>
Insiktレポート

北朝鮮の支配層エリートは孤立していない

投稿: 2017年7月25日
作成者 : Insikt Group

insikt-group-logo-updated-3-300x48.png

北朝鮮のインターネット活動の詳細な分析は、情報に通じ、現代的で、技術に精通した支配エリートを明らかにしている。

こちらをクリックして、解析の全文をPDFでダウンロードしてください

Executive Summary

これは、北朝鮮に関するシリーズの第2部です。 「北朝鮮は狂っていない」と題されたパート1では、北朝鮮のサイバーアクターは狂っているわけでも、不合理なわけでもなく、他のほとんどの諜報機関よりも作戦範囲が広いだけであることを明らかにしました。

ここでは、インテリジェンスパートナーである Team Cymruを通じて分析を充実させ、北朝鮮の指導者と支配層エリートがインターネットをどのように使用しているか、そしてそれが彼らの計画と意図について何を教えてくれるかについての独自の洞察を明らかにする包括的な研究を行っています。

私たちの分析は、インターネットにアクセスできる限られた数の北朝鮮の指導者と支配層エリートが、欧米や人気のあるソーシャルメディアに積極的に関与しており、定期的に国際ニュースを読み、ビデオストリーミングやオンラインゲームなどの同じサービスの多くを利用しており、そして何よりも、北朝鮮の行動が国際社会に与える影響や、世界全体から切り離されていないことを示しています。 さらに、我々は次のように結論付けました。

  • 北朝鮮のエリートと指導部を国際社会から孤立させようとする試みは失敗している。 実際、彼らのインターネット活動は多くの点でほとんどの西洋人とそれほど違いはありません。
  • レビューされたデータセットは、従来の仮説に反して、北朝鮮の一般的なインターネット活動が戦略的な軍事行動の早期警告を提供しない可能性があることを示唆しています。 北朝鮮の活動とミサイル実験との間に相関関係があるとしても、それは指導部や支配層エリートのインターネット行動によって電報されることはない。
  • 北朝鮮はサイバー作戦を実施するために領土資源を使用しておらず、北朝鮮の国家支援活動のほとんどは海外から行われている可能性が高いため、金正恩政権に非対称的な圧力をかける機会となっている。

この分析は、私たちのブログシリーズのパート1と合わせて、北朝鮮の非核化の道に向けて探求できる他の政権の圧力ポイント、そしてその結果として、他のツール、技術、パートナーが存在する可能性が高いことを示しています。

背景

north-korea-internet-activity-1.jpg

韓国のメディアは、北朝鮮には 400万台 ものモバイルデバイスが存在する可能性があると評価しています。 そのため、北朝鮮ではモバイルデバイスが 普及 している一方で、北朝鮮人の大多数はインターネットにアクセスできません。 一般の北朝鮮人に販売されたモバイルデバイス(下の北朝鮮製デバイスの 画像 を参照)は、音声、テキストメッセージ、画像/ビデオメッセージングなどの最小限の3Gサービスに対応しており、北朝鮮の国内プロバイダーネットワークであるKoryolinkでのみ動作するように制限されています。

大学生、科学者、一部の政府関係者など、ごく少数のユーザーは、大学やインターネットカフェの共用コンピューターを介して、北朝鮮の国内国営イントラネットへのアクセスを許可されています。 Slate 氏は、国内イントラネットを 次のように説明している。

光明(クァンミョン)と呼ばれるこのネットワークは、現在、図書館、大学、政府機関をつないでおり、徐々に裕福な市民の家庭にも浸透しつつある。 国内の多数のWebサイト、オンライン学習システム、および電子メールが格納されています。 サイト自体は、全国的なニュースサービス、大学、政府のITサービスセンター、その他いくつかの公式組織に属しています。 また、韓国料理のレシピが載っている料理サイトもあるようです。

north-korea-internet-activity-2.jpg

金日成大学のコンピューターラボ。 出典: ソフィー・シュミット

国のイントラネットの使用を許可された選ばれた少数の人々の中には、世界中のインターネットに直接アクセスすることを許可された、最も上級の指導者と支配エリートのさらにスリムなグループがあります。 北朝鮮のインターネット利用者の数は信頼できるものではないが、記者たちは「ごく少数」から「北朝鮮指導部の内輪」、「数十家族」までと推定している。 正確な人数に関係なく、北朝鮮のインターネットユーザーのプロフィールは明確です。支配階級の信頼できるメンバーまたは家族のメンバー。

