>
Insiktレポート

インターネット利用のパターンの変化は、適応力があり革新的な北朝鮮の支配層エリートを露呈している

投稿: 2018年10月25日
作成者 : Insikt Group

Insikt Group

分析の全文をPDFでダウンロードするには、ここをクリックしてください

_Scope 注:Insikt Groupは、サードパーティのデータ、IPジオロケーション、Border Gateway Protocol(BGP)ルーティングテーブル、およびオープンソースインテリジェンス(OSINT)を多数のツールを使用して分析することにより、北朝鮮の上級管理職のインターネット活動を調査しました。 本レポートで分析されたデータは、2018年3月16日から2018年8月30日までのものです。

このレポートは、テクノロジー、金融、防衛、暗号通貨、物流セクターの政府部門や組織だけでなく、北朝鮮の制裁回避、違法な資金調達、国家支援のcyberespionage._を調査する人々にとっても最も興味深いものとなるでしょう

Executive Summary

この1年半の間に、Recorded Futureは、北朝鮮の最高指導者の行動に関する独自の洞察を明らかにする一連の研究論文を発表してきた。 北朝鮮の支配層エリートは、技術に精通しており、古くて最先端のコンピューター、電話、デバイスをフルに使い制裁回避のツールとしてインターネットを利用し最近では欧米のソーシャル・ネットワーキング・サービスよりも中国のソーシャル・ネットワーキング・サービスを採用するようになったことを、我々は発見した。

このシリーズの最終回となる今回は、インターネットセキュリティ、ソーシャルメディアの使用、暗号通貨のトレンドの持続性を探り、北朝鮮がインターネットを使用して金正恩政権に収益をもたらしている方法についてのより深い洞察を明らかにします。 特に、支配層エリートのインターネット利用のパターンの変化は、北朝鮮の最高指導者がいかに適応力があり、革新的であるかを示している。 金正恩政権は、インターネットの利用と活用のための独自のモデルを開発しており、リーダーシップは、新しいサービスやテクノロジーが役立つときはすぐに受け入れ、そうでないときはそれらを捨てる。

主な判断

  • 生活パターンやコンテンツの変化は、インターネットが北朝鮮の最高指導者にとって、より日常的な専門的なツールになりつつあることを示している。 上級管理職がインターネットに精通し、インターネットの使用を専門化するにつれて、制裁の執行とコンピューターネットワークの防御における既存の課題が悪化します。
  • 北朝鮮の上級指導者は、2017年初頭に比べて、今日の作戦上の安全性が大幅に向上している。 この認識は、大規模なドメインホスティングとインターネットインフラストラクチャプロバイダーの世界的な使用の増加と相まって、時間の経過とともに、北朝鮮の支配層エリートの日常的なインターネット活動に対する私たちの可視性に悪影響を及ぼしています。
  • 行動ヒューリスティックを使用して、純粋な肉体労働者とは対照的に、サービスまたは情報経済で雇用されている北朝鮮の労働者を受け入れている可能性が高いいくつかの国を特定しました。 これらの国には、中国、インド、ネパール、バングラデシュ、モザンビーク、ケニア、タイ、インドネシアが含まれます。
  • 私たちは、シンガポールの北朝鮮のイネーブラーのネットワークが運営するMarine Chainと呼ばれる資産担保型暗号通貨詐欺と、Interstellar、Stellar、またはHOLD(スワップ後に最近HUZUにブランド名を変更)と呼ばれる少なくとも1つの詐欺コインを発見しました。
  • 2018年初頭に観察された欧米のソーシャルメディアやサービスからの離脱は、LinkedInを除いて続いています。 2018年4月以降、北朝鮮の指導者によるLinkedInの使用量は少ないものの、定期的かつ一貫していることが確認されました。 個々のLinkedInユーザーを特定することはできませんでした。

