北朝鮮は狂ってはいない

北朝鮮は狂ってはいない

insikt-group-logo-alt.png

北朝鮮のサイバー活動を理解するためには、意図が重要です。

北朝鮮の国家目標、国家組織、軍事戦略を理解することは、北朝鮮のサイバー活動の帰属に関する議論の鍵であり、しばしば欠けている。政治 の上級指導者、>サイバーセキュリティの専門家、 外交官 は、北朝鮮の指導者やそれぞれの行動を「狂気」、「不安定」、「合理的ではない」と表現することがよくあります。そうではありません。北朝鮮の軍事戦略、国家目標、安全保障認識のレンズを通して検討すると、サイバー活動はそのより大きなアプローチに対応しています。

Recorded Futureの調査によると、北朝鮮のサイバーアクターは狂っているわけでも、不合理なわけでもなく、他のほとんどの諜報機関よりも作戦範囲が広いだけであることが明らかになりました。

この範囲には、違法な麻薬の製造と販売、偽造通貨の製造、爆破、暗殺未遂などを含む、幅広い犯罪活動やテロ活動が含まれます。国家安全保障局(NSA)は、エイプリル・ ワンナクライ・ランサムウェア攻撃 は北朝鮮の諜報機関である偵察総局(RGB)によるものだと している 。私たちは、国家のために資金を調達するためのランサムウェアの使用は、北朝鮮の非対称軍事戦略と「自己資金」政策の両方に該当し、北朝鮮の諜報機関の広範な作戦権限の範囲内であると評価しています。

背景

north-korea-cyber-activity-1.gif

朝鮮民主主義人民共和国(北朝鮮または北朝鮮)は、朝鮮労働党(KWP)と軍部である朝鮮人民軍(KPA)の指導力を維持することに専念する国家、党、軍事組織を持つ世襲のアジア君主制です。

部隊586」としても知られる偵察総局(RGB)は、いくつかの国家、軍、党の諜報機関の 大規模な再編 を経て2009年に結成された。朝鮮人民軍に従属し、その後、北朝鮮の 支配的な対外情報機関としてだけでなく、 秘密作戦の中心地としても浮上した。RGBとその 前身組織 は、1950年代後半に始まった一連の爆破事件、暗殺未遂、ハイジャック、 誘拐 のほか、麻薬の密輸や製造、偽造、破壊的なサイバー攻撃などを含む一連の犯罪行為に関与していると考えられている。

north-korea-cyber-activity-2.png

平壌のRGB南部作戦棟の衛星画像。(情報源)

北朝鮮の秘密活動のリーダーとして、RGBは主要なサイバー活動組織でもある可能性があります。2015年の戦略国際問題研究センターのレポートで説明されているように

RGBは、北朝鮮の諜報活動、特殊部隊、破壊工作作戦の拠点である。 その指導部と構成部分のRGBの歴史は、北朝鮮の外で行われた違法で秘密の活動のワンストップショップの絵を描いています。 RGBと、2009年以前は、その構成部品は、海上部隊の襲撃から誘拐やスパイ活動まで、あらゆるものに関与してきた。 RGBがサイバー資産を管理しているということは、北朝鮮がこれらの資産を挑発的な目的で使用する意図があることを示しています。

RGB はおそらく 7 つの局で構成されています。6 つの元の支局 と、2013年以降に追加されたと思われる新しい7番目の支局(第121支局)。

north-korea-cyber-activity-3.png

The Korea Herald38 NorthCSISからの情報でまとめたRGB組織図。

121局 はおそらく北朝鮮の 主要なサイバー作戦部隊であるが、 朝鮮人民軍と朝鮮人民党 内にはサイバー作戦を行う可能性のある他の部隊もある。

特定のサイバー活動を北朝鮮の国家または諜報機関に帰属させることは困難であり、最近まで状況 に局限られていました。6月12日、 US-CERT は、米国国土安全保障省(DHS)とFBIが「北朝鮮government_のサイバー攻撃者が米国および世界のメディア、航空宇宙、金融、重要インフラ部門を標的にするために使用するツールとインフラ」について実施した分析をまとめた共同 技術(脅威)アラート を発表した。