北朝鮮のエリートがインターネットにアクセスする方法は、主に3つある。

最初は、割り当てられた.kpを介して行われます 範囲、 175.45.176.0 / 22、これはまた、国内で唯一のインターネットアクセス可能なWebサイトをホストしています。 これには、9 つのトップレベル ドメイン (co.kp、gov.kp、edu.kp など) と、北朝鮮のさまざまな国営 メディア、>旅行、 教育関連サイトの約 25 のサブドメインが含まれます。

north-korea-internet-activity-3.png

2 番目の方法は、China Netcom によって割り当てられた範囲 210.52.109.0/24 を使用する方法です。 ネットネームの「KPTC」は、国営通信会社 であるKorea Posts and Telecommunications, Co.の略称です。

north-korea-internet-activity-4.png

3つ目の方法は、ロシアの衛星会社が提供する割り当てられた範囲 77.94.35.0/24を経由する方法で、現在レバノンのSatGateに解決されています。

north-korea-internet-activity-5.png

編集者注

一つは、ここから「北朝鮮のインターネット活動」や「行動」と言及するとき、アクセスを許可された選ばれた少数の指導者や支配層エリートによるインターネット(北朝鮮国内のイントラネット「光明」ではない)の使用を指しているということだ。 このデータは、北朝鮮にある光明や外交機関、外国の施設へのアクセスを許可された特権的な北朝鮮人のより大きなグループによるイントラネットの活動や行動についての洞察を提供するものではありません。

2つ目は、2017年4月1日から7月6日までのこの日付範囲を選んだのは、ミサイルの発射とテスト活動が最も多かった期間の1つであり、また、データの深さと忠実度が最も高い期間であったためです。 2017 年 1 月 1 日までさかのぼるデータがありますが、そのデータセット (1 月 1 日から 3 月 31 日) は堅牢性がはるかに低くなっています。

解析

2017年4月1日の早朝、欧米の多くの人々が起きてメールやソーシャルメディアをチェックしていたとき、北朝鮮のエリートの小さなグループがほぼ同じ方法で一日を始めた。 新華社や人民日報でニュースをチェックした人もいれば、163.com メールアカウントにログインした人もいれば、Youkuで中国語のビデオをストリーミングしたり、BaiduやAmazonを検索したりした人もいた。

Recorded Futureによるこの期間限定のデータセットの分析は、この孤立した国と支配体制についての新たな洞察を与えてくれました。 私たちの分析は、インターネットにアクセスできる限られた数の北朝鮮の指導者と支配層エリートが、北朝鮮以外の多くの人々が以前に考えていたよりもはるかに活発で、世界、大衆文化、国際ニュース、そして現代的なサービスや技術に関与していることを示しています。 北朝鮮の指導者たちは、世界や彼らの行動の結果から切り離されているわけではありません。

このデータソースは絶対的なものではありませんが、2017年4月から7月にかけての北朝鮮のインターネット利用と活動の詳細な全体像を提供し、その結果、多くのユニークな新しい洞察に到達することができます。

このデータは、北朝鮮の指導部と支配層エリートが現代のインターネット社会につながっており、ミサイル実験、自国民の抑圧、犯罪活動などに関する彼らの決定が国際社会に与える影響を認識している可能性が高いことを明らかにしている。 これらの決定は、多くの人が信じているように、孤立して行われるわけでも、情報不足でもありません。

使用パターンミラーウエスタンユーザー

北朝鮮のエリートや指導部のインターネット活動は、インターネットにアクセスできる人の数が極端に限られているにもかかわらず、多くの点でほとんどの西洋人とそれほど変わらない。それに到達するためのコンピューターとIPスペースの両方の比較的少ない数。言語的、文化的、社会的、法的な障壁。そして、世界の他の地域に対する純粋な敵意。

例えば、 先進国のユーザーと同様に、北朝鮮の人々は、ソーシャルメディアのアカウントをチェックしたり、ウェブを検索したり、アマゾンやアリババを閲覧したりして、多くの時間をオンラインで過ごしています。

Facebookは、2016年4月に北朝鮮の検閲によってTwitter、YouTube、その他多くのサイトがブロックされたと 報告 されているにもかかわらず、北朝鮮の人々にとって最も広く使用されているソーシャルネットワーキングサイトです。

north-korea-internet-activity-6.png 2017年4月1日から7月6日までの8つのソーシャルネットワーキングサイト、ショッピングサイト、検索サイトでの1時間ごとのアクティビティ(実際)。 プロバイダーは、Facebook(最高)からApple(最低)まで、人気順にリストされています。

