北朝鮮の支配層エリートは、インターネット上の行動を外国の監視に適応させる

北朝鮮のインターネット活動の詳細な分析により、欧米のソーシャルメディアが放棄され、運用上のセキュリティ慣行が劇的に増加していることが明らかになりました。

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

スコープノート:Insikt Groupは、サードパーティのデータ、IPジオロケーション、Border Gateway Protocol(BGP)ルーティングテーブル、およびオープンソースインテリジェンス(OSINT)を多数のツールを使用して分析することにより、北朝鮮の最高幹部のインターネット活動を調査しました。 これは 、2017年7月の分析のフォローアップであり、このレポートで分析されたデータは2017年12月1日から2018年3月15日までのものです。

Executive Summary

2017年7月、Recorded Futureは、北朝鮮の最も信頼されている指導者、つまり北朝鮮の「0.1パーセント」のインターネット閲覧行動に関する研究を発表した。その調査を行う中で、北朝鮮の支配層エリートは現代のインターネット社会に溶け込んでおり、技術に精通しており、インターネットの使用パターンは欧米のユーザーと非常によく似ていることがわかりました。

12月、私たちは分析を再検討することを決定し、北朝鮮の支配層エリートがインターネットをどのように利用するかに実質的な変化があることを発見しました。 特に、北朝鮮の指導部は、私たちが最初に分析してから6カ月で、欧米のソーシャルメディアをほぼ完全に放棄し、運用上のセキュリティ手順を大幅に強化した。

この行動の劇的な変化は、1)北朝鮮のメディア消費 に関する外国の調査 と 注目 の増加、2) 2016年4 月から実施されているこれらの西洋のソーシャルメディアサービス に対する公式の禁止 の新たな施行、または3)北朝鮮のエリートによる運用上のセキュリティの強化のいずれか、または組み合わせの結果である可能性が高い。

背景

7月に詳述したように、北朝鮮の最高指導者の中には、世界のインターネットへの直接アクセスを許されている少数の人々がいます。北朝鮮のインターネット利用者の数は信頼できるものではないが、記者たちは「ごく少数」から「北朝鮮指導部の内輪」、「数十家族」までと推定している。 正確な人数に関係なく、北朝鮮のインターネットユーザーのプロフィールは明確で、信頼できるメンバーや支配階級の家族の一員です。

北朝鮮のエリートが世界のインターネットにアクセスする方法は、主に3つある。 インターネットに接続されたネットワークと同様に、これらの範囲から 悪意のあるアクティビティ が報告されることがあります。 しかし、北朝鮮の悪意のあるサイバー作戦の大部分は、海外から行われている可能性が高いです(これについては、以下の「海外での存在」セクションで詳しく説明します)。

The first method is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only internet-accessible websites. These include nine top-level domains such as co.kp, gov.kp, and edu.kp, and approximately 25 subdomains for various North Korean state-run media, travel, and education-related sites.

Timeline of events involving 175.45.176.0/22 range from July 2017 through April 2018.

The second method is via a range assigned by China Netcom, 210.52.109.0/24. The netname “KPTC” is the abbreviation for Korea Posts and Telecommunications Co., the state-run telecommunications company.

Timeline of events involving 210.52.109.0/24 range from July 2017 through April 2018.

The third method is through an assigned range, 77.94.35.0/24, provided by a Russian satellite company, which currently resolves to SatGate in Lebanon.

Timeline of events involving 77.94.35.0/24 range from July 2017 through April 2018.