背景

2017年4月以降の私たちの調査が示しているように、北朝鮮の最高指導者の中には、世界のインターネットへの直接アクセスを許されている少数の人々がいます。 北朝鮮のインターネット利用者の数は信頼できるものではないが、記者たちは「ごく少数の人々」から「北朝鮮の指導者の内輪」、「数十家族」までと推定している。 正確な数に関係なく、北朝鮮のインターネットユーザーのプロフィールは明確です:彼らは支配階級の信頼できるメンバーまたは家族の一員です。

北朝鮮のエリートが世界のインターネットにアクセスする方法は、主に3つある。 最初の方法は、割り当てられた.kpを使用することです 範囲、175.45.176.0 / 22、これはまた、国内で唯一のインターネットアクセス可能なWebサイトをホストしています。 これには、co.kp、gov.kp、edu.kp などの 9 つのトップレベル ドメインと、北朝鮮のさまざまな国営メディア、旅行、教育関連サイトの約 25 のサブドメインが含まれます。

2 番目の方法は、China Netcom によって割り当てられた範囲 210.52.109.0/24 を使用する方法です。 ネットネームの「KPTC」は、国営通信会社である Korea Posts and Telecommunications Co.の略称です。 3つ目の方法は、ロシアの衛星会社が提供する割り当てられた範囲77.94.35.0/24を経由する方法で、現在レバノンの SatGate に解決されています。

記録された未来のタイムライン

北朝鮮の知的財産をめぐる出来事のタイムラインは、2018年3月から8月までの範囲です。

さらに、 4月に確認したように、175.45.176.0/22 範囲は、China Unicom(AS4837)とロシアのTransTelekom(AS20485)の両方によってルーティングされます。 この範囲の 4 つのサブネット (175.45.176.0/24、 175.45.177.0/24, 175.45.178.0/24、および 175.45.179.0/24)、 175.45.178.0/24だけを観測し続けました TransTelekomを経由する。他の3つは、チャイナユニコムによって独占的にルーティングされました。

注:これ以降、「北朝鮮のインターネット活動」や「行動」とは、北朝鮮の国内イントラネット(光明)ではなく、一部の指導者や支配層エリートのみがアクセスを許されるグローバルなインターネットの利用を指している。 このデータは、光明へのアクセスを許可された特権的な北朝鮮人、または北朝鮮にある外交機関や外国の施設へのアクセスが許可されているより大きなグループによるイントラネットの活動や行動についての洞察を提供しません。

インターネット利用の一貫性 — 2017年4月以降のパターンシフト

北朝鮮の指導者たちの日常的なインターネット利用の明確なパターンは、2017年4月以降一貫している。 通常、最も活動的な時間は、午前 8:00 から午後 8:00 または午後 9:00 までです。

毎日のインターネット利用

2018 年 3 月から 8 月までの時間単位の毎日のインターネット使用量 (平均ではありません)。

しかし、活動のピークの日は時間とともに変化しています。 2017年は、土曜日と日曜日が一貫して最も活動量の多い日でした。 特に、土曜日の夜と日曜日の早朝は、主にオンラインゲームやコンテンツストリーミングで構成されるピークがありました。 2018年の間に、このパターンは変化し、従来の平日(月曜日から金曜日)のインターネット利用は増加し、週末の利用は減少しました。 土曜日と日曜日は、コンテンツストリーミングとゲームが依然として支配的です。しかし、これは昨年観測されたよりも、毎週のインターネット利用全体に占める割合は小さくなっています。

毎日のインターネット利用

2018 年 3 月から 8 月までの時間単位および日単位 (平均ではない) の 1 日あたりのインターネット使用量。

毎日のインターネット利用

2018年3月以前からの時間別の1日あたりのインターネット使用量(平均ではありません)。

この変化の要因は不明ですが、この時間の経過に伴う調整は、インターネットの使用が北朝鮮の指導者の仕事の日常業務の大部分を占めるようになったことを示しています。 2018年8月、北朝鮮は平壌に新設されたインターネット通信局本部の外部建設を完了した。 North Korea Techによると、新本社の目的は明確ではありませんが、グローバルなインターネットへのアクセスに焦点を当てている可能性があります。