さらに、北朝鮮の人々は、この期間の日常的な使用についても明確なパターンを持っています。 平日は、午前 9:00 から 8:00 または 9:00 までが最も活動量の多い時間帯で、月曜日と火曜日が一貫して最も活動量の多い日です。

north-korea-internet-activity-7.png 時間ごとの毎日のインターネット使用量(平均ではありません)。

ミサイル活動の早期警戒ではない

多くの研究者や学者は、北朝鮮のサイバー活動とミサイルの発射や実験との間には関連性があるのではないかという仮説を立てています。 特に、北朝鮮のサイバー活動やインターネット活動に基づくミサイル実験を予測または予測できる可能性があるということです。 このデータセットを使用して、この限られた期間において、北朝鮮の悪意のあるサイバー活動のレベルを調べることはできませんでしたが、北朝鮮のインターネット活動全体とミサイルの実験や発射との間に相関関係は見られません。

インドの北朝鮮大使館

2017 年 4 月 1 日から 7 月 6 日までの毎日の実際のインターネット アクティビティ。 赤いバーは、北朝鮮のミサイル実験または発射の日付です。

この現在のデータセットは、ミサイル実験の警告装置としてのインターネット活動の有用性について、長期的な結論を適用するには短すぎる。 しかし、我々の分析は、北朝鮮の活動とミサイル実験との間に相関関係があるとすれば、それは指導部や支配層エリートのインターネット行動によって電報で伝えられていないことを示唆している。

海外でのプレゼンス

2017年4月から7月にかけて北朝鮮本土からの悪意のあるサイバー活動がほとんどなかったことは、ほとんどの場合、北朝鮮がサイバー作戦を実施するために領土資源を使用しておらず、国家が支援する活動のほとんどが海外から行われていることを示している可能性があります。 これは、金正恩政権に非対称的な圧力をかけ、現在の北朝鮮のサイバー作戦の自由と柔軟性を制限し、彼らが罰せられることなく活動できる度合いを低下させるために悪用される可能性のある重大な作戦上の弱点です。

このデータと分析は、世界のいくつかの国、つまり北朝鮮人が悪意のあるサイバー活動や犯罪活動に関与している可能性が高い国( パート1で実証)に、北朝鮮が物理的および仮想的に大量に存在することを示しています。 これらの国には、インド、マレーシア、ニュージーランド、ネパール、ケニア、モザンビーク、インドネシアが含まれます。

私たちの分析に基づいて、次のことを決定することができました。

  • 北朝鮮がインドに物理的および仮想的に広範な存在感を持っていることは明らかです。 インド外務省が「友情、協力、理解」の関係と特徴付けたこのデータを分析した結果、インドと北朝鮮の外交・貿易関係がますます緊密になっているという報告を裏付けています。
  • 活動パターンは、北朝鮮が全国の少なくとも7つの大学に学生を持ち、いくつかの研究機関や政府部門と協力している可能性があることを示唆している。
  • この期間に観察されたすべての活動のほぼ5分の1がインドに関与していました。

north-korea-internet-activity-9.jpg

在インド北朝鮮大使館。 (出典)

北朝鮮は、ニュージーランド、マレーシア、ネパール、ケニア、モザンビーク、インドネシアでも大規模かつ積極的に活動しています。 私たちの情報源は、これらの国々との間の活動が平均以上であるだけでなく、多くの地元の情報源、報道機関、政府に対しても、他の国々での北朝鮮の活動の特徴ではなかったことを明らかにした。

北朝鮮は、瀋陽のホテルを中国と 共同所有 し、そこから北朝鮮が悪意のあるサイバー活動を行うなど、中国でサイバー作戦を行うための物理的な存在を持っていることが広く 報告 されています。この期間中に観察されたすべての活動の約10%は中国が関与しており、中国の通信会社が提供するインターネットアクセスポイントは含まれていません。

私たちの分析では、中国の活動プロファイルが上記の7カ国と異なっていたことが主な原因で、北朝鮮の指導者のユーザーが淘宝網、阿利雲、友空などの中国のサービスを非常に多く利用していたため、データが歪んでいたことがわかりました。 中国のインターネットサービスの利用を考慮した後、もちろん、これは中国での物理的または仮想的な存在を意味するものではなく、中国のローカルリソース、報道機関、および政府部門への活動パターンは、以前に特定された7つの国を反映しています。

