北朝鮮のサイバー戦力は強い? 弱い? 銀行泥棒としては世界一? 日本も攻撃のターゲットになっている? 英国シンクタンクIISSの分析を元に、危険な隣国のサイバー戦能力を紹介!
サイバー攻撃とサイバー犯罪で悪名高い北朝鮮
サイバー攻撃とサイバー犯罪で悪名高い北朝鮮
仮想通貨を盗む北朝鮮サイバー部隊
北朝鮮は、サイバー戦の世界では特殊な位置を占めており、規模としては超大国に及びませんが、悪名高いハッカーグループが世界規模で活動しています。
2022年1月の最新記事では、北朝鮮政府系ハッカー集団が多額の仮想通貨を窃取したことが記事になっています。
「北朝鮮のハッカー集団は、2021年だけで総額450億円相当もの仮想通貨を盗んでいた」(WIRED.jp)
https://wired.jp/2022/01/16/north-korea-cryptocurrency-theft-ethereum/
記事によれば、北朝鮮ハッカーはイーサリアムを中心に仮想通貨を取引所や投資企業から盗み、その資金が金正恩体制の維持・ミサイル開発に使われています。
経済制裁の伴う財政事情の悪化を受け、現在は仮想通貨窃取がハッカー部隊の最優先任務になっているとのことです。
北朝鮮サイバー戦争の簡単な歴史
デービッド・サンガー著『サイバー完全兵器』によれば、北朝鮮におけるサイバー戦力整備の歴史は意外と古く、金正日時代の1996年頃からハッカー部隊「121局」(Breau 121)がつくられ、訓練が始まりました。
北朝鮮は、自国のハッカーを養成するため、数学の得意な子供を集めて海外留学させ、コンピュータサイエンスを学ばせました。また、米ニューヨークの国連本部で働く北朝鮮職員たちは、同市のプログラミングスクールに通っていたといいます。
2011年に金正恩が統治者となってからは、サイバー戦活動が劇的に増大しました。
金正恩は、サイバー兵器・サイバー戦が、貧しい国にとって非常にコストパフォーマンスの良い手段であることを理解していました。
北朝鮮ハッカーたちは、国交のある中国、フィリピン、マレーシア、タイなど諸外国に展開し、サイバー攻撃やサイバー犯罪に従事しました。
最近は状況が変わってきたものの、少し前までは、北朝鮮のインターネット環境が未整備であったために、他国がサイバー攻撃をしかけることは難しい状態でした。
「北朝鮮は、おかしなもの、ばかげたもの、平凡なもの、そして高度に洗練されたものがごちゃ混ぜだった。そのせいで誰も事態を深刻に受けとめていなかった。あんなに孤立して発展のおくれた国にこんな能力があるわけがない、あんなに孤立して発展のおくれた国にこれほどの核能力があるわけがない、という風に」
『サイバー完全兵器』デービッド・サンガー
2010年代以降、サイバー空間における北朝鮮の脅威は増大し続けています。
- 2013年、韓国金融機関・放送メディアに対する大規模攻撃(「ダークソウル作戦」)
- 2014年、ソニーピクチャーズに対するサイバー攻撃
- 2017年、WannaCryランサムウェアを利用し、多額の身代金を取得
サイバー戦力を概観する
北朝鮮は、核開発だけでなくサイバー戦においても国際社会に影響を及ぼしています。
ここからは、イギリスのシンクタンク、国際戦力研究所(IISS)が2021年に発行したレポートを元に、北朝鮮サイバー戦力の全貌を紹介します。
北朝鮮のサイバー戦略
北朝鮮のサイバー戦略
北朝鮮には公表されているサイバー戦略は存在しませんが、その特徴としてあげられるのが機会主義です。
次のような活動が観測されています。
- 通貨を狙った詐欺やサイバー窃盗行為
- 韓国に対するサイバー攻撃
- 伝統的なサイバースパイ活動
韓国ソースによれば、金正恩は核ミサイルとサイバー戦力を軍の中核に位置付けています。また、先代の金正日も、平時における軍事情報戦が戦争を決すると発言していました。
もっとも、北朝鮮のサイバー戦力はあまり洗練されておらず、サイバー攻撃のレベルは犯罪集団の襲撃や報復レベルにとどまっています。
唯一深刻な外交的影響を及ぼしているのが、韓国の官民セクターに対するサイバー攻撃です。
経済制裁が厳しくなった2013年以降は、資金調達のためのサイバー攻撃やサイバー犯罪が増加しました。なかでも、米NSA(国家安全保障局)から流出したツールを悪用したWannaCryランサムウェアは、世界各国に大きな被害を与えました。
北朝鮮軍は、「短期決戦戦略(Short and Decisive Strategy)」を採用しており、地上兵力による電撃戦にあわせて韓国軍の指揮統制システムを破壊するようなサイバー作戦の準備を行っていると推定されています。
北朝鮮のサイバー戦部隊