新しい建物は、北朝鮮がより大きなグローバルインターネットに接続するのを促進する役割を果たしているようですが、その正確な役割は報告されていません。 それはおそらく、平壌がウェブ上に持っている一握りのサイトを提供するサーバーを保持するため、または北朝鮮と世界の他の地域との間を流れるすべてのトラフィックを監視し制御するためのゲートウェイセンターとしての意味があるのかもしれません。

この利用パターンの変化とインターネット通信局本部の完成が相まって、北朝鮮の最高指導者によるインターネット利用の専門化を意味する可能性がある。 これは、これらのリーダーが、自分の娯楽のためではなく、仕事の一部としてインターネットをより多く利用することを意味します。

運用上のセキュリティ行動が中程度

4月の分析では、北朝鮮のインターネットユーザーの間で2つの劇的な行動傾向が見られました。 1つ目は、VPN(Virtual Private Networks)、VPS(Virtual Private Servers)、TLS(Transport Layer Security)、Tor(The Onion Router)などの運用セキュリティ技術の使用が著しく増加したことです。 4月には、北朝鮮の指導者によるこれらのサービスの利用が1,200%増加したことが確認され、これは、主に保護されていないインターネット活動を行うという以前の行動から大きく逸脱していることを示しています。

それ以来、運用上のセキュリティ対策の急増は緩やかになりました。 2018年初頭、難読化されたブラウジングは、北朝鮮の指導者によるインターネット活動全体の13%を占めていました。 2018年9月までに、その割合は5%強に減少しました。 以前は、難読化されたインターネット活動の63%をVPN技術の使用が占めていました。 その後の6か月間で、北朝鮮の指導者の間でのVPNの使用は、難読化された活動のわずか50%に減少しました。 HTTPS(ポート443経由)またはセキュアブラウジングの使用は、運用上安全なブラウジングの49%に増加しました。 しかし、全体としては、VPNの使用の減少が難読化ブラウジングの減少の大部分を占めています。

北朝鮮の指導者によるVPN使用のこの減少の理由は、私たちのデータですぐには明らかになりません。 一方では、VPNプロトコルの中には、計算量が多いものや信頼性が低いものもあり、ほとんどのプロトコルは サブスクリプションと定期的な支払いが必要であり、多くのプロトコルにはデバイス制限があるか、まだ暗号通貨を受け入れていません。 一方、ほとんどのVPNサービスプロバイダーには、アプリケーションと簡単に設定できる手順があります。さらに、VPNの価格はこれまでに下がったため、ユーザーは 評判が良く信頼性の高いVPNを 月額わずか3ドルで利用できます。

最も可能性が高いのは、北朝鮮のインターネットユーザーが当初、外部からの刺激や要求により、より強力なインターネットプライバシーの方法論を採用したということです。 今年の4月、私たちは、この行動の変化は、北朝鮮のインターネットやメディア活動に対する国際的な注目の高まり、公式の禁止措置の新たな施行、または新たな運用上のセキュリティ要件の結果である可能性が高いと評価しました。

北朝鮮のユーザーに要件やポリシーを課したことが、インターネットセキュリティの劇的な増加とそれに続くこの緩和の最も可能性の高い原因でした。 この要件は、北朝鮮の指導者によるセキュリティ対策の急増を引き起こしたと思われますが、その後、時間、お金、アクセシビリティのコストがメリットを上回り始めると、時間の経過とともに徐々に減少しました。

2018年初頭から中国のソーシャルメディアを継続して使用

2018年初頭、北朝鮮の人々は欧米のソーシャルメディアやサービスからほぼ完全に離れ、中国のソーシャルメディアやサービスに移行しました。 この変更は、2017 年後半から 2018 年初頭までの 6 か月間に発生しました。 北朝鮮の指導者たちは、フェイスブック、インスタグラム、グーグルなどのサービスから、バイドゥ、アリババ、テンセントなどの中国人が運営するサービスに突然切り替えた。

2018年3月1日以降、欧米のソーシャルメディアやサービスからの移行は続いています。 北朝鮮の指導者たちは、欧米や中国の他のどのサービスよりも2倍以上もアリババを利用している。 アリババでのアクティビティには、ビデオやゲームのストリーミング、検索、ショッピングが含まれます。

