北朝鮮は狂ってはいない
北朝鮮のサイバー活動を理解するためには、意図が重要です。
Click here to download the complete analysis as a PDF.
北朝鮮の国家目標、国家組織、軍事戦略を理解することは、北朝鮮のサイバー活動の帰属に関する議論の鍵であり、しばしば欠けています。 政治の上級指導者、>サイバーセキュリティの専門家、外交官は、北朝鮮の指導者やそれぞれの行動を「狂っている」、「常軌を逸している」、「合理的ではない」と表現することがよくあります。しかし、そうではありません。 北朝鮮の軍事戦略、国家目標、安全保障認識のレンズを通して検討すると、サイバー活動は彼らのより大きなアプローチに対応します。
Recorded Futureの調査によると、北朝鮮のサイバーアクターは狂っているわけでも、不合理なわけでもなく、他のほとんどの諜報機関よりも作戦範囲が広いだけであることが明らかになりました。
この範囲には、違法な麻薬の製造と販売、偽造通貨の製造、爆破、暗殺未遂など、幅広い犯罪活動とテロ活動が含まれています。 米国家安全保障局(NSA)は、4月のランサムウェア攻撃「 WannaCry 」を北朝鮮の諜報機関である偵察総局(RGB)による ものとしている 。私たちは、ランサムウェアを使用して国家の資金を調達することは、北朝鮮の非対称的な軍事戦略と「自己資金」政策の両方に該当し、北朝鮮の諜報機関の広範な運用権限の範囲内にあると評価しています。
背景
朝鮮民主主義人民共和国(DPRKまたは北朝鮮)は、朝鮮労働党(KWP)と軍である朝鮮人民軍(KPA)の指導を維持することに専念する国家、党、軍事組織を持つ世襲のアジアの君主制です。
「586部隊」としても知られる偵察総局(RGB)は、いくつかの州、軍、党の諜報機関の 大規模な再編 を経て、2009年に設立された。 KPAに従属するようになったこの機関は、それ以来、北朝鮮の 支配的な対外諜報機関としてだけでなく、 秘密作戦の中心としても台頭してきた。 RGBとその 前身組織は 、1950年代後半に始まった一連の爆破、暗殺未遂、ハイジャック、 誘拐 、および麻薬の密輸と製造、偽造、破壊的なサイバー攻撃などを含む一連の犯罪活動に関与していると考えられています。
Satellite Image of the RGB Southern Operations Building in Pyongyang. (Source)
As North Korea’s lead for clandestine operations, the RGB is also likely the primary cyber operations organization as well. As described by the Center for Strategic and International Studies in 2015 report:
RGBは、北朝鮮の諜報活動、特殊部隊、破壊工作作戦の拠点である。 その指導部と構成部分のRGBの歴史は、北朝鮮の外で行われた違法で秘密の活動のワンストップショップの絵を描いています。 RGBと、2009年以前は、その構成部品は、海上部隊の襲撃から誘拐やスパイ活動まで、あらゆるものに関与してきた。 RGBがサイバー資産を管理しているということは、北朝鮮がこれらの資産を挑発的な目的で使用する意図があることを示しています。
RGBはおそらく7つのビューローで構成されています。 6つの元のビューロー と、2013年以降に追加されたと思われる新しい7番目のビューロー(ビューロー121)があります。
RGB組織図は、 The Korea Herald、 38 North、 CSISからの情報でまとめられています。
第121局 はおそらく北朝鮮 の主要なサイバー作戦部隊ですが、 KPAとKWP の中にはサイバー作戦を行う可能性のある他の部隊もあります。
特定のサイバー活動を北朝鮮の国家や諜報機関に帰属させることは困難であり、最近まで 状況に応じていました。 6月12日、 US-CERT は、米国国土安全保障省(DHS)とFBIが実施した「北朝鮮government_サイバー攻撃者が米国および世界のメディア、航空宇宙、金融、重要インフラ部門を標的に使用したツールとインフラ」に関する分析をまとめた 共同技術アラート を発表しました。