北朝鮮のサイバー戦部隊
北朝鮮のサイバー作戦は、朝鮮労働党総書記、党中央軍事委員会委員長たる金正恩の直接指揮の下、軍と情報機関によって実行されています。
金正恩の直接指揮下にあるため、サイバー作戦関係者は常に粛清の危険にさらされていると考えられます。
朝鮮人民軍偵察総局
2009年に創設された、国防省傘下の主要情報機関です。
121局
偵察総局の部隊編成については、正確に特定されていませんが、前述した「121局」こと「サイバー戦教導隊」(Cyber Warfare Guidance Unit)が最上級部署と考えられています。
121局の任務は次のとおりです。
- 敵のシステム・ネットワーク脆弱性の調査
- サイバー攻撃のための脆弱性の悪用
- 金銭目的のサイバー犯罪
121局によって引き起こされた有名な事件が、2014年のソニーピクチャーズに対するハッキング事案です。
110実験室
調査によれば、近年は121局の隷下、あるいは121局の編成替えと推測される「Lab 110」(110実験室)が存在感を増しています。
Lab110隷下には以下のサブユニットが存在します。
| 名称 | 特徴 |
|---|---|
| 98部(Office 98) | 亡命者ネットワークや、韓国・海外の学術関係者に対する監視を担当 |
| 414部(Office 414) | 平壌と中国に拠点を持ち、外国政府に対するスパイ活動やサイバー攻撃を担当 |
| 35部(Office 35) | 技術部としてマルウェアの開発や敵の脆弱性検知を担当 |
91部隊
Lab110と並ぶ部隊として「91部隊」(Unit 91)が存在します。91部隊は韓国インフラ企業へのスパイ活動や、核開発に関する情報収集など、国家にとって優先度の高い任務を遂行しています。
180部隊
「180部隊」(Unit 180)は、金銭窃取を目的に国外組織企業を攻撃しています。
Lazarusグループ、APT37
サイバーセキュリティニュースなどで言及されるAPT(Advancec Persistent Threat)グループであるLazarusやAPT37は、北朝鮮偵察総局と関連があると考えられています。攻撃手法などに共通点があるものの、その組織編制や位置づけは不明です。
朝鮮人民軍総参謀部
セキュリティ企業Fire Eyeによれば、朝鮮人民軍総参謀部も、偵察総局とは別にサイバー攻撃部隊を保有しています。
その任務は以下のとおりです。
- 産業スパイ行為
- 脅迫
- 敵軍の指揮統制システム攻撃
- 反体制派・ジャーナリスト・研究者に対する攻撃・監視
サイバー空間における北朝鮮の特性
サイバー空間における北朝鮮の特性
限定的なサイバーインテリジェンス能力
北朝鮮のサイバーインテリジェンスにおける優先事項は、金正恩体制の維持と、米韓からの攻撃に対する早期警戒だと推定されています。また、経済制裁に対抗するためのサイバー犯罪に関する情報も重視されています。
しかし、朝鮮半島を超えたエリアに対するサイバー情報収集能力は非常に限定されています。
サイバー人材は充足中
北朝鮮国内のインターネットアクセスは非常に限定されているため、国内監視のリソースはそれほど必要なく、サイバー戦力の大半を外国政府機関に対する活動に割り当てることができています。
北朝鮮における現在のサイバー戦要員は、約6800名程度と考えられています。
毎年100人前後が、国内の軍事大学でサイバーセキュリティやコンピュータサイエンスを学びますが、かれらが最新のIT技術に触れる機会は限られています。
近年整備の進んだ国内のITインフラ環境
金正恩体制移行、インターネットや通信環境の整備が進み、国内の携帯電話ネットワークが普及しました。また、朝鮮労働党のエリート約1万名を中心に、インターネットにアクセスできる環境も確立しています。
しかし、国民の多くは、インターネットから遮断されており、富を得る機会を制限されています。
一般市民がWi-Fiを利用するためにはSIMカードが必要で、このSIMカードを通じて検閲を行っています。また、政府はRed Starと呼ばれるLinux OSを運用し、インターネットアクセスを統制しています。
Red Star OSは、国家IT技術研究機関である朝鮮コンピューターセンター(Korea Computer Center、KCC)で開発されました。
IT産業分野では、インドを模倣し、中国・日本など近隣諸国からのアウトソーシング先として発展するための政策がとられています。
エリート養成に特化したサイバー教育
北朝鮮では小学校の学習科目にコンピュータが含まれています。
才能ある学生は、以下のようなトップクラスの大学に進み、IT技術やハッキング技術を学びます。