プロバイダーの毎時アクティビティ

2018年3月1日から2018年8月28日までの8つのソーシャルネットワーキングサイト、ショッピングサイト、検索サイトでの1時間ごとのアクティビティ(実際)。 プロバイダーは、アリババ(最高)からInstagram(最低)まで、人気順にリストされています。

米国のサービスの大半では、北朝鮮のリーダーシップの使用が引き続き減少していますが、2018年4月以降、LinkedInの使用が増加していることが観察されました。 LinkedInでの活動量は、 2017年7月にFacebookやInstagramで観測されたレベルよりも少なかった。 ただし、LinkedInの使用は定期的であり、2018年8月にこのデータセットが終了するまで持続しました。 トラフィックレベルは、2017年の現在のLinkedInユーザーがFacebookユーザーよりもはるかに少ないことを示していますが、西洋のソーシャルネットワーキングサービスからの持続的な動きに対する興味深い対抗を表しています。

暗号通貨の搾取の増加

私たちの以前の調査では、北朝鮮の指導者たちが、限定的または比較的小規模ではあるが、ビットコインとMoneroの両方をマイニングしていることがわかりました。 この期間(2018年3月から2018年8月)では、トラフィック量とピアとの通信速度は両コインとも昨年と同じであり、ハッシュレートやビルドを決定することはできませんでした。 これらの特定の採掘の取り組みは、まだ小規模で、数台のマシンに限定されている可能性が高いと考えています。

しかし、この2018年3月から2018年8月にかけて劇的に変化したのは、北朝鮮による暗号通貨、資産担保型の「アルトコイン」、暗号通貨エコシステムの悪用です。

2018年6月、 Interstellar、Stellar、またはHOLDコインと呼ばれるアルトコインに関連付けられたいくつかのノードとの多数の接続と大量のデータ転送に気づき始めました。 HOLDコインは「アルトコイン」として知られており、モネロ、イーサリアム、ライトコインなどのより確立され広く利用されているコインを含む、ビットコイン以外のあらゆる暗号通貨を指します。 1,000以上のアルトコインがあり、そのほとんどがビットコインフレームワークのバリエーションです。

2018年初頭、HOLDコインはステーキングと呼ばれる利息と初期収益を生み出すプロセスを経ました。 ステーキングとは、ユーザーが初期数のコインをマイニングするが、一定期間はそれらを取引できないことです。 その後、コインは価値とユーザーベースを構築できるため、コイン開発者は、任意の時点で取引できるウォレットを規制することでコインの価値を制御できます。 新しいまたは未知のアルトコインのステーキングに参加することは、開発者がステーキングの時間枠を制御し、コインの価値が下落したときに多くのユーザーが投資を失う程度まで取引を制限する可能性があるため、リスクを伴う可能性があります。

2018年の間に、HOLDコインは一連の 取引所に上場および上場廃止され、2018年8月にスワップとリブランディング(新しい名前は HUZU)を受け、この公開の時点で、HOLDの投資家は高く、乾燥しています。 私たちは、北朝鮮のユーザーがインターステラー、ステラ、またはHOLDアルトコインに関与していたと低い信頼性で評価しています。

編集者注:上記の段落を編集して、HOLDからHUZUへのスワップとブランド変更がレポート期間の終わりに表示されたことを明確にしました。

私たちは、北朝鮮のために行われたと高い確信を持って評価している他のブロックチェーン詐欺が少なくとも1つ発見されました。 これは、Marine Chain Platformと呼ばれるブロックチェーンアプリケーションでした。

2018年8月にいくつかの ビットコインフォーラム で、暗号通貨としてのマリンチェーンの議論に出くわしました。 Marine Chainは、複数のユーザーや所有者が海上船舶のトークン化を可能にする資産担保型の暗号通貨であると考えられていました。 他のフォーラムのユーザーは、www[.]マリンチェーン[.]イオ別のサイトのほぼ鏡像でした、www[.]船主[.]イオ。