このアラートは、米国政府が、北朝鮮の国家支援を受けたアクターによって悪用されると長い間疑われていた脅威アクターグループとマルウェアを、北朝鮮政府自身と関連付けた初めての事例となりました。 DHS と FBI は、北朝鮮政府が使用した 2 つの脅威アクター グループ、Lazarus Group と Guardians of Peace と 3 つのツール、Destover、 Wild Positron/Duuzer、 Hangman を明確に特定しました。 FBIとDHSは、 侵害の多くの指標、Yaraルール、およびネットワークシグネチャを特定しましたが、報告書は、北朝鮮政府への帰属を裏付ける証拠や、どの組織またはユニットが責任を負っている可能性があるかについての詳細を提供しませんでした。
現在、北朝鮮の国家支援を受けた攻撃者として知られるLazarus Groupは、少なくとも2009年から活動を行っており、MYDOOMワームを使用して米国と韓国のウェブサイトに対するDDoS攻撃を行っています。2015年後半まで、Lazarus Groupのサイバー活動は主に韓国と米国の政府機関および金融機関に集中しており、2013年には韓国の銀行およびメディア部門に対する破壊的な攻撃、2014年にはSony Pictures Entertainmentへの攻撃が大々的に報道されました。
2009年以降のLazarusグループのサイバーオペレーションのタイムライン。
In early 2016, a new pattern of activity began to emerge in an unusual operation against the Bangladesh Central Bank. Actors obtained the legitimate Bangladesh Central Bank credentials for the SWIFT interbank messaging system and used them to attempt to transfer $951 million of the bank’s funds to accounts around the world. A few simple errors by the actors (and some pure luck) allowed central bankers to prevent the transfer of or recover most of the funds, but the attackers ended up getting away with nearly $81 million.
国家安全保障局(NSA)は、このバングラデシュ中央銀行への攻撃を北朝鮮国家によるものとしているが、米国政府内での調査はまだ進行中である。 多くの企業の脅威アナリストは、この攻撃とその後の2017年初頭までの世界中の銀行への攻撃は、ラザルスグループ(DHS、FBI、NSAはすべて過去3日間に北朝鮮政府と関連付けている)によるものだと考えています。
6月14日に発表されたワシントン・Post_のレポートによると、NSAはWannaCryキャンペーンに関する 諜報評価 をまとめ、WannaCryワームの作成はRGBの「サイバーアクター」によるものだとしている。 この評価は、明らかに先週内部で出されたもので、帰属に対する「中程度の自信」を引用し、4月のキャンペーンを「政権の歳入を増やす試み」としている。
バングラデシュ中央銀行、世界中の他の銀行への攻撃、およびランサムウェアキャンペーン「WannaCry」は、北朝鮮のサイバー作戦の新たな局面を表しており、北朝鮮が過去50年間に経験してきた暴力と犯罪の局面を反映しています。 これらのフェーズについては、この投稿の後半で説明します。
北朝鮮のサイバー作戦が既知および疑われる広範な作戦範囲は、長年にわたり、北朝鮮のリーダーシップの合理性、この種のサイバー活動による国の潜在的な動機と利益、そしてなぜ北朝鮮がこれらの攻撃の責任を否定するのかについての疑問を提起してきました。 Recorded Futureの調査では、全体像を調査し、地政学的および戦略的なインテリジェンスと脅威インテリジェンスを組み合わせることで、これらの問題に対処しています。
解析
これらの過去の北朝鮮の活動のいくつかを掘り下げることは、2009年以降に追跡してきたサイバー作戦に文脈を加えるために重要です。 北朝鮮が広範な犯罪活動やテロ活動に関与していることは、北朝鮮の広範な国家戦略の一部であり、北朝鮮の従来の国力不足を克服するために非対称作戦と奇襲攻撃を採用している。
「 ヴァニティ・フェア 」誌に掲載された元アメリカ国務省高官で 北朝鮮専門家 のインタビューによれば、「言い換えれば、犯罪は北朝鮮経済の不可欠な部分となっている。「それは報われるだけでなく、欧米の権益を弱体化させるという彼らの戦略に乗じている。1インチ"
北朝鮮の犯罪活動とサイバー活動を、次の2つの主要な目的を支えるより大きな軍事戦略と国家安全保障戦略の文脈に位置づけることが重要です。
- 金正恩政権の永続化、