この中国の例では、私たちが発見した明確な活動パターンと、すでに知られているサイバー作戦の施設を組み合わせることで、他の7カ国に適用できるモデルが提供されています。

北朝鮮が世界のいくつかの国で物理的および仮想的に大きな存在感を示しているという事実と、パート1の以前の調査と合わせると、北朝鮮は第三国からサイバー作戦を行っている可能性が高いと思われます。 したがって、これらの国からの悪意のあるサイバー活動が、領土内の北朝鮮からの活動とは対照的に、ミサイルの発射や実験と相関しているかどうかを調査する別の方法となるでしょう。

セキュリティの不備が新たなインテリジェンスにつながる

この期間中の北朝鮮のインターネット活動のうち、難読化または何らかの方法で保護されていたのは1%未満でした。 この基準を満たした活動の中で、取引技術は、 TLS/SSLの不適切な実装から、複数の仮想プライベートネットワーク(VPN)と仮想プライベートサーバー(VPS)のほぼ追跡不可能なチェーンを利用して大量のデータを転送することまで、大きく異なっていました。

誤った実装の例として、ある北朝鮮のユーザーは、 Tor(The Onion Router) を使用してアクティビティを難読化しましたが、その後、トレントファイル共有を使用し始め、3か月以上にわたって毎日同じノードからTorネットワークから退出しました。

難読化技術を採用したユーザーのうち、VPNやVPSのサービスやプロバイダーが幅広く利用されていました。 北朝鮮の人々が消費するVPNとVPSのほとんどすべては、月額サブスクリプションであり、おそらく個人または政府の部門によって管理されています。

これらのサービスがどのように購入されるかは明らかではなく、プロバイダーの多くは大規模で有名な西洋企業です。 これらには、Sharktech、iWeb、Digital Ocean、Linode、Leaseweb USA、Telemax、Touch VPNなどが含まれます。

多くのVPNとVPSは、受動的なインターネット監視または国内の検閲から、ブラウジングを難読化または促進するために使用されました。

1つの米国のVPNは、Gmailアカウントの確認、Google Cloudへのアクセス、FacebookおよびMSNアカウントのチェック、アダルトコンテンツの閲覧にiPadで使用されました。 他のVPNとVPSは、Metasploitの実行、ビットコインを使用した購入、Twitterのチェック、ビデオゲームのプレイ、ビデオのストリーミング、Dropboxへのドキュメントの投稿、Amazonの閲覧に使用されました。

この一般的に不十分な難読化の結果として、このデータは、北朝鮮のリーダーシップとエリートの利益について、これまでにない洞察を私たちに与えてくれました。 たとえば、多くのユーザーはVoIPサービスを利用して、海外の他の人と話したりメッセージを送ったりしていました。他の人はまだAOLアカウントを持っていて、定期的にチェックしていました。一部のユーザーは美容と健康のサイトを頻繁に訪れました。他の人はオンラインで高価なスニーカーを買いました。多くのユーザーが産業用ハードウェアとテクノロジーの最適化サービスを調査しました。また、iPhone、iPad、Blackberryを使用して通信する人もいました。

他のユーザーは、Kaspersky、McAfee、Qihoo360、Symantecなどのサイバーセキュリティ企業とその研究に毎日時間を費やしました。 DDoS 防止企業や 、DoSarrestSharktechなどのテクノロジー。 あるユーザーはTHURAYAと衛星通信機器の使用に関するトレーニングを受け、他のユーザーはマレーシア、米国、カナダのいくつかの大学で物理学と工学部を研究しました。

ゲームとコンテンツストリーミングは、北朝鮮の全インターネット活動の65%を占めています。 大まかに言えば、ユーザーは主に中国のビデオホスティングサービス Youku、iTunes、およびさまざまなBitTorrentおよびピアツーピアストリーミングサービスからコンテンツを消費します。 ゲームについては、北朝鮮のユーザーは Valve がホストするゲームや 、World of Tanksと呼ばれる多人数同時参加型オンラインゲームを好むようです。

疑わしいアクティビティ

この期間中の北朝鮮からの活動の大部分は悪意を持っていませんでしたが、非常に疑わしい活動は少数ではありますが、かなりの量でした。 1つの例は、5月17日に北朝鮮のユーザーによるビットコインマイニングの開始でした。

