C
月内に
北朝鮮の国家支援アクターKimsukyが、韓国の軍事および企業組織を標的にした攻撃を展開しています
📌 一言でいうと
北朝鮮の国家支援アクターKimsukyが、韓国の軍事および企業組織を標的にした攻撃を展開しています。攻撃者はセキュリティソフトのインストールページやWebex会議ページを装ったフィッシングサイトを利用し、HTTPSpyなどのマルウェアを配布しています。また、HelloDoorやVS Code Tunnelsなどのツールを組み合わせて攻撃手法を拡張していることが確認されました。
🔍該当判定
- 韓国のB2B向けメッセージングサービスやセキュリティソフトを導入している
- 社内でWebexを利用しており、不審な会議招待URLからソフトのインストールを促された
- 開発環境で「VS Code Tunnels」を利用して外部からアクセス可能な設定にしている
- 韓国の軍事・企業団体と直接的な取引や共同プロジェクトを行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なWebページからのソフトウェアインストールを禁止し、正規の配布元であることを確認すること。また、VS Code Tunnelsなどのリモートアクセスツールの不審な利用を監視し、多要素認証 (MFA) を徹底することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なソフトウェア更新・インストールのお願いにご注意ください
お疲れさまです。情報システム担当です。
現在、正規のセキュリティソフトやWeb会議ツール(Webex等)のインストールページを装い、ウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのないメールやWebサイトから、ソフトウェアのインストールや更新を行わないでください。
2. ソフトウェアの導入が必要な場合は、必ず社内の正規の手順に従い、指定の配布元から入手してください。
3. 不審なメールを受信したり、誤ってリンクをクリックした場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
現在、正規のセキュリティソフトやWeb会議ツール(Webex等)のインストールページを装い、ウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのないメールやWebサイトから、ソフトウェアのインストールや更新を行わないでください。
2. ソフトウェアの導入が必要な場合は、必ず社内の正規の手順に従い、指定の配布元から入手してください。
3. 不審なメールを受信したり、誤ってリンクをクリックした場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中
Subject: [Security Alert] Beware of Suspicious Software Installation Requests
Dear employees,
We have observed cyber attacks where attackers impersonate legitimate security software or web conferencing tool (e.g., Webex) installation pages to deliver malware.
Please follow these guidelines:
1. Do not install or update software from unsolicited emails or unfamiliar websites.
2. Always use official company channels and approved sources when installing software.
3. If you receive a suspicious email or accidentally click a link, please report it to the IT security team immediately.
Deadline: Immediate
Dear employees,
We have observed cyber attacks where attackers impersonate legitimate security software or web conferencing tool (e.g., Webex) installation pages to deliver malware.
Please follow these guidelines:
1. Do not install or update software from unsolicited emails or unfamiliar websites.
2. Always use official company channels and approved sources when installing software.
3. If you receive a suspicious email or accidentally click a link, please report it to the IT security team immediately.
Deadline: Immediate
件名: 【共有】KimsukyによるHTTPSpyおよび新ツール展開への対応について
お疲れさまです。Kimsukyによる最新のキャンペーンに関する情報共有です。
■ 概要
北朝鮮のAPTグループKimsukyが、韓国の軍事・企業組織を標的にHTTPSpyマルウェアを配布しています。特筆すべき点として、HelloDoorやVS Code Tunnelsを悪用して環境への侵入・維持を図る傾向が見られます。
■ 影響範囲
- 韓国国内の組織および関連企業
- B2Bメッセージングサービス等の管理権限を持つユーザー
■ 対応手順
1. ネットワークログにおいて、VS Code Tunnels等の不審なトンネリング通信が発生していないか確認してください。
2. 従業員に対し、セキュリティソフトの偽インストールページへの注意喚起を実施してください。
3. エンドポイントにおけるHTTPSpy等の不審なバイナリの実行を監視してください。
■ 参考情報
- ENKI Analysis (May 2026)
対応優先度: 高
対応期限: 今週中
お疲れさまです。Kimsukyによる最新のキャンペーンに関する情報共有です。
■ 概要
北朝鮮のAPTグループKimsukyが、韓国の軍事・企業組織を標的にHTTPSpyマルウェアを配布しています。特筆すべき点として、HelloDoorやVS Code Tunnelsを悪用して環境への侵入・維持を図る傾向が見られます。
■ 影響範囲
- 韓国国内の組織および関連企業
- B2Bメッセージングサービス等の管理権限を持つユーザー
■ 対応手順
1. ネットワークログにおいて、VS Code Tunnels等の不審なトンネリング通信が発生していないか確認してください。
2. 従業員に対し、セキュリティソフトの偽インストールページへの注意喚起を実施してください。
3. エンドポイントにおけるHTTPSpy等の不審なバイナリの実行を監視してください。
■ 参考情報
- ENKI Analysis (May 2026)
対応優先度: 高
対応期限: 今週中
Subject: [Intel] Kimsuky Deployment of HTTPSpy and New Tooling
Dear Security Team,
This is a technical update regarding the latest activity from the Kimsuky APT group.
■ Overview
Kimsuky is targeting South Korean military and corporate entities using HTTPSpy malware. The actor is expanding its toolkit by leveraging HelloDoor and VS Code Tunnels for persistence and remote access.
■ Scope
- South Korean organizations and related corporate entities.
- Users with administrative privileges for B2B messaging services.
■ Action Items
1. Monitor network logs for unauthorized tunneling activity, specifically focusing on VS Code Tunnels.
2. Conduct targeted awareness training regarding spoofed security software installation pages.
3. Implement endpoint monitoring to detect the execution of HTTPSpy variants.
■ Reference
- ENKI Analysis (May 2026)
Priority: High
Deadline: End of this week
Dear Security Team,
This is a technical update regarding the latest activity from the Kimsuky APT group.
■ Overview
Kimsuky is targeting South Korean military and corporate entities using HTTPSpy malware. The actor is expanding its toolkit by leveraging HelloDoor and VS Code Tunnels for persistence and remote access.
■ Scope
- South Korean organizations and related corporate entities.
- Users with administrative privileges for B2B messaging services.
■ Action Items
1. Monitor network logs for unauthorized tunneling activity, specifically focusing on VS Code Tunnels.
2. Conduct targeted awareness training regarding spoofed security software installation pages.
3. Implement endpoint monitoring to detect the execution of HTTPSpy variants.
■ Reference
- ENKI Analysis (May 2026)
Priority: High
Deadline: End of this week