- 北朝鮮の指導の下での朝鮮半島の統一。
2016年の ワシントン大学の研究 は、北朝鮮の非対称軍事戦略を簡潔に要約している。
朝鮮戦争の終結以来、北朝鮮は、その通常の軍事力が米国や韓国よりもはるかに弱いため、非対称的な軍事戦略、兵器、および戦力を開発しました。 したがって、北朝鮮は3つの軍事戦略の柱を開発しました。迅速な決戦。混合戦術。 まず、その奇襲戦略は、予期しない時間と場所で敵を攻撃することを指します。 第二に、その迅速な決定的戦争戦略は、米軍や国際社会が介入する前に韓国軍を打倒することである。 最後に、その混合戦術戦略は、戦略目標を達成するために複数の戦術を同時に使用することです。
北朝鮮は、好 戦的な言辞 や強豪をほぼ絶え間なく非難しているにもかかわらず、基本的に世界を弱点の立場から見ており、2500万人の人口を完全に支配し、金正恩の世襲王朝への断固とした非道徳的な献身という比較優位を活用した国家戦略を展開している。
この文脈では、犯罪、テロ、破壊的なサイバー攻撃はすべて、奇襲攻撃と混合戦術を強調する北朝鮮の非対称軍事戦略に当てはまる。 犯罪行為とサイバー攻撃には、北朝鮮が北朝鮮を制約し、罰する国際的な経済・政治システムを弱体化させることを可能にするという追加のボーナスもあります。
制裁、国際的な圧力、そして中国による執行強化が、北朝鮮経済、特に北朝鮮の諜報員が政権指導部のための物資を調達する能力に打撃を与え始めていることを示す証拠が増えている。韓国開発研究院の2017年5月の報告書は、北朝鮮の闇市場が昨年の国際制裁の影響に耐えるのに役立ったと結論付けている。
以下に詳述するのは、RGBの前身組織によって実施された多数の非サイバー作戦です。 これらの作戦の暴力、破壊、犯罪の範囲は、これらの諜報機関の広範な作戦範囲と、それらが行われている状況を明らかにしている。
このデータは、1960年代にさかのぼる北朝鮮による作戦の責任の否定の歴史をさらに明らかにしており、現在の指導部がサイバー作戦を否定していることを背景にしています。
手記
以下に詳述する活動は、北朝鮮の作戦に関する広範な作戦権限の実例を示すものであり、網羅的なリストではありません。
「ブルーハウスレイド」
1953年の朝鮮戦争後に 休戦 が宣言されて以来、韓国に対する最初の大規模な攻撃の一つは、1968年に起こった。 いわゆる「青瓦台襲撃」は、1968年1月20日の夜、北朝鮮の特殊作戦兵士31人による当時の朴正煕大統領の暗殺未遂事件である。 31人の北朝鮮兵士は、非軍事地帯(DMZ)を徒歩で横断し、大統領官邸(いわゆる「青瓦台」)から半マイル以内に入ることができた。 発見されると、北朝鮮の兵士たちは韓国軍と一連の銃撃戦を行った。 68人の韓国人と3人の米兵が死亡した。 北朝鮮の兵士のほとんどは、襲撃後の8日間で殺害された。2機はDMZを渡って戻ってきましたが、1機は捕獲されました。
捕らえられた北朝鮮兵は記者会見で、「朴正煕(パク・チョンヒ)の喉を切りつけるために来た」と主張した。 この説明は、1972年に韓国の諜報機関職員と当時の金日成総書記総理との秘密会議で論争された。 金正恩氏は、自国政府は家宅捜索に何の関係もなく、「その時はそれについてさえ知らなかった」と主張した。
ブルーハウス襲撃後に捕らえられた北朝鮮兵。(出典)
1983年ラングーン爆破事件
1983年10月9日、3人の北朝鮮兵士がミャンマー旅行中の当時の韓国大統領の全斗煥(チョン・ドゥファン)の暗殺を試みた。 大統領が訪れる予定だった霊廟の 爆弾 が早々に爆発し、韓国の外相と副首相を含む21人が死亡した。
爆破犯の 裁判 では、北朝鮮の工作員が北朝鮮の貿易船を使ってミャンマーに向かい、北朝鮮の外交官の自宅に爆弾を準備したことが証 言 で明らかになった。 爆撃の10日後の機密報告書(報告書は2000年に機密解除された)で、CIAの分析官は、公式の北朝鮮通信社が 関与を公式に否定 しているにもかかわらず、北朝鮮が攻撃に関与しているという強力な主張を展開した。 北朝鮮の国営メディアは、チョン大統領が攻撃を利用して半島の緊張を高めたと さえ非難した 。
South Korean officials wait at the mausoleum in Rangoon minutes
before the bomb detonated. (Source)
大韓航空858便爆破事件
1987年11月29日、イラクのバグダッド発ソウル行きの大韓航空の機内に、2人の 北朝鮮 諜報員が搭乗し、爆弾を仕掛けた。 アブダビでの乗り継ぎ中に、2人のエージェントは降機したが、爆弾(ラジオに偽装)は機内に残した。 爆弾は爆発し、飛行機はタイとビルマの国境の ジャングルに墜落 し、搭乗していた115人全員が死亡した。