ウェブサイトのスクリーンショット

2018年4月の marine-chainのスクリーンショット[.]IOと船主[.]イオ フォーラム参加者によって提供されます。

ドメイン登録履歴

marine-chain[.]イオ。

マリンチェーン[.]ioは、登録以来、4つの異なるIPアドレスでホストされています。 2018年4月9日から2018年5月28日まで、マリンチェーン[.]IOは104[.]25[.]81[.]109. この間、このIPアドレスは、allcryptotalk[.]網 2015年6月以来、新しいコンテンツを投稿していない、そしてBinary Tiltと呼ばれる詐欺的なバイナリーオプション取引会社のウェブサイト。 この会社はカナダのオンタリオ州政府によって詐欺であると宣言され、 数十人のユーザーが このサイトに数万ドルから数十万ドルの損失と 詐欺 の証言を投稿しています。

Marine ChainのWebサイトは解決されなくなりましたが、Marine Chain Platformという会社によって運営されていました。 LinkedInのページを除けば、同社はオンラインでの存在感が最小限で、顧客の声はなく、スタッフもほとんどいませんでした。Marine ChainのLinkedInページは、2017年5月からMarine Chain PlatformのCEOのアドバイザーであり、「海事業界のブロックチェーンスペシャリスト」であると主張したTony Walkerという人物の代名詞でした。

2018年10月1日、LinkedInでMarine Chain Platformを検索すると、 HyoMyong Choiという別のアドバイザーもヒットしました。 チェ氏は、韓国の暗号通貨投資家、ICOのアドバイザー、エンジェル投資家として自分自身をリストアップしました。 彼はまた、InnoShore, LLCという別の会社の最高執行責任者(COO)として同時に雇用されていると自分自身をリストアップしました。

LinkedInプロフィール

2018年10月1日からのチェ・ヒョミョンのLinkedInプロフィール。

LinkedInプロフィール

2018年10月15日からのチェ・ヒョミョンのLinkedInプロフィール。 このスクリーンショットでは、Choi 氏は Marine Chain Platform と InnoShore, LLC の両方のエクスペリエンスを削除しています。

ウォーカー氏とチョイ氏は、シンガポール国立大学に通っていたと主張しており、同じ推薦者を多数持っている。 チョイ氏はエイドリアン・オン(Adrian Ong)としても知られており、それは彼の(おそらく偽の)Facebookページによって証明されている。 このアカウントは2018年3月に作成され、プロフィール写真は、韓国の学生が米国と英国の大学に通うのを支援する韓国企業の従業員から盗まれました。

Facebookページ

チェ・ヒョミョン、またはエイドリアン・オンのFacebookページ(被害者のプライバシー保護のため顔を黒く塗りつぶしています)。

チョイ(オン氏)の友人は2人しかおらず、どちらも東南アジアにいて、大きなソーシャルネットワークを持っていました。 この2つのアカウント以外に、チェ氏(またはオン氏)は他のオンラインプレゼンスを持っていません。

私たちが追跡できたもう一人の著名なMarine Chain Platformの従業員は、CEOであるジョナサン・フォン・カー・ケオン船長でした。 彼のLinkedInの プロフィールによると、Capt. Foongは、何十年にもわたってシンガポールの海事業界で活躍してきました。 彼は現在、LinkedInのプロフィールにMarine Chainでのポジションを掲載していませんが、過去1年間に数多くのイベントで講演し、Marine Chainでのポジションやmarine-chainの創設者としてのポジションを繰り返し引用しています。イオ。

フォーラムのスクリーンショット

Foong氏が2018年4月に海運業界とブロックチェーンについて参加したフォーラムのスクリーンショットで、marine-chainのCEOとしての彼の肩書きが記載されています。イオ。

キャプテンを作るもの。 Foongが平均的な暗号通貨やブロックチェーン詐欺師から際立っているのは、少なくとも2013年以降、北朝鮮の制裁回避の取り組みを支援してきたシンガポールの企業とつながっていることです。 2015年に北朝鮮に特化した政策調査サイト 「38North.org 」が発表した研究では、Capt. フォンは、「北朝鮮のために違法行為を促進し、国連の認可を受けた組織と取引している」シンガポールの企業で働いているか、助言していると 2回特定 されています。

