may have been victimized.

この発表には、北朝鮮の国家支援を受けた犯罪者集団が、DeFi、暗号資産、関連業界で働く標的に対して使用するソーシャルエンジニアリング戦術の概要、北朝鮮のソーシャルエンジニアリング活動の潜在的な兆候、最もリスクの高い人向けの緩和策、そして、ご自身またはご所属の企業が被害に遭っている可能性がある場合の対応手順が含まれています。

北朝鮮のソーシャルエンジニアリング戦術 (North Korean Social Engineering Tactics)

広範な事前調査 (Extensive Pre-Operational Research)

Teams of North Korean malicious cyber actors identify specific DeFi or cryptocurrency-related businesses to target and attempt to socially engineer dozens of these companies' employees to gain unauthorized access to the company's network. Before initiating contact, the actors scout prospective victims by reviewing social media activity, particularly on professional networking or employment-related platforms.

北朝鮮の悪意あるサイバー犯罪者グループは、標的とする DeFi または暗号資産関連の事業を特定し、その企業のネットワークに不正アクセスするために、これら企業の従業員多数に対してソーシャルエンジニアリングを試みます。接触を開始する前に、犯罪者グループはソーシャルメディアのアクティビティ、特にプロフェッショナルネットワーキングや雇用関連のプラットフォームを精査して、ターゲットとなり得る候補者を調査します。

個別化された偽のシナリオ (Individualized Fake Scenarios)

North Korean malicious cyber actors incorporate personal details regarding an intended victim’s background, skills, employment, or business interests to craft customized fictional scenarios designed to be uniquely appealing to the targeted person.

北朝鮮の悪意あるサイバー犯罪者は、標的となる人物の背景、スキル、雇用、またはビジネス上の関心など、個人情報を盛り込み、標的となる人物に特別に魅力的に思えるようカスタマイズされた架空のシナリオを作成します。

North Korean fake scenarios often include offers of new employment or corporate investment. The actors may reference personal information, interests, affiliations, events, personal relationships, professional connections, or details a victim may believe are known to few others.

北朝鮮の偽のシナリオには、新しい雇用や企業投資のオファーが含まれることがよくあります。攻撃者は、個人情報、関心事、所属、イベント、個人的な関係、職業上のつながり、または標的となる人物が「他のほとんどの人は知らないだろう」と考えるような詳細情報を参照することがあります。

The actors usually attempt to initiate prolonged conversations with prospective victims to build rapport and deliver malware in situations that may appear natural and non-alerting. If successful in establishing bidirectional contact, the initial actor, or another member of the actor’s team, may spend considerable time engaging with the victim to increase the sense of legitimacy and engender familiarity and trust.

攻撃者は通常、攻撃対象と長時間にわたる会話を試み、信頼関係を築き、自然で警戒心を抱かせない状況でマルウェアを配信しようとします。双方向の接触に成功した場合、最初の攻撃者、または攻撃者のチームの別のメンバーが、標的となる人物とかなりの時間を費やして、正当性を高め、親近感と信頼感を醸成する可能性があります。

The actors usually communicate with victims in fluent or nearly fluent English and are well versed in the technical aspects of the cryptocurrency field.

攻撃者は通常、流暢な英語、またはほぼ流暢な英語で被害者とコミュニケーションを図り、暗号資産分野の技術的側面にも精通しています。

なりすまし (Impersonations)

North Korean malicious cyber actors routinely impersonate a range of individuals, including contacts a victim may know personally or indirectly. Impersonations can involve general recruiters on professional networking websites, or prominent people associated with certain technologies.

北朝鮮の悪意あるサイバー犯罪者は、被害者が個人的に、または間接的に知っている可能性のある人物を含む、さまざまな個人になりすますことを常としています。なりすましには、専門職向けネットワーキングサイト上の一般的な採用担当者や、特定のテクノロジーに関連する著名人が関与している場合もあります。

To increase the credibility of their impersonations, the actors leverage realistic imagery, including pictures stolen from open social media profiles of the impersonated individual. These actors may also use fake images of time sensitive events to induce immediate action from intended victims.

