チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「国家支援型の攻撃って、うちみたいな一般企業にも来るの?」
「GitHubが攻撃のインフラに使われるなんて、どうやって見分ければいい?」
チップスボス!北朝鮮のハッカーがGitHubを使って攻撃してるって聞いたでしゅ!
GitHubって開発で毎日使ってるのに、怖いでしゅ!
ボスKimsukyと呼ばれる北朝鮮系グループの手口だな。
GitHubの信頼性を逆手に取ってC2サーバーに使っている。
今は韓国が主な標的だが、日本に飛び火する可能性は十分ある。
2026年4月、Fortinet FortiGuard Labsが北朝鮮関連のハッカーグループによる新たな攻撃キャンペーンを報告しました。
GitHubをC2(コマンド&コントロール)サーバーとして悪用する、巧妙な多段階攻撃の実態を解説します。
正規サービスを悪用する最新の攻撃手口と、企業が取るべき対策がわかります。
今回のキャンペーンは、フィッシングメールから始まる3段階の攻撃チェーンが特徴です。
攻撃者はビジネス文書(ファンド提案書や提携オファー)を装ったフィッシングメールでLNKファイルを送りつけます。
被害者がファイルを開くと、おとりのPDFが表示される裏で攻撃が静かに進行します。
攻撃チェーンの各ステップは以下の通りです。
フィッシングメールに添付されたLNKファイルを開くと、おとりPDFを表示しつつ、エンコードされたPowerShellスクリプトが裏で起動する
PowerShellスクリプトが仮想マシンやデバッガなど30種以上の解析ツールの存在を確認し、検知されなければスケジュールタスクで30分ごとに自動実行される永続化を確立する
GitHub APIを使って攻撃者のリポジトリと通信し、追加モジュールの受信やシステム情報の送信を行う。GitHubの正規通信に紛れるため、ネットワーク監視での検知が困難になる
Windows標準ツール(PowerShell、VBScript)だけで攻撃が完結するため、実行ファイルを落とさずに済む「ファイルレス」に近い手口です。
チップスGitHubへの通信って、開発者なら普通にやってるでしゅよね……。
それが攻撃の通信だなんて、区別つかないでしゅ。
ボスだからこそ厄介なんだ。
開発部門以外からのGitHub通信を監視対象にするなど、通信先の管理が重要になる。
現時点での主な標的は韓国ですが、Kimsukyは過去に日本の組織も攻撃した実績があります。
同じ手口が日本語のビジネス文書に切り替わる可能性は十分にあります。
Fortinetが推奨する対策も踏まえ、有効な防御策をまとめます。
GitHubやOneDriveなど、正規クラウドサービスをC2に使う手口は今後さらに増える見込みです。
「信頼できるドメインだから安全」という思い込みを捨てる必要があります。
北朝鮮系グループKimsukyによるGitHub C2攻撃は、正規サービスの信頼を悪用する巧妙な手口です。
LNKファイルからPowerShellへの多段階攻撃は、従来のセキュリティ対策をすり抜けやすい設計になっています。
フィッシング対策の強化とPowerShellの監視を軸に、今から備えてください。
詳細はFortiGuard Labs公式ブログで確認できます。