この(脅威)アラートは、米国政府が北朝鮮の国家支援の攻撃者によって長い間利用されていると疑われてきた脅威アクターグループとマルウェアを北朝鮮政府自体と結びつけた初めてのことだった。 DHSとFBIは、北朝鮮政府が使用している2つの脅威アクターグループ、Lazarus GroupとGuardians of Peace、およびDestover、 Wild Positron/DuuzerHangmanの3つのツールを明確に特定しました。FBIと国土安全保障省は 、侵害、ハッキング、ヤラルール、ネットワーク署名の多くの指標を特定したが、報告書は北朝鮮政府による帰属を裏付ける証拠や、どの組織や部隊が責任を負っているかについての詳細を提供していない。

現在、北朝鮮の国家支援機関として知られているLazarus Groupは、少なくとも2009年から MYDOOM ワームを使用して 米国と韓国のWebサイト に DDoS 攻撃を行う作戦を行っています。2015年後半まで、ラザロ・グループの サイバー活動 は、2013年の韓国の銀行・ メディア 部門への破壊的な攻撃や、2014年のソニー・ピクチャーズエンタテインメントへの攻撃など、主に韓国と米国の 政府 および 金融機関 に焦点を当てていた。

north-korea-cyber-activity-4.png 2009年以降のLazarusグループのサイバーオペレーションのタイムライン。

2016年初頭、バングラデシュ中央銀行に対する異例の作戦で、新たな活動パターンが現れ始めた。攻撃者は、 SWIFT 銀行間メッセージングシステムの合法的なバングラデシュ中央銀行認証情報を入手し、それらを使用して、銀行の資金のうち9億5,100万ドルを世界中の口座に送金しようとしました。 攻撃者によるいくつかの単純なミス(および純粋な運)により、 中央銀行は資金の大部分の移動を阻止または回収することができましたが、攻撃者は 最終的に8,100万ドル近くを逃れました。

国家安全保障局(NSA)は、バングラデシュ中央銀行へのこの攻撃を北朝鮮政府によるものとしているが、米国政府内の調査はまだ進行中である。多くの企業の脅威アナリストは、この攻撃とそれに続く2017年初頭までの世界中の銀行への攻撃は、ラザログループ(国土安全保障省、FBI、NSAはすべて過去3日間に北朝鮮政府と結びついていた)によるものだと考えている。

6月14日に発表されたワシントンPost_の報道によると、NSAはWannaCryキャンペーンに関する 諜報評価 をまとめ、WannaCryワームの作成はRGBが後援する「サイバーアクター」によるものだとしている。 先週社内で発表されたこの評価は、帰属に対する「中程度の信頼」を挙げ、4月のキャンペーンを「政権の歳入を増やす試み」としている。

バングラデシュ中央銀行、世界中の他の銀行への攻撃、およびランサムウェアキャンペーン「WannaCry」は、北朝鮮のサイバー作戦の新たな局面を表しており、北朝鮮が過去50年間に経験してきた暴力と犯罪の局面を反映しています。 これらのフェーズについては、この投稿の後半で説明します。

北朝鮮のサイバー作戦が既知および疑われる広範な作戦範囲は、長年にわたり、北朝鮮のリーダーシップの合理性、この種のサイバー活動による国の潜在的な動機と利益、そしてなぜ北朝鮮がこれらの攻撃の責任を否定するのかについての疑問を提起してきました。 Recorded Futureの調査では、全体像を調査し、地政学的および戦略的なインテリジェンスと脅威インテリジェンスを組み合わせることで、これらの問題に対処しています。

解析

これらの過去の北朝鮮の活動のいくつかを掘り下げることは、2009年以降に追跡してきたサイバー作戦に文脈を加えるために重要です。 北朝鮮が広範な犯罪活動やテロ活動に関与していることは、北朝鮮の広範な国家戦略の一部であり、北朝鮮の従来の国力不足を克服するために非対称作戦と奇襲攻撃を採用している。

『 ヴァニティ・フェア 』誌の元米国務省高官であり、 北朝鮮専門家 とのインタビューによると、「犯罪は、言い換えれば、北朝鮮経済の不可欠な部分となっている。「それはお金を払うだけでなく、西側の利益を損なうという彼らの戦略に作用します。1'"