なりすましの信憑性を高めるために、攻撃者は、なりすまし対象の個人の公開されているソーシャルメディアプロフィールから盗んだ写真など、現実味のある画像を使用します。また、攻撃者は、緊急性の高い出来事の偽の画像を使用して、標的となる被害者に即時の対応を促す場合もあります。

The actors may also impersonate recruiting firms or technology companies backed by professional websites designed to make the fake entities appear legitimate. Examples of fake North Korean websites can be found in affidavits to seize 17 North Korean domains, as announced by the Department of Justice in October 2023.

また、偽装した企業が人材派遣会社やテクノロジー企業を装うこともあり、その場合は、偽装した企業が本物であるかのように見せかけるプロフェッショナルなウェブサイトが用意されていることもあります。北朝鮮の偽装ウェブサイトの例は、2023年10月に司法省が発表した北朝鮮の17のドメインの差し押さえに関する宣誓供述書で確認できます。

指標 (Indicators)

The FBI has observed the following list of potential indicators of North Korean social engineering activity:

FBIは、北朝鮮によるソーシャルエンジニアリング活動の可能性を示す指標として、以下のリストを挙げています。

  • Requests to execute code or download applications on company-owned devices or other devices with access to a company’s internal network.
    企業所有のデバイスや、企業の内部ネットワークにアクセスできるその他のデバイス上で、コードの実行やアプリケーションのダウンロードを要求する。
  • Requests to conduct a "pre-employment test" or debugging exercise that involves executing non-standard or unknown Node.js packages, PyPI packages, scripts, or GitHub repositories.
    非標準または未知のNode.jsパッケージ、PyPIパッケージ、スクリプト、GitHubリポジトリの実行を伴う「採用前のテスト」やデバッグ作業の実施を要求する。
  • Offers of employment from prominent cryptocurrency or technology firms that are unexpected or involve unrealistically high compensation without negotiation.
    著名な暗号資産またはテクノロジー企業から、交渉なしに予想外の、または非現実的な高額報酬の雇用オファーが提示される。
  • Offers of investment from prominent companies or individuals that are unsolicited or have not been proposed or discussed previously.
    著名な企業または個人から、依頼していない、または以前に提案または協議されていない投資オファーが提示される。
  • Insistence on using non-standard or custom software to complete simple tasks easily achievable through the use of common applications (i.e. video conferencing or connecting to a server).
    一般的なアプリケーション(ビデオ会議やサーバーへの接続など)を使用すれば簡単に達成できる簡単なタスクを、標準外またはカスタムのソフトウェアを使用して行うことを主張する。
  • Requests to run a script to enable call or video teleconference functionalities supposedly blocked due to a victim's location.
    被害者の所在地によりブロックされていると思われる電話会議やビデオ会議の機能を有効にするためのスクリプトの実行要求。
  • Requests to move professional conversations to other messaging platforms or applications.
    専門的な会話の他のメッセージングプラットフォームやアプリケーションへの移行要求。
  • Unsolicited contacts that contain unexpected links or attachments.
    予期せぬリンクや添付ファイルを含む、不要な連絡。

緩和策 Mitigations

To lower the risk from North Korea’s advanced and dynamic social engineering capabilities, the FBI recommends the following best practices for you or your company:

北朝鮮の高度でダイナミックなソーシャルエンジニアリング能力によるリスクを低減するために、FBIは、あなたまたはあなたの会社に対して、以下のベストプラクティスを推奨しています。

