North Korea’s Ruling Elite Are Not Isolated

北朝鮮のインターネット活動の詳細な分析は、情報に通じ、現代的で、技術に精通した支配エリートを明らかにしている。

Click here to download the complete analysis as a PDF.

Executive Summary

This is part two of our series on North Korea. In part one entitled “North Korea Is Not Crazy,” we revealed that North Korean cyber actors are not crazy or irrational: they just have a wider operational scope than most other intelligence services.

ここでは、インテリジェンスパートナーである Team Cymruを通じて分析を充実させ、北朝鮮の指導者と支配層エリートがインターネットをどのように使用しているか、そしてそれが彼らの計画と意図について何を教えてくれるかについての独自の洞察を明らかにする包括的な研究を行っています。

Our analysis demonstrates that the limited number of North Korean leaders and ruling elite with access to the internet are actively engaged in Western and popular social media, regularly read international news, use many of the same services such as video streaming and online gaming, and above all, are not disconnected from the world at large or the impact North Korea’s actions have on the community of nations. Further, we have concluded that:

• 北朝鮮のエリートと指導部を国際社会から孤立させようとする試みは失敗している。 実際、彼らのインターネット活動は多くの点でほとんどの西洋人とそれほど違いはありません。
• レビューされたデータセットは、従来の仮説に反して、北朝鮮の一般的なインターネット活動が戦略的な軍事行動の早期警告を提供しない可能性があることを示唆しています。 北朝鮮の活動とミサイル実験との間に相関関係があるとしても、それは指導部や支配層エリートのインターネット行動によって電報されることはない。
• 北朝鮮はサイバー作戦を実施するために領土資源を使用しておらず、北朝鮮の国家支援活動のほとんどは海外から行われている可能性が高いため、金正恩政権に非対称的な圧力をかける機会となっている。

この分析は、私たちのブログシリーズのパート1と合わせて、北朝鮮の非核化の道に向けて探求できる他の政権の圧力ポイント、そしてその結果として、他のツール、技術、パートナーが存在する可能性が高いことを示しています。

背景

South Korean media assesses that there may be as many as 4 million mobile devices in North Korea. So while mobile devices are widespread in North Korea, the vast majority of North Koreans do not have access to the internet. Mobile devices (see image of a North Korea-made device below) sold to ordinary North Koreans are enabled with minimal 3G services, including voice, text messaging, and picture/video messaging, and are restricted to operating only on North Korea’s domestic provider network, Koryolink.

A small minority of users, such as university students, scientists, and select government officials, are allowed access to North Korea’s domestic, state-run intranet via common-use computers at universities and internet cafes. Slate described the domestic intranet this way:

The network, called Kwangmyong, currently connects libraries, universities, and government departments and is slowly making its way into homes of better-off citizens. It houses a number of domestic websites, an online learning system, and email. The sites themselves aren’t much to get excited about: They belong to the national news service, universities, government IT service centers, and a handful of other official organizations. There’s also apparently a cooking site with recipes for Korean dishes.

金日成大学のコンピューターラボ。 出典: ソフィー・シュミット。

Among the select few with permission to use the country’s intranet are an even slimmer group of the most senior leaders and ruling elite who are granted access to the worldwide internet directly. While there are no reliable numbers of North Korean internet users, reporters estimate anywhere from “only a very small number” to “the inner circle of North Korean leadership” to “just a few dozen families.” Regardless of the exact number, the profile of a North Korean internet user is clear; trusted member or family member of the ruling class.

北朝鮮のエリートがインターネットにアクセスする方法は、主に3つある。

First is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only internet-accessible websites. These include nine top-level domains (such as co.kp, gov.kp, and edu.kp) and approximately 25 subdomains for various North Korean state-run media, >travel, and education-related sites.

The second method is via a range assigned by China Netcom, 210.52.109.0/24. The netname “KPTC” is the abbreviation for Korea Posts and Telecommunications, Co, the state-run telecommunications company.

