【韓国】Kimsukyら北朝鮮ハッカーがGitHubを攻撃基地に——政府・金融狙う正規クラウド悪用

📝 北朝鮮Kimsuky、GitHubリポジトリをC2基盤に韓国政府・金融を攻撃

2026年4月6日、サイバーセキュリティ企業Fortinetの調査部門「FortiGuard Labs」が、新たな北朝鮮系APTキャンペーンを公表した。攻撃者はWindowsショートカット（LNK）ファイルを添付した標的型フィッシングメールを韓国組織に送り込み、開封すると裏でPowerShellスクリプトが走って GitHubリポジトリを司令塔（C2） として使う——という、従来の「独自ドメイン／VPS上のC2」を捨てた新しい攻撃インフラ設計である。

「なぜGitHubか」が最大の論点だ。GitHubは全世界の開発者が使う正規サービスで、企業ネットワークのファイアウォールはHTTPS通信をほぼ素通りさせる。ログを見ても「github.com宛ての正規トラフィック」にしか見えない。この 正規クラウドの擬態 こそ、今回のキャンペーンの構造的な怖さである。

📰 S2W Talon調査：正規クラウドを悪用するAPT手法が進化

元ネタ：North Korea-Related Campaign Abuses GitHub as C2 in New LNK Phishing Attacks（CybersecurityNews / 2026-04-03）

A newly identified campaign linked to North Korean state-sponsored threat actors is using Windows shortcut files, known as LNK files, to launch targeted phishing attacks against organizations in South Korea.

（訳：新たに特定されたキャンペーンは、北朝鮮国家支援の攻撃者と関連しており、Windowsショートカット（LNK）ファイルを用いて韓国組織への標的型フィッシング攻撃を仕掛けている。）

🔥 C2インフラが「悪性サーバー」から「GitHub」へ移行、検知が困難に

このキャンペーンの重要性は、単なる1インシデントではなく 北朝鮮APTの攻撃モデルが「自前C2」から「正規クラウドC2」へ大きく舵を切った瞬間 を示している点にある。

従来、Kimsuky・Lazarus・ScarCruftら北朝鮮系APTは、自前で取得したドメイン・VPSを遠隔操作サーバーに使っていた。しかしこの方法には3つの弱点があった——①ドメイン取得時の痕跡、②VPS業者からのテイクダウン、③通信先IPで検知される。

GitHubをC2にすると、この3つがすべて消える。ドメインは「github.com」固定、テイクダウンは1リポジトリ削除だけ（新しいのを5秒で作れる）、通信先は開発者なら誰もが叩いているサービスでブラックリスト化不可能。防御側が「悪性」と「正規」を分離できないインフラ に攻撃面が移行したということだ。

FortiGuardが分析した検体群では、PowerShellスクリプト側にも工夫があった。実行前に仮想マシン・デバッガ・フォレンジックツール関連プロセスをスキャンし、検知されると即座に自殺（自己終了）する。さらにスケジュールタスクで永続化し、以降はすべてGitHub API経由で追加モジュールを引いてくる設計だ。

標的業種は ソフトウェア・エンジニアリング／政府／金融／防衛・宇宙 の4セクター。これは典型的な国家スパイ工作のターゲティングで、Kimsukyが過去10年以上一貫して狙ってきた領域と完全一致する。

🇯🇵 日本企業・政府への波及条件

「これは韓国の話」では終わらない。3つの理由で日本も同じ構造の直下にある。

① Kimsuky／Lazarus の日本標的履歴。 Kimsukyは外務省・シンクタンク・防衛関連企業に対する日本語スピアフィッシングを長年続けており、Lazarusは2024年までに日本の暗号資産取引所から累計数百億円を盗んだ実績がある。彼らが攻撃手法を韓国向けで成熟させてから日本に転用してくるパターンは過去にも繰り返されており、今回も時間差で来ると見るのが安全側の読みだ。

② 日本企業のGitHub利用率の高さ。 日本の主要SIer・金融機関・政府系システムは社内外でGitHub Enterprise／GitHub.comを日常的に使用している。企業プロキシでgithub.com通信を拒否している組織はほぼゼロ。このため、正規トラフィックに紛れたC2通信を振るい落とす一次フィルタが実質存在しない。

③ LNK添付フィッシングは日本でも2025年から増加。 IPAの2025年情報セキュリティ10大脅威でもショートカットファイル・ISO／IMG添付を経由した標的型攻撃は上位にランクされている。韓国で観測された検知回避PowerShell（仮想マシン検知・自己終了）がそのまま日本語デコイPDFに載せ替えられて飛んでくるのは、翻訳コストしか残っていない。

批判すべき点も書いておく。日本の多くの企業のSOC／MDR運用は、依然として「悪性ドメインブロック」「通信先IPのブラックリスト」といった旧モデルに引きずられている。正規SaaS（GitHub／Dropbox／Microsoft Graph／Google Drive）をC2に使う攻撃は、ドメインベース検知では絶対に止められない——ここを本当に理解した運用に書き換えるには、API使用量の異常値検知（UEBA）や、git push／pull自体の振る舞い検知まで必要になる。多くの現場で、この議論はまだ「検討中」の段階にある。

🏁 GitHubという「最も正規な場所」が攻撃基地になった意味

つまりこういうことだ。北朝鮮APTはC2インフラを「悪性らしい場所」から「GitHubという一番正規な場所」へ移した。韓国はすでに前線で被弾しており、Fortinetが手口を文書化した4月6日以降、攻撃ベクターはコピー可能な公開情報となった。残る問題は、韓国で観測された手口が日本企業のSOC画面に現れたときに、アナリストがgithub.com通信を「正規」と判定して見逃すか、「正規サービスの異常利用」として掴めるか——という運用品質の一点だ。この攻撃は技術の問題ではなく、検知モデルの古さを突く思想の問題 として読むべきである。

サイバーセキュリティの教科書