解析

世界のインターネットの国際的なユーザーと同様に、北朝鮮のエリートインターネット活動は、主にインターネットビデオ、オンラインゲーム、およびウェブブラウジングで構成されています。 シスコの分析によると、2017 年の世界のインターネット トラフィックの 77% は、インターネット ビデオとオンライン ゲームで構成されていました。北朝鮮のユーザーの場合、活動の70%はインターネットビデオまたはオンラインゲームで構成されていました。17%は、Webブラウジング、電子メールのチェック、およびデータのダウンロードで構成されていました。また、13%は仮想プライベートネットワーク(VPN)内または難読化されていました。

ソーシャルメディア消費の変化

北朝鮮の指導部は、12月から3月にかけて、ソーシャルメディア、ショッピング、検索サイトに昨年の夏とほぼ同じ時間を費やした。 しかし、利用するサービスは大きく変わりました。

2017年12月1日から2018年3月15日までの8つのソーシャルネットワーキングサイト、ショッピングサイト、検索サイトでの1時間ごとのアクティビティ(実際)。 プロバイダーは、アリババ(最高)からInstagram(最低)まで、人気順にリストされています。

7月、私たちのデータは、北朝鮮の指導者が欧米のソーシャルメディア、特にフェイスブック、グーグル、インスタグラムを大量に消費していることを示しました。 実際、Facebookは圧倒的に人気のあるサービスであり、中国語のどのサービスよりも毎日実際に利用されています。

2017年12月から2018年3月までのデータセットのソーシャルメディア活動で最も印象的なのは、FacebookとInstagramの活動がほとんどなく、中国のサービスの利用が大幅に増加していることです。 FacebookとInstagramのアクティビティは非常に少ないため、上のグラフには表示されません。

わずか6カ月で、北朝鮮のエリートたちは、欧米のソーシャルメディアやサービスから、ほぼ完全にアリババ、テンセント、バイドゥへと移行した。 トップ8に残った欧米のサービスは、ソーシャルネットワーキングではなく、主にコンテンツストリーミングに利用されていました。

この行動の変化は、北朝鮮の人々のメディア消費 に対する外国の調査 と 注目 の高まり、 2016年4月から 実施されているこれらの西洋のソーシャルメディアサービス に対する公式の禁止 の新たな施行、または北朝鮮のエリートによる運用上のセキュリティの強化の結果である可能性があります。

生活パターン

北朝鮮の指導者たちは、この期間の日常的な使用パターンが、2017年の夏と似ている。 一般的に、最も活動的な時間帯は午前 9:00 から午後 8:00 または午後 9:00 までで、土曜日と日曜日は一貫して活動が最も多い日です。 土曜の深夜と日曜の早朝の活動のピークは、主にコンテンツストリーミングやオンラインゲームで構成されており、北朝鮮のエリートが週末に余暇を過ごすことが許されていることを示唆している。

時間ごとの毎日のインターネット使用量(平均ではありません)。

営利企業としてのゲーム

2012年頃から記者、学者、研究者が行った一連の脱北者インタビューは、北朝鮮のサイバー作戦の目標と人員配置を外部に垣間見せている。 脱北者たちは 、主に 海外の 施設に住むオペレーターとプログラマー で構成される 北朝鮮の作戦装置のイメージを構築し、金正恩政権に収益をもたらすという包括的な目標を課せられている。

サイバー作戦を行うために北朝鮮人を海外に送り込むという この運用モデルは 、これらのハッカーが政権のためにお金を稼ぐ手段と、私たちが分析した北朝鮮のエリートウェブトラフィックを比較するときに特に重要になります。 脱北者たちは、ビデオやオンラインゲーム、ユーザーの偽造や詐欺が、金正恩政権の収益創出にどれほど重要になっているかを詳述している。 中国の家で何十人もの北朝鮮のハッカーと一緒に働いていたある脱北者は、これらの男たちは年間約10万ドルを稼ぐ必要があり、その80%が金正恩政権に送り返されていると報告した。この要件を満たすために、男たちは偽造ビデオゲームを作成しました。武器、ポイント、ギアなどのデジタルアイテムを盗んだボット。それらを転売して利益を得ました。ゲームソフトウェアの新しい脆弱性を発見して販売しました。