The third method is through an assigned range, 77.94.35.0/24, provided by a Russian satellite company, which currently resolves to SatGate in Lebanon.

編集者注

Two important notes: One, from this point on when we refer to “North Korean internet activity” or “behavior,” we are referring to use of the internet (not the North Korean domestic intranet Kwangmyong) by the select few leaders and ruling elite that are permitted access. This data does not give us any insight into intranet activity or behavior by the larger group of privileged North Koreans permitted access to Kwangmyong or diplomatic and foreign establishments that are located in North Korea.

2つ目は、2017年4月1日から7月6日までのこの日付範囲を選んだのは、ミサイルの発射とテスト活動が最も多かった期間の1つであり、また、データの深さと忠実度が最も高い期間であったためです。 2017 年 1 月 1 日までさかのぼるデータがありますが、そのデータセット (1 月 1 日から 3 月 31 日) は堅牢性がはるかに低くなっています。

解析

In the early hours of April 1, 2017, as many in the West were just waking up, checking email and social media, a small group of North Korean elites began the day in much the same manner. Some checked the news on Xinhua or the People’s Daily, others logged into their 163.com email accounts, while still others streamed Chinese-language videos on Youku and searched Baidu and Amazon.

Recorded Future’s analysis of this limited-duration data set has given us new insight into this isolated country and ruling regime. Our analysis demonstrates that the limited number of North Korean leaders and ruling elite with access to the internet are much more active and engaged in the world, popular culture, international news, and with contemporary services and technologies than many outside North Korea had previously thought. North Korean leaders are not disconnected from the world and the consequences of their actions.

このデータソースは絶対的なものではありませんが、2017年4月から7月にかけての北朝鮮のインターネット利用と活動の詳細な全体像を提供し、その結果、多くのユニークな新しい洞察に到達することができます。

The data reveals that North Korea’s leadership and ruling elite are plugged into modern internet society and are likely aware of the impact that their decisions regarding missile tests, suppression of their population, criminal activities, and more have on the international community. These decisions are not made in isolation nor are they ill-informed as many would believe.

使用パターンミラーウエスタンユーザー

北朝鮮のエリートや指導部のインターネット活動は、インターネットにアクセスできる人の数が極端に限られているにもかかわらず、多くの点でほとんどの西洋人とそれほど変わらない。それに到達するためのコンピューターとIPスペースの両方の比較的少ない数。言語的、文化的、社会的、法的な障壁。そして、世界の他の地域に対する純粋な敵意。

例えば、 先進国のユーザーと同様に、北朝鮮の人々は、ソーシャルメディアのアカウントをチェックしたり、ウェブを検索したり、アマゾンやアリババを閲覧したりして、多くの時間をオンラインで過ごしています。

Facebookは、2016年4月に北朝鮮の検閲によってTwitter、YouTube、その他多くのサイトがブロックされたと 報告 されているにもかかわらず、北朝鮮の人々にとって最も広く使用されているソーシャルネットワーキングサイトです。

2017年4月1日から7月6日までの8つのソーシャルネットワーキングサイト、ショッピングサイト、検索サイトでの1時間ごとのアクティビティ(実際)。 プロバイダーは、Facebook(最高)からApple(最低)まで、人気順にリストされています。

さらに、北朝鮮の人々は、この期間の日常的な使用についても明確なパターンを持っています。 平日は、午前 9:00 から 8:00 または 9:00 までが最も活動量の多い時間帯で、月曜日と火曜日が一貫して最も活動量の多い日です。

時間ごとの毎日のインターネット使用量(平均ではありません)。

ミサイル活動の早期警戒ではない

多くの研究者や学者は、北朝鮮のサイバー活動とミサイルの発射や実験との間には関連性があるのではないかという仮説を立てています。 特に、北朝鮮のサイバー活動やインターネット活動に基づくミサイル実験を予測または予測できる可能性があるということです。 このデータセットを使用して、この限られた期間において、北朝鮮の悪意のあるサイバー活動のレベルを調べることはできませんでしたが、北朝鮮のインターネット活動全体とミサイルの実験や発射との間に相関関係は見られません。