会社のキャプテン。 フォン氏は、北朝鮮船舶の 便宜置籍として 頻繁に使用されていた3カ国の国旗登録の操作 に関与し ている。

大尉。 Foongは、北朝鮮が国際的な制裁を回避するのを支援する世界中のイネーブラーのネットワークの一部です。 これらのMarine Chain Platformへの接続は、この広大で違法なネットワークが暗号通貨やブロックチェーン技術を利用して金正恩政権の資金を調達した初めてのものです。

大まかに言えば、この種の暗号通貨詐欺は、 韓国を長年悩ませ てきた 脱北者によって説明 され、国際社会が追跡し始めたばかりの低レベルの金融犯罪のテンプレートに適合しています。これは、長年にわたって暗号通貨の世界に深く根ざしてきた関係者のグループにとっても、国際的な制裁の影響に対抗するために新たな資金源の革新を余儀なくされているネットワークにとっても、自然なステップです。

北朝鮮の海外進出:詳細が明らかになる

これまでの研究では、世界中の国々における北朝鮮の物理的および仮想的な存在を特定するためのヒューリスティックを開発しました。そのヒューリスティックには、これらの国との間の北朝鮮のインターネット活動の平均以上のレベルだけでなく、ニュースアウトレット、地区または市政府、地元の教育機関など、多くの地元のリソースの閲覧と使用も含まれていました。

この手法により、インド、中国、ネパール、ケニア、モザンビーク、インドネシア、タイ、バングラデシュなど、北朝鮮人が物理的に居住している、または居住している8つの国を特定することができました。 この最新の期間(2018年3月から2018年8月)では、これら8か国が関与する北朝鮮のインターネット活動を再調査し、中国とインドのデータの信頼性を高めました。

中国

北朝鮮の指導者がアリババ、バイドゥ、テンセントなどが提供する中国のインターネットサービスを広範囲に利用しているため、中国国内の北朝鮮人と思われる人々のインターネット活動を抽出することは複雑になっている。 これまで、Recorded Futureは、北朝鮮の人々を受け入れている可能性のある地域や、利用されている地元の資源について、ほとんど洞察を持っていなかった。

地域レベルでは、ヒューリスティックデータのサブセットとして、北京、上海、瀋陽地域だけでなく、南昌、武漢、広州にも関与する大量の活動を発見しました。 これらの都市や地域の一部は、中国で活動する北朝鮮人にとって 伝統的な北東部の足跡 と考えられていたものから外れています。

また、これまで不明瞭だった中国の学術界における北朝鮮人に関する新たな手がかりも発見しました。 以下は、現在、または以前に受け入れた北朝鮮の学生、教師、またはパートナーを中程度の信頼度で評価した中国の大学のリストです。

  • 上海交通大学
  • 江西師範大学
  • 清華大学
  • 武漢商業サービスカレッジ
  • 広西師範大学
  • 復旦大学
  • 天津医科大学

インド

この期間中、インドが関与する北朝鮮の活動については行動パターンは変わらなかったが、いくつかの追加的な詳細を突き止めることができました。 インドの活動の多くは、いくつかの 経済特区 (SEZ)、特にノイダとコーチンの経済特区に関与していました。

ローカルレベルでは、ヒューリスティックデータのサブセットとして、デリー、バンガロール、コルカタ、ハイデラバードで大量の活動を発見しました。 インド気象局と国立リモートセンシングセンターが関与する不審なトラフィックが再び観測されましたが、悪意を判断することはできませんでした。

これらの国のほとんどで、このヒューリスティックは、既知の北朝鮮の違法な資金調達または物流ネットワークと密接に追跡されていました。 非営利団体の C4ADS が北朝鮮の違法な資金調達ネットワークについて実施した調査は、その好例です。 8月、C4ADSは、北朝鮮の海外強制労働を、レストランや製品を含む国やセクターごとにプロファイリングした 報告書 を発表した。 北朝鮮の違法な資金調達ネットワークとインターネット活動との重複が繰り返されていることから、なぜロシアが私たちの行動ヒューリスティックに合わないのかを再検討することになった。