以下のリストは、2017年7月以降、北朝鮮のエリートがオンラインゲームをより広く利用していることを示しており、海外の北朝鮮のハッカーが政権の収益を得るためにどのゲームを利用しているかについて、研究者に手がかりを与えることができるかもしれません。 この種の収益創出のうち、どれだけが領土内の北朝鮮から行われているかは明らかではない。 しかし、海外のオペレーターが、すでに慣れ親しんだプラットフォームやサービスのためにボットやゲームハックを開発することが多いことは明らかです。

• 0AD:エンパイアアセンダント
• スペードのエース
• 震える
• マラソン三部作のゲーム
• 武装攻撃 1-3
• ウォークラフトの世界
• キューブ2:ザウアーブラーテン
• ディアブロ2
• リーグ・オブ・レジェンド
• セカンドライフ
• Steamのアカウントとゲーム

北朝鮮のエリートは、任天堂やプレイステーション、SteamやBlizzardなどのゲームストレージやアカウントプロバイダーなど、多くのゲーム機やシステムも利用しています。

海外でのプレゼンス

7月の調査では、世界中の国々における北朝鮮の物理的および仮想的な重要な存在を特定するためのヒューリスティックを開発しました。そのヒューリスティックには、これらの国との間の北朝鮮のインターネット活動の平均以上のレベルだけでなく、ニュースアウトレット、地区または市政府、地元の教育機関など、多くの地元のリソースの閲覧と使用も含まれていました。

この手法により、インド、マレーシア、ニュージーランド、ネパール、ケニア、モザンビーク、インドネシア、中国など、北朝鮮人が物理的に居住または居住している8つの国を特定することができました。 この12月から3月までのデータセットでは、これら8カ国のデータを再調査し、分析の結論の忠実度を高めるために、パターンに適合しなかった国の例を含めました。

2015年の北朝鮮の主な輸出先(データ提供:MIT Observatory of Economic Complexity)中国、インド、インドネシア、タイ、バングラデシュ、ネパール(「その他のアジア」の一部として)、モザンビークは、この上位輸出先のリストに含まれています。

昨年夏に特定された8人のうち、マレーシアとニュージーランドだけが行動ヒューリスティックに適合しなくなりましたが、その方法はわずかに異なります。

ニュージーランドでは、トラフィック量は比較的安定していましたが、その活動はもはやヒューリスティックな後半(ローカルリソースなど)を示すものではなく、主に北朝鮮のビットトレント、ビデオストリーミング、ゲームサービスのハブであるように見えました。 1月上旬の3日間にわたり、 ニュージーランド国防軍のIP が北朝鮮のネットワークとの接続を繰り返し試みました。 この活動は反復的で騒々しいものでしたが、北朝鮮のインターネットサービスの混乱を引き起こすほどのレベルには達していませんでした。

ニュージーランドは、2017年8月に 北朝鮮の学者へのビザ発給を拒否 し、国連と米国の制裁 体制を支持する行動 をとることで、北朝鮮の作戦活動の一部に対抗した可能性がある。

マレーシアでは、トラフィック量が大幅に減少しましたが、マレーシアには明らかに北朝鮮人がいます。 例えば、クアラルンプールから北朝鮮の公式メールアカウントが繰り返しチェックされているのを見かけますが、北朝鮮の局地的な活動の幅は昨年の夏よりもはるかに狭くなっています。

マレーシアと北朝鮮の関係は、昨年の夏以降、 そして金正男(キム・ジョンナム)暗殺をきっかけに大幅に悪化した。 マレーシアは、平壌の大使を召還し、北朝鮮の外国人労働者、企業、航空便 に制限を課 し、 渡航禁止を課し、北朝鮮にクアラルンプールでの任務の規模を縮小するよう要求する可能性がある。

残りの6カ国(インド、ネパール、ケニア、モザンビーク、インドネシア、中国)に加えて、タイとバングラデシュという2つの国が関与するインターネット活動が行動の特徴として浮上しました。 我々は、これら8カ国が故意にせよ無意識のうちに北朝鮮を受け入れていると評価している。 これらの北朝鮮人は、北朝鮮の核兵器やサイバー作戦プログラムを進めることを目的として、国際的な制裁を回避したり、高度な教育を受けたりするために、違法な収益創出活動を行っている可能性が高い。