2017 年 4 月 1 日から 7 月 6 日までの毎日の実際のインターネット アクティビティ。 赤いバーは、北朝鮮のミサイル実験または発射の日付です。

この現在のデータセットは、ミサイル実験の警告装置としてのインターネット活動の有用性について、長期的な結論を適用するには短すぎる。 しかし、我々の分析は、北朝鮮の活動とミサイル実験との間に相関関係があるとすれば、それは指導部や支配層エリートのインターネット行動によって電報で伝えられていないことを示唆している。

海外でのプレゼンス

2017年4月から7月にかけて北朝鮮本土からの悪意のあるサイバー活動がほとんどなかったことは、ほとんどの場合、北朝鮮がサイバー作戦を実施するために領土資源を使用しておらず、国家が支援する活動のほとんどが海外から行われていることを示している可能性があります。 これは、金正恩政権に非対称的な圧力をかけ、現在の北朝鮮のサイバー作戦の自由と柔軟性を制限し、彼らが罰せられることなく活動できる度合いを低下させるために悪用される可能性のある重大な作戦上の弱点です。

This data and analysis demonstrate that there are significant physical and virtual North Korean presences in several nations around the world — nations where North Koreans are likely engaging in malicious cyber and criminal activities (as demonstrated in part one). These nations include India, Malaysia, New Zealand, Nepal, Kenya, Mozambique, and Indonesia.

私たちの分析に基づいて、次のことを決定することができました。

• It is clear that North Korea has a broad physical and virtual presence in India. Characterized by the Indian Ministry of External Affairs as a relationship of “friendship, cooperation, and understanding,” the data we analyzed supports the reports of increasingly close diplomatic and trade relationship between India and North Korea.
• 活動パターンは、北朝鮮が全国の少なくとも7つの大学に学生を持ち、いくつかの研究機関や政府部門と協力している可能性があることを示唆している。
• この期間に観察されたすべての活動のほぼ5分の1がインドに関与していました。

North Korean embassy in India. (Source)

北朝鮮は、ニュージーランド、マレーシア、ネパール、ケニア、モザンビーク、インドネシアでも大規模かつ積極的に活動しています。 私たちの情報源は、これらの国々との間の活動が平均以上であるだけでなく、多くの地元の情報源、報道機関、政府に対しても、他の国々での北朝鮮の活動の特徴ではなかったことを明らかにした。

北朝鮮は、瀋陽のホテルを中国と 共同所有 し、そこから北朝鮮が悪意のあるサイバー活動を行うなど、中国でサイバー作戦を行うための物理的な存在を持っていることが広く 報告 されています。この期間中に観察されたすべての活動の約10%は中国が関与しており、中国の通信会社が提供するインターネットアクセスポイントは含まれていません。

私たちの分析では、中国の活動プロファイルが上記の7カ国と異なっていたことが主な原因で、北朝鮮の指導者のユーザーが淘宝網、阿利雲、友空などの中国のサービスを非常に多く利用していたため、データが歪んでいたことがわかりました。 中国のインターネットサービスの利用を考慮した後、もちろん、これは中国での物理的または仮想的な存在を意味するものではなく、中国のローカルリソース、報道機関、および政府部門への活動パターンは、以前に特定された7つの国を反映しています。

この中国の例では、私たちが発見した明確な活動パターンと、すでに知られているサイバー作戦の施設を組み合わせることで、他の7カ国に適用できるモデルが提供されています。

北朝鮮が世界のいくつかの国で物理的および仮想的に大きな存在感を示しているという事実と、パート1の以前の調査と合わせると、北朝鮮は第三国からサイバー作戦を行っている可能性が高いと思われます。 したがって、これらの国からの悪意のあるサイバー活動が、領土内の北朝鮮からの活動とは対照的に、ミサイルの発射や実験と相関しているかどうかを調査する別の方法となるでしょう。