ロシア

量的には、ロシアが関与する活動は、中国やインドが関与する北朝鮮のインターネット活動のほんの一部に過ぎない(約0.05 たとえば、中国からのボリュームの割合)。 サービス面では、北朝鮮の人々はロシアのサービスを利用しており、定期的に mail.ru を訪れ、Yandexをたまにしか利用していなかった。 都市レベルでは、主にソチ、モスクワ地方、ウラジオストクで小規模な活動が行われました。

この期間(2018年3月から2018年8月)のロシアに滞在した北朝鮮人のタイプは、私たちが特定した他の多くの国とは異なる可能性があります。 ロシアにいる北朝鮮の労働者 の多くは 肉体労働者であり、多くの場合、「奴隷のような」または「非人道的な」条件で収容され、働いています。 これは、情報経済の労働者であり、グローバルな顧客基盤のためにモバイルゲーム、アプリ、ボット、その他のIT製品を構築する中国などの他の国の一部の北朝鮮労働者とは対照的です。 中国にも確かに多くの肉体労働者がいる一方で、ロシアが受け入れる熟練した北朝鮮人労働者が少ない可能性もある。この種の情報経済作業は、搾取的な肉体労働とは異なるインターネットの指紋を作成し、物理的な存在とインターネット活動の不一致を明確にする可能性があります。

したがって、行動ヒューリスティックを通じて特定した国は、サービス経済または情報経済で北朝鮮の労働者を受け入れている可能性が高いと評価しています。 これらの労働者は依然として 収入の大部分を家に送金していますが、日常業務にはインターネットアクセスが必要であるか、顧客と接しているため、それほど抑圧的でない状況で生活している可能性があります。

今後の展望

この1年半にわたり、北朝鮮に関する私たちの調査は、北朝鮮の最高指導者のデジタルライフを垣間見る比類のない窓を提供してきました。 我々は、米朝関係におけるユニークな時期におけるリーダーシップ活動を追跡し、分析してきた。「最大圧力」キャンペーンの期間、ミサイル発射と実験活動が最も多かった期間、そしてアメリカと北朝鮮の指導者間の 史上初の首脳会談

この調査シリーズの核心は、北朝鮮の最高指導者がいかに適応力があり、革新的であるかを示していることです。 彼らは、新しいサービスやテクノロジーが役立つときはすぐに受け入れ、そうでないときはそれらを捨てます。 金正恩政権は、インターネットを利用し、搾取するためのユニークなモデルを開発しました - それは犯罪シンジケートのように運営されている国家です。

特に、金正恩政権は、暗号通貨、さまざまな銀行間送金システム、「ギグエコノミー」の多元化、オンラインゲームなどを利用(および活用)することにより、収益創出と制裁回避のための強力なツールとしてインターネットを育ててきました。 彼らはこれを、何十年にもわたる密輸ネットワークと、腐敗した外交官、大使館、領事館のシステムと組み合わせてきた。

この物理的と仮想的な融合が北朝鮮の成功を可能にし、国際的な規制当局と執行者を混乱させています。 北朝鮮がインターネットから得た価値に正確なドルの数字を割り当てることは決して不可能かもしれないが、その重要性を過小評価することはできない。

国際的には、各国は北朝鮮のインターネット運用のグローバル化と脅威に対処し始めたばかりです。 特に米国は、北朝鮮のオペレーターであるパク・ジンヒョク氏に対して 刑事告訴 を行い、他の多くの企業を関与させた。 これは優れた第一歩であり、インターネット操作を公表するさらなる行動、非伝統的な外交パートナーへの働きかけ、北朝鮮のインターネットによる制裁回避を弱体化させるためのより柔軟でダイナミックなメカニズムによってフォローアップされる必要がある。