ビットコイン wikiによると、 ビットコインマイニング は「過去の取引(または ブロックチェーン)の公開台帳に取引記録を追加するプロセス」ビットコイン。 ビットコインマイニングは、計算が複雑なタスクであり、マシンの最大90%の電力を必要とする可能性があるため、困難です。

このエネルギーをすべて使用し、取引記録をブロックチェーンに追加する利点は、各マイナーに取引を送信するユーザーが支払った手数料だけでなく、新しいブロックを発見すると25ビットコインが授与されることです。

その日まで、ビットコイン関連のサイトやノード、またはビットコイン固有のポートやプロトコルを利用する活動は事実上ありませんでした。 5月17日から、その活動は指数関数的に増加し、1日あたりゼロから数百に増加しました。 このマイニングは、NSAが北朝鮮の諜報機関である偵察総局(RGB)が金正恩政権の資金を調達する試みであると している 5月の WannaCry ランサムウェア攻撃の直後に始まったため、このマイニングのタイミングは重要です。

この時点で(5月17日)、政府内の関係者は、3つのWannaCry身代金アカウントからビットコインを移動するのは追跡が容易で、攻撃の否認を維持したいのであれば賢明ではないことに気付いていたでしょう。

北朝鮮のビットコインマイニング事業を誰が運営しているのかは明らかではありません。しかし、北朝鮮のコンピュータの数が比較的少なく、IPスペースが限られていることを考えると、この計算集約的な活動が国家の制御外で行われている可能性は低いです。

さらに、この期間中、一部の北朝鮮のユーザーは、多くの外国の研究所や研究センターで研究、またはおそらくネットワーク偵察を行っていたようです。

特に、 インド宇宙研究機関国立リモートセンシングセンターインド国立冶金研究所フィリピン科学技術省先端科学技術研究所 を標的とした活動が疑惑の声を上げましたが、悪意ある行為は確認できませんでした。

インパクト

北朝鮮に対する国際的な政策と関与戦略は、同じ一連のツール(制裁、国際的な孤立化)に依存し、同じ国(中国、ロシア、国連安全保障理事会常任理事国5カ国)をパートナーとして関与してきたため、何十年にもわたって影響力を持つのに苦労してきました。 この 2 部構成のシリーズは、体制には他の圧力ポイントがあり、その結果、調査すべき他のツール、手法、パートナーが存在する可能性が高いことを示しています。

Team Cymruの諜報活動とRecorded Futureの分析により、2つの別々の現実が明らかになりました。

第一に、制裁や大規模な国際的圧力にもかかわらず、北朝鮮の指導者たちは外部から孤立しているわけではない。 彼らは、現代のインターネット社会と経済に積極的かつ熱心に参加しています。つまり、北朝鮮の指導部を世界経済から締め出そうとする試みは、ほとんど失敗に終わっている。

第二に、現在の金正恩政権に永続的な悪影響をもたらすためには、平壌や領土的な北朝鮮に焦点を当てない新しいツールが必要である。 私たちは、西側が提携できる他の国や、北朝鮮に非対称的な圧力をかけるために利用できる代替のツールや技術を特定しました。 インド、マレーシア、インドネシア、あるいは上記で特定された他の国々と提携することで、米国や他の西側諸国は、中国やロシアの非協力的なパートナーを回避し、北朝鮮の広範な作戦上のディアスポラに圧力をかけることができるだろう。

サイバーセキュリティの専門家やネットワーク防御者にとって、この2部構成のシリーズでは、北朝鮮の悪意のあるサイバー活動から身を守ることがいかに複雑であるかを明らかにしています。 我々は、金融サービス企業及び米韓軍のTHAAD配備及びペニンシュラ作戦を支援する者に対し、朝鮮半島におけるネットワーク及び作戦に対する脅威環境の高まりについて、最大限の警戒と認識を維持することを引き続き推奨する。

同様に、エネルギー企業やメディア企業、特に韓国のこれらのセクターに所在する、または支援している企業は、DDoS、破壊的なマルウェア、ランサムウェア攻撃など、北朝鮮からの幅広いサイバー活動に注意する必要があります。 大まかに言えば、すべてのセクターの組織は、ランサムウェアの適応性を常に認識し、脅威の進化に応じてサイバーセキュリティ戦略を変更する必要があります。

関連