セキュリティの不備が新たなインテリジェンスにつながる

この期間中の北朝鮮のインターネット活動のうち、難読化または何らかの方法で保護されていたのは1%未満でした。 この基準を満たした活動の中で、取引技術は、 TLS/SSLの不適切な実装から、複数の仮想プライベートネットワーク(VPN)と仮想プライベートサーバー(VPS)のほぼ追跡不可能なチェーンを利用して大量のデータを転送することまで、大きく異なっていました。

誤った実装の例として、ある北朝鮮のユーザーは、 Tor(The Onion Router) を使用してアクティビティを難読化しましたが、その後、トレントファイル共有を使用し始め、3か月以上にわたって毎日同じノードからTorネットワークから退出しました。

難読化技術を採用したユーザーのうち、VPNやVPSのサービスやプロバイダーが幅広く利用されていました。 北朝鮮の人々が消費するVPNとVPSのほとんどすべては、月額サブスクリプションであり、おそらく個人または政府の部門によって管理されています。

これらのサービスがどのように購入されるかは明らかではなく、プロバイダーの多くは大規模で有名な西洋企業です。 これらには、Sharktech、iWeb、Digital Ocean、Linode、Leaseweb USA、Telemax、Touch VPNなどが含まれます。

多くのVPNとVPSは、受動的なインターネット監視または国内の検閲から、ブラウジングを難読化または促進するために使用されました。

1つの米国のVPNは、Gmailアカウントの確認、Google Cloudへのアクセス、FacebookおよびMSNアカウントのチェック、アダルトコンテンツの閲覧にiPadで使用されました。 他のVPNとVPSは、Metasploitの実行、ビットコインを使用した購入、Twitterのチェック、ビデオゲームのプレイ、ビデオのストリーミング、Dropboxへのドキュメントの投稿、Amazonの閲覧に使用されました。

この一般的に不十分な難読化の結果として、このデータは、北朝鮮のリーダーシップとエリートの利益について、これまでにない洞察を私たちに与えてくれました。 たとえば、多くのユーザーはVoIPサービスを利用して、海外の他の人と話したりメッセージを送ったりしていました。他の人はまだAOLアカウントを持っていて、定期的にチェックしていました。一部のユーザーは美容と健康のサイトを頻繁に訪れました。他の人はオンラインで高価なスニーカーを買いました。多くのユーザーが産業用ハードウェアとテクノロジーの最適化サービスを調査しました。また、iPhone、iPad、Blackberryを使用して通信する人もいました。

他のユーザーは、Kaspersky、McAfee、Qihoo360、Symantecなどのサイバーセキュリティ企業とその研究に毎日時間を費やしました。 DDoS 防止企業や 、DoSarrest や Sharktechなどのテクノロジー。 あるユーザーはTHURAYAと衛星通信機器の使用に関するトレーニングを受け、他のユーザーはマレーシア、米国、カナダのいくつかの大学で物理学と工学部を研究しました。

ゲームとコンテンツストリーミングは、北朝鮮の全インターネット活動の65%を占めています。 大まかに言えば、ユーザーは主に中国のビデオホスティングサービス Youku、iTunes、およびさまざまなBitTorrentおよびピアツーピアストリーミングサービスからコンテンツを消費します。 ゲームについては、北朝鮮のユーザーは Valve がホストするゲームや 、World of Tanksと呼ばれる多人数同時参加型オンラインゲームを好むようです。

疑わしいアクティビティ

この期間中の北朝鮮からの活動の大部分は悪意を持っていませんでしたが、非常に疑わしい活動は少数ではありますが、かなりの量でした。 1つの例は、5月17日に北朝鮮のユーザーによるビットコインマイニングの開始でした。

According to the Bitcoin wiki, bitcoin mining is “the process of adding transaction records to Bitcoin's public ledger of past transactions (or block chain).” Bitcoin mining is difficult because it is a computationally complex task and can require up to 90 percent of a machine’s power.