北朝鮮がサイバー作戦を遂行する戦略的動機に関する調査の 第1部 では、金正恩政権が北朝鮮のミサイルおよび核開発計画の資金を得るために行っている広範な海外犯罪作戦のいくつかを詳述した。

北朝鮮の違法な収益創出ネットワークは、研究者、記者、学者によって広く研究されてきました。これらの研究を始めとする多数の研究は、北朝鮮が海外の公館、国営レストランチェーン、海外在住の国民を利用して、違法な収益の創出や核・サイバー作戦の訓練を行っている様子を詳述しています。

タイとバングラデシュは、 北朝鮮の国営レストランや 犯罪活動に関連する外交機関を受け入れ、北朝鮮の投資を許可している。 私たちが開発し適用したデジタル署名は、この2つの国をこのリストに含めることに対する自信を高めるためのもう1つのデータポイントにすぎません。

暗号通貨の活動

北朝鮮が少なくとも2017年5月からビットコインをマイニングしていたという 最初の報告 以来、北朝鮮の暗号通貨への関心と利用は爆発的に増加しています。 2017年、北朝鮮は韓国の暗号通貨取引所から 多数の窃盗を行い 、5月のWannaCry攻撃に関連しているとされ、 Moneroのマイニングを開始しました。

この新しいデータセットでは、北朝鮮のエリートによる暗号通貨への関心の高まりと、ビットコインマイニングの継続が見られます。 私たちのデータでは、北朝鮮のビットコイン活動の全容を把握することはできませんが、5月に観測されたマイニング活動の継続が1月24日からこのデータセットの終了である3月15日まで見られました。 トラフィック量やピアとの通信速度は昨年の夏と変わりませんでしたが、それでもハッシュレートやビルド数を判断できませんでした。 この採掘作業は小規模で、昨年の夏の活動と同様に、数台のマシンに限定されているように見えます。

また、ローカルまたはリモートで制御したり、他のソフトウェアや大規模な決済システムと統合したりできる Bitcoind インターフェースを利用しているユーザーは、別のユーザーである可能性が高いことも確認されました。 これは、北朝鮮のユーザーがビットコイン取引を行っていることを示す強力な指標ですが、何が購入されたのか、関連するウォレット、またはユーザーがどれだけのコインを所持していたのかを確認することはできません。

上記のビットコイン活動に加えて、1月29日から、北朝鮮のネットワークからのMoneroマイニングが観測されました。 この活動は、3月15日のデータセットの終了まで続きました。 Moneroマイニングは、特定のターゲット値に一致する ハッシュを発見する 必要がある同じ「プルーフオブワーク」方法を利用するという点でビットコインマイニングに似ています。

モネロは、モネロが 真に匿名であるという点でビットコインと区別されます。 すべての取引はブロックチェーン内で暗号化されるため、取引の送信者または受信者のみが相手を発見できます。 Moneroは、 低容量のマシンで採掘 するように設計されており、マイニングポートが容量ごとに拡張される傾向があるという点でも異なります。 たとえば、多くのマイナーは、ローエンドのマシンには ポート3333 を使用し、ハイエンドで大容量のマシンには ポート7777 を使用します。 このケースでは、ポート7777でマイニングが観測されており、これは、より大容量のマシンがマイニングを行っており、ハッシュレートも高いことを示唆しています。 私たちが観察したポート番号とアクティビティは、ハッシュレートを決定するには不十分でした - 私たちが評価できたのは、マイニングが発生していたということだけでした。