生きたまま捕らえられた北朝鮮の諜報員の一人は、後に、爆撃は「1988年のソウルオリンピックへの外国の参加を思いとどま らせ、韓国で騒乱を引き起こす」ことを意図していたことを明らかにした。 また、この工作員は、飛行機を 爆撃する命令 は、当時の北朝鮮の指導者、金日成(キム・イルソン)または彼の息子で、後の指導者、金正日(キム・ジョンイル)から直接来ていたと告白した。
犯罪への移行
1990年代半ばまでに、北朝鮮は一般的にテロ行為から犯罪行為へと移行した。 北朝鮮は、大使館や外交官が密輸などの違法行為を通じて自らの活動で金を稼ぐことを強いられる「自己資金2」政策をとっていましたが、1970年代後半以降、この犯罪行為が外交当局だけでなく国家全体のビジネスとなったのは1990年代に入ってからです。冷戦の終結、後援国(ソビエト連邦や中国など)からの重要な援助の撤回、 壊滅的な飢饉、 リーダーシップの移行、長年にわたる 国際的な非難 と 懲罰的措置など、多くの要因がこの変化に影響を与えました。
北朝鮮人権委員会の2015年の報告書は、北朝鮮の「違法な経済活動」への関与を3つの段階に分けて特徴づけています。まず、1970年代から1990 年代半ば、1990 年代半ばから2000年代半ば、そして2005年頃から今日に至るまでの北朝鮮国家の関与の起源について説明します。RGBとその前身組織、その他の軍隊や諜報機関は、これらの違法行為を支援しています。
違法な麻薬製造と密輸
North Korea has had a state-sponsored drug smuggling (and later manufacturing as well) program since the mid-1970s. This vast enterprise has been supported by the military, intelligence services, and diplomats and has often included working with criminal organizations such as the Taiwanese gang United Bamboo, Philippine criminal syndicates, and Japanese organized crime.3
学術研究によると、北朝鮮は、主に金正恩政権に ハードカレンシーの手段 を提供するために、広範な秘密 の密輸ネットワーク と 能力 を開発してきた。
北朝鮮の国家は ケシの栽培を積極的に行っており、年間50トンもの生のアヘンを生産しています。 それを文脈に当てはめると、国連は アフガニスタンが2014年に6,400トンの生のアヘンを生産したと推定しており、これは北朝鮮が比較するとマイナーな生産国であることを示しています。 議会調査局の報告によると、政府の処理研究所は、毎年その2倍の量をアヘンやヘロインに処理する能力を持っている。専門家は、北朝鮮が違法な経済活動から年間 5億5000万ドルから10億ドル を稼いでいると推定している。
偽造
北朝鮮の犯罪組織として広く報じられているものの一つは、偽造アメリカの100ドル紙幣(および50ドル紙幣)、いわゆる「スーパーノート」の製造である。 2006年の議会証言で、米国シークレットサービスは、「スーパーノート」の生産と北朝鮮国家との間に 決定的な関連性 を持たせた。
2006年の 「ニューヨーク・タイムズ・マガジン」の記事のインタビューによると、北朝鮮が米国通貨の偽造を支持するようになったのは、1970年代半ばに金正日総書記が発した指令にさかのぼるという。 当初の偽造は、1ドル紙幣を漂白して100ドル紙幣として再印刷するというもので、北朝鮮の国際的な孤立が進み、経済が崩壊するにつれて、時間の経過とともに進化しました。
“Supernote” and a real $100 bill. (Source)
配布と生産スーパーノートの世界的な犯罪組織は、北朝鮮が生産した麻薬と同様のパターンをたどり、国家および諜報機関の役人、合法的な企業、
否定の歴史
このように、北朝鮮は暴力的、不法、破壊的な作戦の責任を否定してきた歴史があります。 これには、ブルーハウス襲撃、ラングーン爆破事件、米ドル偽造を含むすべての犯罪行為や違法行為、ソニー・ピクチャーズ エンタテインメント襲撃事件、バングラデシュ中央銀行強盗事件への関与を否定することが含まれる。 ある 学者の中には 、ある国の通貨を偽造するような行為は、戦争を正当化する行為や出来事である「 戦争原因」を構成すると主張する者もいれば、「国際的な法規範や構成概念は、サイバー領域における戦争原因を構成するものに適切に対処していない」と主張する学者もいる。