  • Develop your own unique methods to verify a contact's identity using separate unconnected communication platforms. For example, if an initial contact is via a professional networking or employment website, confirm the contact's request via a live video call on a different messaging application
    別々の関連性のないコミュニケーションプラットフォームを使用して、連絡者の身元を確認するための独自の方法を開発する。例えば、最初の連絡がプロフェッショナルネットワーキングサイトや求人サイト経由の場合は、別のメッセージングアプリケーションでライブビデオ通話を使用して連絡者の要求を確認する
  • Do not store information about cryptocurrency wallets — logins, passwords, wallet IDs, seed phrases, private keys, etc. — on Internet-connected devices.
    インターネットに接続されたデバイスに、暗号資産のウォレットに関する情報(ログイン、パスワード、ウォレットID、シードフレーズ、プライベートキーなど)を保存しない。
  • Avoid taking pre-employment tests or executing code on company owned laptops or devices. If a pre-employment test requires code execution, insist on using a virtual machine on a non-company connected device, or on a device provided by the tester.
    入社前のテストや、会社所有のラップトップやデバイスでのコード実行は避ける。入社前のテストでコード実行が必要な場合は、会社に接続されていないデバイス上、またはテスト実施者側が用意したデバイス上で仮想マシンを使用するよう強く要求する。
  • Require multiple factors of authentication and approvals from several different unconnected networks prior to any movement of your company's financial assets. Regularly rotate and perform security checks on devices and networks involved in this authentication and approval process.
    会社の金融資産を移動させる際には、多要素による認証と、いくつかの異なる接続されていないネットワークからの承認を必要とする。この認証および承認プロセスに関わるデバイスやネットワークについては、定期的にローテーションをかけ、セキュリティチェックを行う。
  • Limit access to sensitive network documentation, business or product development pipelines, and company code repositories.
    機密性の高いネットワーク文書、事業や製品開発のパイプライン、および企業コードのリポジトリへのアクセスを制限する。
  • Funnel business communications to closed platforms and require authentication — ideally in person — before adding anyone to the internal platform. Regularly reauthenticate employees not seen in person.
    社内プラットフォームに誰かを追加する前に、ビジネス上のコミュニケーションをクローズドなプラットフォームに集約し、理想的には直接対面して認証を行う。直接対面できない社員については、定期的に再認証を行う。
  • For companies with access to large quantities of cryptocurrency, the FBI recommends blocking devices connected to the company’s network from downloading or executing files except specific whitelisted programs and disabling email attachments by default.
    大量の暗号資産にアクセスする企業に対して、FBIは、ホワイトリストに記載された特定のプログラムを除き、ファイルのダウンロードや実行を企業ネットワークに接続されたデバイスでブロックすること、およびデフォルトでメールの添付ファイルを無効化することを推奨しています。

対応 Response

If you suspect you or your company have been impacted by a social engineering campaign similar to those discussed in this announcement, or by any potential North Korea-related incident, the FBI recommends the following actions:

この発表で取り上げたようなソーシャルエンジニアリングキャンペーン、または北朝鮮に関連する可能性のある事件によって、ご自身またはご所属の企業が影響を受けている可能性があると思われる場合は、FBIは以下の対応を推奨しています。

  • Disconnect the impacted device or devices from the Internet immediately. Leave impacted devices powered on to avoid the possibility of losing access to recoverable malware artifacts.
    影響を受けたデバイスをインターネットから即座に切断する。影響を受けたデバイスは電源を入れたままにしておき、復元可能なマルウェアの痕跡へのアクセスを失う可能性を回避する。
  • File a detailed complaint through the FBI Internet Crime Complaint Center (IC3) at www.ic3.gov.
    FBIインターネット犯罪苦情センター(IC3)www.ic3.govに詳細な報告を行う。
  • Provide law enforcement as many details as you can regarding the incident, including screenshots of communications with the malicious cyber actors. If possible, take screenshots of (or otherwise save) identifiers, usernames, online accounts, and any other details about the actors involved.
    悪意のあるサイバー犯罪者との通信のスクリーンショットを含め、この事件について可能な限り詳細な情報を法執行機関に提供してください。可能であれば、身元情報、ユーザー名、オンラインアカウント、および関係者のその他の詳細情報をスクリーンショットで撮影(または保存)してください。
  • Discuss options for incident response and forensic examination of impacted devices with law enforcement. In some situations, law enforcement may recommend taking advantage of private incident response companies.
    影響を受けたデバイスに対するインシデント対応およびフォレンジック調査のオプションについて、法執行機関と話し合ってください。状況によっては、法執行機関が民間のインシデント対応企業の利用を推奨する場合があります。
  • Share your experience with colleagues, if appropriate, to raise awareness and broaden the public's understanding of the significant malicious cyber threat emanating from North Korea.
    同僚と経験を共有し、必要に応じて、北朝鮮から発信される重大な悪意あるサイバー脅威に対する認識を高め、一般の人々の理解を広めるようにしてください。

For related information and additional details on North Korea's malicious cyber activity, see FBI press releases from September 2023, August 2023, and January 2023, as well as Joint Cybersecurity Advisories released in June 2023 and April 2022.

北朝鮮の悪意あるサイバー活動に関する関連情報および詳細については、2023年9月2023年8月2023年1月のFBIプレスリリース、および2023年6月2022年4月に発表された共同サイバーセキュリティ勧告をご覧ください。