難読化されたアクティビティ

この期間、リーダーシップのインターネット活動のはるかに高い割合(約13%)が何らかの方法で難読化されていましたが、昨年の夏の活動は1%未満でした。 2017年4月から7月にかけて、北朝鮮の全インターネット活動のうち、難読化されたのは1%未満だった。 約6カ月の間に、北朝鮮の指導部は、ウェブコンテンツの閲覧、検索、取得の方法を大幅に変えた。

北朝鮮の指導者による難読化サービスの利用率(全体に対する割合)。

Point-to-Point トンネリング プロトコル (PPTP) は、最も広く利用されている難読化サービスであり、次いで HTTPS (ポート 443 経由)、またはセキュリティで保護されたブラウジング、 IPSec VPN が続きました。

2017年4月から7月にかけて、北朝鮮の指導部が難読化したのは、 TLS対応 のブラウジング、 VPN や VPSの使用、その他のトンネリングプロトコル、 さらにはTorの使用など、インターネット活動全体の1%未満でした。 12月までに、北朝鮮のユーザーはブラウジング行動を根本的に変え、難読化サービスの利用を12倍に増やしました。

北朝鮮のインターネット活動の70%がインターネットビデオやオンラインゲームで構成されていることを考えると、残りのウェブトラフィックのかなりの部分が13%を占めており、リーダーシップ活動にさらに焦点を絞っています。

ネットワーク解析

On October 1, 2017, researchers observed that a Russian telecommunications company, Trans TeleCom (AS 20485), began appearing in the internet routing databases for North Korea’s primary IP range, 175.45.176.0/22. Prior to October 2017, North Korea’s principle connection to the global internet had been provided by Chinese telecommunications company, China Unicom (AS4837).

At varying times on October 1, three of the four subnets of 175.45.176.0/22 (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24, and 175.45.179.0/24) were routed by Trans Telecom until the connection stabilized and then only the 175.45.178.0/24 subnet remained transiting over the Trans Telecom infrastructure, with the other three utilizing China Unicom.

From December 2017 through March 15, 2018, only the 175.45.178.0/24 subnet was ever routed through Trans Telecom, while the other three remained transiting China Unicom infrastructure. Although the Trans Telecom route has given North Korea an alternate internet access point, it seems to only be utilized for about one third of North Korea’s overall internet activity.

Usage of each subnet within the primary range of 175.45.176.0/24 by percentage of total traffic.

176サブネットは、北朝鮮の一般公開されているWebサイトの大部分をホストしているため、最も多くのアクティビティを生成します。 さらに、このサブネットは、Webサイトをホストし、送信トラフィックをルーティングする多数の共有サーバーと、プロキシとロードバランサーで構成されています。 たとえば、私たちの分析では、北朝鮮は F5 BIG-IP ロードバランサ ーを利用して、このサブネット内の少なくとも8つのIPアドレスを介して送信トラフィックを分散していることが示されています。 ロードバランサーは、送受信されるインターネットトラフィックを管理し、特定の範囲のサーバーに分散して、同時ユーザーの容量とネットワークの信頼性を向上させます。

北朝鮮がホストするウェブサイトにアクセスしようとした多くの人にとって、サイトの読み込みが遅く、コンテンツが表示されるまでに数回の試行が必要になることが多いため、これは驚くべきことのように聞こえるかもしれません。 私たちの分析によると、この負荷分散は主に共有サーバーで利用されており、冗長システムの欠如と、ビデオストリーミングやオンラインゲームの量による限られた帯域幅へのストレスの両方によって、そのパフォーマンスが低下している可能性があります。

これは、これらのIPアドレスの背後には、より多くの物理コンピュータが存在する可能性が高いことを意味しますが、正確にはいくつあるかは不明です。 北朝鮮のIP範囲との間で観測されたインターネット活動の量は、特に全国的なネットワークの場合、非常に少ないです。 グローバル インターネットにアクセスできるのは人口のごく一部であるため、これらのサブネットの背後にあるコンピューターの数は、同等の人口 (約 2,500 万人) を持つ国よりも中規模企業と同等に近い可能性があります。

For the 210.52.109.0/24 range, routing tables confirm that the access point is managed by China Netcom, under AS9929. Routing data also notes that at least half of the time, data from this range is also routed via an Autonomous System Number (AS or ASN) assigned to Sprint, AS1239. It is not clear if this path actually traverses physical infrastructure in the United States or if it is the result of a joint AS membership.