これらの議論と、北朝鮮の非対称的な軍事戦略の理解は、北朝鮮がこれらの破壊的で暴力的な行為の多くに対する責任を主張したくない理由を強調している。 国家の責任を認めることは、米国や韓国に有効な「根拠」belli_を与え、その結果、北朝鮮が確実に負ける戦争を引き起こす可能性がある。 たとえ証拠が強力であっても、政府の公式な否定は不確実性を生み出し、北朝鮮に作戦を継続する余地を与える。
インパクト
北朝鮮がWannaCryキャンペーンや銀行強盗に関与しているかどうかについての議論に欠けていたのは、その理由、つまり、CSO、セキュリティ専門家、脅威アナリストに彼らが見ている活動のコンテキストを提供する地政学的および戦略的な情報でした。
先週の時点で、NSAと Symantec や Kasperskyを含むいくつかの企業は、最近のWannaCryランサムウェアキャンペーンを北朝鮮に関連付けています。Recorded Futureは、この種のサイバー活動は、北朝鮮の「自己資金」政策と非対称軍事戦略の両方に該当すると評価しています。
この文脈において、巨大な国際金融および政治的圧力にさらされている国として、またこの種の政策や戦略を採用している国として、Recorded Futureは、北朝鮮のサイバー作戦(ハードカレンシーの取得を目標とする)は少なくとも短中期(1〜3年)は続くと考えています。 さらに、韓国政府や商業団体に対する破壊的なサイバー作戦は、同じ期間にわたって継続し、米国と北朝鮮の緊張が高止まりすれば、日本や欧米の組織に拡大する可能性が高い。
上記のサイバー脅威環境と軍事戦略は、いくつかの主要な経済セクターの企業が北朝鮮のサイバー活動の監視を強化すべきであることを示しています。 金融サービス企業は、SWIFT接続と資格情報の悪用、破壊的なマルウェア攻撃やDDoSの可能性、顧客アカウントやデータへの脅威に対して常に警戒する必要があります。 政府契約および防衛部門の企業、特に 終末高高度防衛(THAAD) システムの展開や、米国または韓国の半島での作戦を支援する企業は、朝鮮半島でのネットワークと作戦に対する脅威環境が高まっていることを認識する必要があります。
エネルギー・メディア企業、特に韓国のこれらのセクターに所在する、またはこれらのセクターを支援する企業は、DDoS、破壊的なマルウェア、ランサムウェア攻撃など、北朝鮮からの広範なサイバー活動に注意を払う必要があります。 大まかに言えば、すべてのセクターの組織は、ランサムウェアの適応性を常に認識し、脅威の進化に応じてサイバーセキュリティ戦略を変更する必要があります。
これは、北朝鮮に関する2部構成のシリーズの第1部です。 パート2では、ブラウジング、インターネット取引、その他の悪意のある可能性のある活動を難読化するための仮想プライベートサーバー(VPS)と仮想プライベートネットワーク(VPN)の広範な使用など、北朝鮮の行動とインターネット活動のパターンを調査します。
1While there is no perfect analog to the state-sponsored criminality that North Korea engages in, Iran is probably the closest in terms of intelligence services’ operational scope. For more on Iranian security services and cyber activity see: http://iranprimer.usip.org/sites/default/files/Military_Nader_Revolutionary%20Guards.pdf, https://www.foreignaffairs.com/articles/iran/2016-01-11/fallout-ploy, http://www.tandfonline.com/doi/abs/10.1080/09700161.2012.689528.
2Not all operations to generate funds under this “self-financing” policy are illegal in their host countries.
3 Ibison, David. “Pyongyang’s spy ship reveals a dark secret: Evidence from vessel suggests North Korea is working with criminal gangs to distribute drugs in Japan.” Financial Times 28 May 2003: 12.
関連ニュース&研究