- 金正日大学
- 金策工業総合大学
- 平壌科学技術大学(北朝鮮唯一の私立大学、国外インターネットに接続可能)
- モランボン大学(エリート向けのハッキングコースに特化)
- 金正恩国防大学(朝鮮人民軍の陸軍士官学校に相当)
サイバー防衛能力は低い
北朝鮮のサイバー防衛能力は非常に低く、国際電気通信連合(ITU)が2018年に発表したサイバーセキュリティ指標でも、全175か国中171位となっています。
その要因は、国としての平均的な技術レベルの低さ、国際社会からの孤立です。
世界のインターネット網から完全に孤立しているわけではなく、北朝鮮からのゲートウェイが2か所しかないというのも大きな脆弱性です。この弱点のため、ハッカーたちは国外に展開しなければ活動できません。
北朝鮮は、米国やその他の攻撃者からしばしばサイバー攻撃を受け、国内全域のインターネットを遮断されています。
2022年2月には、アメリカ国籍の個人ハッカーが報復のために北朝鮮を攻撃し、国全体のインターネットを複数回ダウンさせていることが報じられました。
北朝鮮のインターネットを停止させたのは自分だとハッカー「P4x」が名乗り出る、北朝鮮の攻撃に対する米国政府の対応への不満が動機(Gigazine)
https://gigazine.net/news/20220203-p4x-confess-attack-to-north-korea/
北朝鮮の発電所で使われているソフトウェアやハードウェアは非常に古く、サイバー攻撃に対して脆弱と考えられています。とはいえ現在、大半の国民は電力なしで生活しているため、あまり魅力的なターゲットにはなっていないようです。
北朝鮮のサイバー攻撃作戦
北朝鮮のサイバー攻撃作戦
北朝鮮のサイバー攻撃能力は、サイバー犯罪集団レベルだと考えられています。
すなわち、高度のサイバーインテリジェンス能力を持たないため、敵国政府や敵軍の強靭なネットワークに侵入・妨害することは難しいと考えられています。
韓国に対するサイバー攻撃
韓国に対するサイバー攻撃は2009年以降、継続的に行われています。攻撃の大半は、原始的なDoS攻撃や、政府・企業のWebサイト改ざん・消去などです。
金融機関や国際金融システムへの攻撃
2013年の国連経済制裁が始まってからは、通貨獲得の目的から、国際銀行間通信協会(SWIFT)に対する攻撃や、バングラデシュ、チリ、韓国、台湾、ヴェトナムなどの金融機関に対する攻撃を行っています。
2014年 ソニーピクチャーズへのサイバー攻撃
金正恩を題材にしたコメディ映画『ザ・インタビュー』に反発した北朝鮮ハッカー部隊が、映画会社ソニー・ピクチャーズのネットワークをハッキングし、大量の個人情報、業務データ、公開前の映画データなどを流出させ、さらにマルウェアを利用し社内のシステムからデータを消去した事件です。
攻撃の手口が、対韓国サイバー部隊121局に共通していたことから、FBIは正式に北朝鮮政府を非難しました(北朝鮮は関与を否定)。
数か月後には、オバマ政権の支持により報復が行われ、北朝鮮がインターネットから切断されました。
2017年 WannaCryランサムウェア
2017年に世界的に流行したランサムウェアです。NSAから流出したハッキングツールを利用し、北朝鮮サイバー部隊(Lazarusグループと推定)が開発・運用したと考えられています。
WannaCryは感染したPC内のファイルを暗号化し、身代金としてビットコインを振り込むよう脅迫する機能を保有していました。ところが、身代金を振り込んでも、暗号化が解除された例は報告されていないそうです。
2022年 現況
冒頭に紹介したように、北朝鮮サイバー部隊による仮想通貨窃取は依然として続けられています。
また、2022年1月には、北朝鮮ハッカーグループが、防衛企業ロッキードマーティンの採用担当者を装い、セキュリティ研究者や技術者に対してスピアフィッシング攻撃をしかけているとの報道がされました。
まとめ
本記事のまとめは以下のとおりです。
- 金正恩は、核開発と並んでサイバー戦を国家維持戦略として重視
- 北朝鮮サイバー戦の柱は金銭窃取、対韓国攻撃、伝統的なサイバースパイ活動
- サイバー戦力を担うのは朝鮮人民軍偵察総局と総参謀部、戦力規模は約6800人
- ITインフラやサイバー防衛能力は低い
- サイバー攻撃作戦やサイバー犯罪が目立つも、その能力はあくまで犯罪集団レベル
日本とも因縁の深い北朝鮮のサイバー戦活動は、今後も注視していく必要があります。
本ブログでは、この記事では言及しなかったKimusukyグループや、北朝鮮サイバー人材教育などについても今後紹介していきたいと思います。