セキュリティ

SECURITY

公開：2025-05-11

KasperskyがLazarusグループによる韓国企業へのサイバー攻撃を発見、Operation SyncHoleと命名し対策を実施

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Lazarusグループによる韓国のサプライチェーン攻撃を観測
• Innorix Agentの脆弱性を悪用した多段階攻撃を特定
• 韓国のソフトウェア・IT企業など6組織が標的に

Lazarusグループによる韓国企業へのサイバー攻撃

Kasperskyのグローバル調査分析チーム（GReAT）は2025年4月24日、サイバー攻撃グループLazarusによる新たな攻撃活動「Operation SyncHole」を発見した。この攻撃は水飲み場型攻撃とサードパーティ製ソフトウェアの脆弱性を組み合わせた手法で、韓国の組織を標的としており、Innorix Agentの脆弱性を悪用した高度な多段階攻撃が確認された。^[1]

Lazarusグループは韓国のソフトウェア、IT、金融、半導体、通信業界の6組織を標的としていたことが明らかになった。このグループは少なくとも2009年から活動を続けており、潤沢な資金とリソースを保有していることから、Innorix Agentのワンデイ脆弱性を巧みに悪用し、標的組織への侵入と横展開を実現していた。

KasperskyのGReATは調査中にInnorix Agentの新たなゼロデイ脆弱性を発見し、韓国インターネット振興院とベンダーに報告を行った。この脆弱性はKVE-2025-0014として登録され、パッチが適用されたバージョンがリリースされたことで、攻撃リスクの軽減に貢献している。

Operation SyncHoleの攻撃手法まとめ

水飲み場型攻撃について

水飲み場型攻撃とは、標的組織のユーザーが頻繁に訪れるウェブサイトを攻撃者が侵害し、正規のサイトを踏み台として攻撃を仕掛ける手法のことを指す。主な特徴として以下のような点が挙げられる。

• 正規サイトを介して標的を狙う高度な攻撃手法
• 訪問者のトラフィックを選択的にフィルタリング
• 標的を絞り込んだ戦略的なアプローチが可能

Operation SyncHoleでは、Lazarusグループがオンラインメディアのウェブサイトを侵害し、特定の訪問者を攻撃者が制御するサイトへ誘導する手法を採用していた。韓国のソフトウェアエコシステムへの深い理解を活かし、複数の攻撃手法を組み合わせることで、高度な標的型攻撃を実現することに成功している。

Operation SyncHoleに関する考察

Lazarusグループによる今回の攻撃は、国や地域固有のソフトウェアの脆弱性を巧みに突く手法が特徴的である。サードパーティ製のブラウザープラグインやヘルパーツールは管理者権限で実行されることが多く、攻撃対象領域を大幅に拡大させてしまう危険性が明らかになった。専門家による継続的な脆弱性診断と迅速なパッチ適用が不可欠だろう。

韓国のソフトウェアエコシステムを標的とした攻撃は今後も継続する可能性が高く、より包括的なセキュリティ対策が求められる。特に国や地域固有のソフトウェアに対する脆弱性診断の強化や、サードパーティ製ツールの利用に関するガイドラインの整備が急務となるだろう。

長期的な対策として、ブラウザープラグインやヘルパーツールの権限管理の見直しや、不要なツールの削除による攻撃対象領域の最小化が重要となる。組織全体でのセキュリティ意識の向上と、継続的な監視体制の構築が、今後の標的型攻撃への効果的な防御につながるはずだ。

参考サイト

1. ^ PR TIMES. 「Kaspersky、サイバー攻撃グループ「Lazarus」による韓国のサプライチェーンを標的とした攻撃を発見 | 株式会社カスペルスキーのプレスリリース」. https://prtimes.jp/main/html/rd/p/000000470.000011471.html, (参照 25-05-11).
2271

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