北朝鮮の犯罪活動とサイバー活動を、次の2つの主要な目的を支えるより大きな軍事戦略と国家安全保障戦略の文脈に位置づけることが重要です。

シントン大学 の2016年の研究は、北朝鮮の非対称軍事戦略を簡潔に要約している。

朝鮮戦争の終結以来、北朝鮮は、その通常の軍事力が米国や韓国よりもはるかに弱いため、非対称的な軍事戦略、兵器、および戦力を開発しました。 したがって、北朝鮮は3つの軍事戦略の柱を開発しました。迅速な決戦。混合戦術。 まず、その奇襲戦略は、予期しない時間と場所で敵を攻撃することを指します。 第二に、その迅速な決定的戦争戦略は、米軍や国際社会が介入する前に韓国軍を打倒することである。 最後に、その混合戦術戦略は、戦略目標を達成するために複数の戦術を同時に使用することです。

北朝鮮は、ほぼ絶え間なく好戦的な レトリック と強さを自称する長文にもかかわらず、基本的に世界を弱い立場から見ており、2,500万人の人口を完全に支配し、金氏世襲王朝へのひるむことのない非道徳的な献身という、比較の強みを活かした国家戦略を策定している。

この文脈では、犯罪、テロ、破壊的なサイバー攻撃はすべて、奇襲攻撃と混合戦術を強調する北朝鮮の非対称軍事戦略に当てはまる。 犯罪行為とサイバー攻撃には、北朝鮮が北朝鮮を制約し、罰する国際的な経済・政治システムを弱体化させることを可能にするという追加のボーナスもあります。

制裁国際的な圧力、そして中国による執行強化の可能性が、北朝鮮経済、特に北朝鮮諜報員の政権指導部のための物資調達能力に打撃を与え始めているという証拠が増えつつある。韓国開発研究院の2017年5月の報告書は、北朝鮮の闇市場が昨年の国際制裁の影響に耐えるのに役立ったと結論付けている。

以下に詳述するのは、RGBの前身組織によって実施された多数の非サイバー作戦です。 これらの作戦の暴力、破壊、犯罪の範囲は、これらの諜報機関の広範な作戦範囲と、それらが行われている状況を明らかにしている。

このデータは、1960年代にさかのぼる北朝鮮による作戦の責任の否定の歴史をさらに明らかにしており、現在の指導部がサイバー作戦を否定していることを背景にしています。

手記

以下に詳述する活動は、北朝鮮の作戦に関する広範な作戦権限の実例を示すものであり、網羅的なリストではありません。

「ブルーハウスレイド」

1953年の朝鮮戦争後、休 が宣言されて以来、韓国に対する最初の大規模な攻撃の1つが1968年に発生しました。いわゆる「大統領府襲撃」は、1968年1月20日夜、北朝鮮の特殊作戦兵31人が当時の朴正煕大統領を暗殺しようとしたことだ。31人の北朝鮮兵は徒歩で非軍事地帯(DMZ)を越え、大統領官邸(いわゆる「大統領府」)から半マイル以内まで到達した後、暴露された。発見されると、北朝鮮兵は韓国軍と一連の銃撃戦を行った。韓国 人68名と米兵3名が死亡した。北朝鮮兵のほとんどは襲撃後8日間で殺害された。2人は非武装地帯を越えて戻り、1人は捕らえられた。

捕らえられた北朝鮮兵は記者会見で「朴正煕の首を切るために来た」と主張した。この説明は、1972年に韓国の諜報機関当局者と当時の金日成首相との秘密会談で異議を唱えられた。金氏は、政府は襲撃とは何の関係もなく、「当時はそのことさえ知らなかった」と主張した。

north-korea-cyber-activity-5.png

ブルーハウス襲撃後に捕らえられた北朝鮮兵。(出典)

1983年ラングーン爆破事件

1983年10月9日、北朝鮮軍3人がミャンマー訪問中に当時韓国の全斗煥大統領を暗殺しようとした。大統領が訪問予定だった霊廟の 爆弾 が早期に爆発し、韓国外務大臣と副首相など21人が死亡した。

爆弾テロ犯の 裁判 中、証 言により 、北朝鮮工作員が北朝鮮の貿易船を利用してミャンマーに渡航し、北朝鮮外交官の自宅を利用して爆弾を準備したことが明らかになった。爆撃の10日後に発表された機密報告書(報告書は2000年に機密解除された)で、CIAのアナリストらは、北朝鮮の公式通信社が関与を 公式に否定 しているにもかかわらず、北朝鮮が攻撃の責任を負っているという強力な主張を述べた。北朝鮮の国営メディアは、全大統領がこの攻撃を利用して半島の緊張を高めたと 非難 した。

north-korea-cyber-activity-6.jpg

ラングーンの霊廟で待機する韓国当局者数分
爆弾が爆発する前。(情報源)