In October 2017, security researchers at an antivirus company conducted a survey of this 175.45.176.0/22 range and speculated that certain IP addresses are assigned to foreign visitors and used specifically for their internet access. This was based on seeing “web traffic” coming from thirteen IP addresses in the 175.45.178.0/24 subnet.

私たちの分析によると、北朝鮮のIPアドレスからの「ウェブトラフィック」は、外国人による使用を判断するには不十分であり、そうでなければ、この/22の範囲全体が外国人訪問者に割り当てられていると評価される可能性があります。 特定された13のIPアドレスから、インターネットブラウジング、ビデオストリーミング、オンラインゲーム、VPNの使用、およびその他の種類のトラフィックが見られました。 このトラフィックは、観測されたトラフィック全体の 0.5% 未満であり、統計的に重要ではないため、全体的な分析から除外しました。

今後の展望

7月に、私たちは、私たちの研究が、北朝鮮の支配層エリートが実際に現代のインターネット社会とどれほどつながっているか、そして国際的な制裁が北朝鮮を外部から孤立させるのに効果がなかったことを明らかにしたと主張しました。 さらに、我々は、金正恩政権に対する持続的な悪影響に影響を与えるためには、新たなツールと関係が必要であると述べた。

最初の報告から数か月で、北朝鮮のエリートがインターネットを利用する方法だけでなく、制裁や金政権への圧力への国際的な参加の多様性にも実質的な変化が見られました。半年足らずで、北朝鮮の指導部は、匿名性を高めるために、使用するインターネットサービスとオンラインでの行動を根本的に変えました。暗号通貨を制裁回避手段として活用し、世界中の金融機関から資金を盗もうと試みてきました。

北朝鮮のエリートインターネットユーザーは、物理的な制裁が厳しくなり続け、各国の連合が金正恩政権との活動を遮断する中、変化するデジタル環境に適応しています。 しかし、現在の金正恩政権に持続的な悪影響を及ぼすためには、領土的な北朝鮮に焦点を当てない新たなツールが必要であるという7月の評価は依然として有効です。 北朝鮮に関する国連専門家パネルは、サイバーを駆使した軍事機密の窃盗に 引き続き焦点を当て ており、米国の制裁はまだサイバー作戦に対処していない。

北朝鮮がインターネットを幅広く活用していることは、リーダーシップの閲覧から収益創出、戦術的なサイバー作戦まで、このメディアが金正恩政権にとっていかに不可欠であるかを示しています。 このならず者国家の活動と作戦範囲を制限する国際的な取り組みには、北朝鮮のサイバー作戦に対する制裁または懲罰的措置が含まれなければならない。

サイバーセキュリティの専門家やネットワーク防御者にとって、このようなリーダーシップのインターネット行動の変化は、悪意のある北朝鮮のサイバー活動に対する防御がいかに複雑であるかを浮き彫りにしています。 私たちは、金融サービス会社、銀行、暗号通貨取引所、ユーザー、米韓のTHAAD配備を支援する人々、および半島での作戦に対して、ネットワークに対する脅威環境の高まりに対して最大限の警戒と認識を維持することを引き続き推奨します。

同様に、エネルギー企業やメディア企業、特に韓国のこれらのセクターに所在する、またはこれらのセクターを支援する企業は、DDoS、破壊的なマルウェア、ランサムウェア攻撃など、北朝鮮からの幅広いサイバー活動に注意する必要があります。 大まかに言えば、すべてのセクターの組織は、ランサムウェアの適応性を常に認識し、脅威の進化に応じてサイバーセキュリティ戦略を変更する必要があります。