これは、北朝鮮の指導者によるインターネットセキュリティと匿名化サービスの使用、およびドメインプライバシーと大規模なホスティングサービスの急増という2つの傾向の結果として、私たちの洞察が限られていたため、北朝鮮のリーダーシップのインターネット活動に関する最後の定期レポートでもあります。

第一に、北朝鮮の支配層エリートがインターネットセキュリティ手続きを縮小したにもかかわらず、北朝鮮の人々とすべてのインターネットユーザーの両方にとって、広範な傾向が強まっている。 つまり、北朝鮮のインターネット閲覧を追跡し、新たな洞察を明らかにすることは、時間の経過とともに難しくなる一方です。

次に、大規模なテクノロジー企業は、DNSからコンテンツ配信、クラウドサービスなど、ますます幅広いサービスを顧客に提供しています。 ネットワークの観点からは、一般的なDigitalOcean、Cloudflare、またはGoDaddyの登録の背後にある最終コンテンツを見極めることは非常に困難です。 ポートやプロトコルでさえ、提供するデータ量は限られており、多くの場合、DigitalOceanボックスで終了するIPは何も明らかにしません。

私たちは引き続き北朝鮮のIP範囲を監視し、重要な発見やイベントについてアドホックに報告します。

ネットワーク防御に関する推奨事項

Recorded Futureは、組織がネットワーク上での潜在的な北朝鮮の活動を特定する際に、以下の対策を講じることを推奨しています。

  • 侵入検知システム (IDS) と侵入防止システム (IPS) をアラートするように設定し、確認後に、次の著名な北朝鮮の IP 範囲からの不正な接続試行をブロックすることを検討してください。

  • 175.45.176.0/22

  • 210.52.109.0/24

  • 77.94.35.0/24

  • 具体的には、北朝鮮の暗号通貨マイニングの取り組みを検出して防止するには、侵入検知システム(IDS)と侵入防止システム(IPS)を設定して、TCPポートを介してネットワークに接続している次の著名な北朝鮮のIP範囲からの不正な接続試行を警告し、レビュー後にブロックすることを検討してください。

  • 10130および10131(HOLDコイン用)

  • ビットコインの8332および8333

  • Monero の 18080 および 18081

  • ライトコインの9332および9333

注:前述のポートは、特定の暗号通貨に設定されたデフォルトのポートです。 暗号通貨マイニングソフトウェアがデフォルトのポートを上書きするように変更された可能性があります。 さらに、他のサービスも、エンタープライズ設定に基づいてリストされたポートで動作するように構成されている場合があるため、リストされたポートのネットワークトラフィックのIDSおよび/またはIPSアラートは誤検出を引き起こす可能性があります。

  • ネットワークDNSトラフィックを分析して、HOLDコイン暗号通貨マイニングに関連する疑わしいトラフィック(「stellarhold」という用語を含むドメインなど)を検出してブロックします。
  • ネットワーク内から暗号通貨マイニングソフトウェアがダウンロードおよび操作される可能性に対抗するために、企業全体にソフトウェアホワイトリストプログラムを実装することを検討してください。
  • 多くの暗号通貨マイナーは、調整のためにインターネットリレーチャット(IRC)を使用しています。 IRCが企業に必要なアプリケーションでない限り、IDSおよびIPSを介してデフォルトのIRC TCPポート6667をブロックすることを検討し、IRCを使用した暗号通貨マイニングアクティビティを軽減することを検討してください。
  • 組織のVPNサービスとプロトコルを把握し、非標準のVPNトラフィックをブロックまたは慎重に精査します。

さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。

  • すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
  • 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
  • システムのバックアップを定期的に作成し、バックアップをオフライン、できればオフサイトに保存して、ネットワーク経由でデータにアクセスできないようにする。
  • 綿密なインシデント対応とコミュニケーション計画を立てる。
  • 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできる人は、どのデータにアクセスできるか(デバイスやフィッシングによるアカウントの乗っ取りなど)に注目します。
  • 役割ベースのアクセス、全社的なデータアクセスの制限、機密データへのアクセス制限の導入を強く検討する。
  • ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
  • ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
  • パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。

関連