大韓航空858便爆破事件

1987年11月29日、 北朝鮮 情報要員2人がイラクバグダッドからソウル行きの大韓航空便に搭乗して爆弾を設置した。アブダビでの乗り継ぎ中に、2人のエージェントは飛行機から降りたが、爆弾(無線機に偽装した)を機内に残した。爆弾が爆発し、飛行機はタイとビルマの国境の ジャングルに墜落 し、搭乗者115人全員が死亡した。

生きたまま捕らえられた北朝鮮諜報員の一人は、後に爆撃は「1988年ソウルオリンピックへの外国人の参加を思いとどまらせ 、韓国に不安を引き起こす」ことを目的としていたと明らかにした。エージェントはまた、飛行機を 爆撃する命令 は当時北朝鮮の指導者金日成または彼の息子、後の指導者である金正日から直接下されたと告白した。

犯罪への移行

1990年代半ばまでに、北朝鮮は一般的にテロ行為から犯罪行為に移行していました。北朝鮮は「 自己資金2 」の方針を掲げていましたが、大使館や外交拠点は通常、密輸などの違法行為に従事することにより、自国の事業費を稼ぐことを余儀なくされていました。1970年代後半から、この犯罪が外交機関だけでなく国家全体の問題になったのは1990年代のことでした。冷戦の終結や支援者(ソビエト連邦や中国など)からの重要な援助の撤回、 壊滅的な飢饉、指導者の交代、 何年にもわたる国際的な非難と懲罰的措置など 、多くの要因がこの変化に影響を与えました

北朝鮮人権委員会の2015年の報告書は、北朝鮮の「違法な経済活動」への関与を3つの段階に分けて特徴づけている。第一に、1970年代から1990年代半ば、90年代半ばから2000年代半ば、そして2005年頃から現在までの北朝鮮国家の関与の起源から。RGB、その前身組織、その他の軍事および諜報機関は、これらの違法行為を支援しています。

違法な麻薬製造と密輸

北朝鮮は1970年代半ばから 国家が支援する麻薬密輸 (そしてその後の製造も)プログラムを行ってきた。この巨大な事業は 、軍、諜報機関、外交官 によって支援されており、 台湾のギャング「ユナイテッド・バンブー」、 フィリピンの犯罪シンジケート、日本の組織犯罪などの犯罪組織との協力もしばしば含まれている。3

学術研究によると、北朝鮮は主に金政権に ハードカレンシーの手段 を提供するために、広範な秘密 密輸ネットワーク 能力 を開発している。

北朝鮮政府 はケシを積極的に栽培しており、年間50トンもの生アヘンを生産している。これを文脈に当てはめると、国連はアフガニスタンが 2014年に6,400トンの生アヘンを生産したと推定しており、それに比べて北朝鮮は小規模生産国となっている。議会調査局の報告書によると、政府の処理研究所は、毎年その2倍の量をアヘンやヘロインに加工する能力を持っている。専門家らは、北朝鮮が違法な経済活動から年間 5億5000万ドルから10億ドル もの収入を得ていると推定している。

偽造

北朝鮮の犯罪組織として広く報道されているのは、100ドル(および50ドル)の偽造紙幣、いわゆる「スーパーノート」の製造である。2006年の議会証言で、米国シークレットサービスは「スーパーノート」の製造と北朝鮮国家との間に 決定的な関連性 を示した。

2006年の ニューヨーク・タイムズ・マガジンの記事のインタビューによると、北朝鮮が米国通貨の偽造を支援していたのは、1970年代半ばに金正日が発令した指令にまで遡る。元の偽造は、1ドル紙幣を漂白して100ドル紙幣として再印刷することであり、北朝鮮の国際的な孤立が進み、経済が崩壊するにつれて、時間の経過とともに進化しました。

north-korea-cyber-activity-7.jpg 「スーパーノート」と本物の100ドル紙幣。(情報源)

スーパーノートの配布と製造は 、北朝鮮が製造した麻薬と同様のパターンに従い、 世界的な犯罪組織、 国家および諜報機関 、合法的な事業を利用しました 。北朝鮮は偽造品や違法行為への関与を繰り返し否定しています。