このエネルギーをすべて使用し、取引記録をブロックチェーンに追加する利点は、各マイナーに取引を送信するユーザーが支払った手数料だけでなく、新しいブロックを発見すると25ビットコインが授与されることです。

Before that day, there had been virtually no activity to Bitcoin-related sites or nodes, or utilizing Bitcoin-specific ports or protocols. Beginning on May 17, that activity increased exponentially, from nothing to hundreds per day. The timing of this mining is important because it began very soon after the May WannaCry ransomware attacks, which the NSA has attributed to North Korea’s intelligence service, the Reconnaissance General Bureau (RGB), as an attempt to raise funds for the Kim regime.

この時点で(5月17日)、政府内の関係者は、3つのWannaCry身代金アカウントからビットコインを移動するのは追跡が容易で、攻撃の否認を維持したいのであれば賢明ではないことに気付いていたでしょう。

北朝鮮のビットコインマイニング事業を誰が運営しているのかは明らかではありません。しかし、北朝鮮のコンピュータの数が比較的少なく、IPスペースが限られていることを考えると、この計算集約的な活動が国家の制御外で行われている可能性は低いです。

さらに、この期間中、一部の北朝鮮のユーザーは、多くの外国の研究所や研究センターで研究、またはおそらくネットワーク偵察を行っていたようです。

In particular, activity targeting the Indian Space Research Organization’s National Remote Sensing Centre, the Indian National Metallurgical Laboratory, and the Philippines Department of Science and Technology Advanced Science and Technology Research Institutes raised flags of suspicion, but we could not confirm malicious behavior.

インパクト

北朝鮮に対する国際的な政策と関与戦略は、同じ一連のツール(制裁、国際的な孤立化)に依存し、同じ国(中国、ロシア、国連安全保障理事会常任理事国5カ国)をパートナーとして関与してきたため、何十年にもわたって影響力を持つのに苦労してきました。 この 2 部構成のシリーズは、体制には他の圧力ポイントがあり、その結果、調査すべき他のツール、手法、パートナーが存在する可能性が高いことを示しています。

Team Cymru’s intelligence and Recorded Future’s analysis have revealed two separate realities.

First, in spite of the sanctions and massive international pressure, North Korea’s leaders are not isolated from the outside world. They are active and engaged participants in the contemporary internet society and economy; meaning that attempts to shut North Korean leadership off from the global economy have largely failed.

Second, new tools that do not focus on Pyongyang and territorial North Korea are needed to achieve a lasting negative impact on the current Kim regime. We have identified other nations with which the West could partner and alternate tools and techniques that could be utilized to apply asymmetric pressure on North Korea. Partnering with nations such as India, Malaysia, Indonesia, or others identified above, would enable the U.S. and other Western nations to circumvent uncooperative partners in China and Russia and exert pressure on the broad North Korean operational diaspora, which, because of the regime’s dependency, would likely impose larger real costs on leadership.

サイバーセキュリティの専門家やネットワーク防御者にとって、この2部構成のシリーズでは、北朝鮮の悪意のあるサイバー活動から身を守ることがいかに複雑であるかを明らかにしています。 我々は、金融サービス企業及び米韓軍のTHAAD配備及びペニンシュラ作戦を支援する者に対し、朝鮮半島におけるネットワーク及び作戦に対する脅威環境の高まりについて、最大限の警戒と認識を維持することを引き続き推奨する。

同様に、エネルギー企業やメディア企業、特に韓国のこれらのセクターに所在する、または支援している企業は、DDoS、破壊的なマルウェア、ランサムウェア攻撃など、北朝鮮からの幅広いサイバー活動に注意する必要があります。 大まかに言えば、すべてのセクターの組織は、ランサムウェアの適応性を常に認識し、脅威の進化に応じてサイバーセキュリティ戦略を変更する必要があります。