否定の歴史

上で概説したように、北朝鮮には暴力的、違法、破壊的な作戦の責任を否定してきた歴史がある。これには、大統領府襲撃、ラングーン爆破事件、米ドルの偽造、ソニー・ピクチャーズエンタテインメントの襲撃、バングラデシュ中央銀行強盗など、すべての犯罪行為や違法行為への関与を否定することが含まれます。一部の学者は、国の通貨を偽造するなどの行為は、戦争を正当化する行為または出来事である_ 戦争の理由 _を構成すると主張し、他の 学者 は「 国際法規範と構造は、サイバー領域における戦争の理由を構成するものに適切に対処していません 」と主張します。

これらの議論と、北朝鮮の非対称的な軍事戦略の理解は、北朝鮮がこれらの破壊的で暴力的な行為の多くに対する責任を主張したくない理由を強調している。 国家の責任を認めることは、米国や韓国に有効な「根拠」belli_を与え、その結果、北朝鮮が確実に負ける戦争を引き起こす可能性がある。 たとえ証拠が強力であっても、政府の公式な否定は不確実性を生み出し、北朝鮮に作戦を継続する余地を与える。

インパクト

北朝鮮がWannaCryキャンペーンや銀行強盗に関与しているかどうかについての議論に欠けていたのは、その理由、つまり、CSO、セキュリティ専門家、脅威アナリストに彼らが見ている活動のコンテキストを提供する地政学的および戦略的な情報でした。

先週の時点で、NSAとシ マンテックカスペルスキーを含むいくつかの企業は、最近のWannaCryランサムウェアキャンペーンを北朝鮮に関連付けています。Recorded Futureは、この種のサイバー活動は北朝鮮の「自己資金」政策と非対称軍事戦略の両方に該当すると評価している。

この文脈において、巨大な国際金融および政治的圧力にさらされている国として、またこの種の政策や戦略を採用している国として、Recorded Futureは、北朝鮮のサイバー作戦(ハードカレンシーの取得を目標とする)は少なくとも短中期(1〜3年)は続くと考えています。 さらに、韓国政府や商業団体に対する破壊的なサイバー作戦は、同じ期間にわたって継続し、米国と北朝鮮の緊張が高止まりすれば、日本や欧米の組織に拡大する可能性が高い。

上記のサイバー脅威環境と軍事戦略は、いくつかの主要な経済部門の企業が北朝鮮のサイバー活動の監視を強化する必要があることを示しています。金融サービス企業は、SWIFT接続と認証情報の悪用、破壊的なマルウェア攻撃やDDoSの可能性、顧客のアカウントとデータへの脅威に対して常に警戒を続ける必要があります。政府の請負および防衛部門の企業、特に THAAD(終末高高度地域防衛) システムの展開や、朝鮮半島での米国または韓国の作戦を支援する企業は、朝鮮半島でのネットワークと運用に対する脅威環境の高まりに注意する必要があります。

エネルギー・メディア企業、特に韓国のこれらのセクターに所在する、またはこれらのセクターを支援する企業は、DDoS、破壊的なマルウェア、ランサムウェア攻撃など、北朝鮮からの広範なサイバー活動に注意を払う必要があります。 大まかに言えば、すべてのセクターの組織は、ランサムウェアの適応性を常に認識し、脅威の進化に応じてサイバーセキュリティ戦略を変更する必要があります。

これは、北朝鮮に関する2部構成のシリーズの第1部です。 パート2では、ブラウジング、インターネット取引、その他の悪意のある可能性のある活動を難読化するための仮想プライベートサーバー(VPS)と仮想プライベートネットワーク(VPN)の広範な使用など、北朝鮮の行動とインターネット活動のパターンを調査します。

1 北朝鮮が関与している国家主導の犯罪に完全に類似するものはありませんが、情報機関の活動範囲という点ではおそらくイランが最も近いでしょう。イランのセキュリティサービスとサイバー活動の詳細については、http://iranprimer.usip.org/sites/default/files/Military_Nader_Revolutionary%20Guards.pdf を参照してください。https://www.foreignaffairs.com/articles/iran/2016-01-11/fallout-ployhttp://www.tandfonline.com/doi/abs/10.1080/09700161.2012.689528

2この「自己資金」政策の下で 資金を生み出す ためのすべての事業が、受入国で違法であるわけではありません。

3 アイビソン、デビッド。 「平壌のスパイ船は暗い秘密を明らかにします。船からの証拠は、北朝鮮が犯罪組織と協力して日本で麻薬を配布していることを示唆しています。」 フィナンシャル・タイムズ 2003年5月28日: 12.