この調査では、Insikt Groupは、サードパーティのデータ、IPジオロケーション、Border Gateway Protocol(BGP)ルーティングテーブル、ネットワークトラフィック分析、およびいくつかのツールを使用してオープンソースインテリジェンス(OSINT)を分析することにより、北朝鮮の上級管理職のインターネット活動を調査しました。 本レポートで分析したデータは、2019年1月1日から2019年11月1日までのものです。

このレポートは、テクノロジー、金融、防衛、暗号通貨、物流セクターの政府部門や組織だけでなく、北朝鮮の制裁回避、違法な資金調達、国家が支援するサイバースパイ活動を調査する人々にとっても最も興味深いものとなるでしょう。

Executive Summary

過去3年間、Recorded Futureは、北朝鮮の最高指導者の行動に関する独自の洞察を明らかにする一連の研究記事を発表してきた。 2019年の私たちの観察と調査結果は、これらの観察結果を拡張して、北朝鮮の指導者がインターネットをどのように使用しているかについて、より広範な結論を示しています。 北朝鮮の政治・軍事エリートにとって、2019年のデータは、インターネットが単なる魅力や余暇活動ではなく、収益の創出、禁止されている技術や知識へのアクセス、運用上の調整のための重要なツールであることを示している。

さらに、北朝鮮は、多国籍組織や西側諸国によって課せられた国際的な金融統制や制裁体制を回避するためのインターネットベースのモデルを開発したと評価する。これには、 インターネットを収益創出のメカニズム としてだけでなく、北朝鮮の核・弾道ミサイル計画の開発や サイバー作戦 を可能にするものなど、 禁止されている知識やスキル を習得するための手段として利用することも含まれます。このモデルでは、収益を生み出すために 3 つの主要な手口、戦術 — インターネット対応の銀行窃盗。暗号通貨とブロックチェーン技術の使用と活用。低レベルの情報技術(IT)業務と金融犯罪。

最も基本的な点では、北朝鮮は、制裁回避のメカニズムとしてインターネットを活用するモデルを開発しましたが、これは特徴的ですが、例外ではありません。 このモデルはユニークですが、再現可能であり、最も懸念されるのは、ベネズエラ、イラン、シリアなど、他の経済的に孤立した国々が、インターネットを使用して制裁を回避する方法の一例となることです。

主な判断

• 2017年以降、北朝鮮のネットワークとの間の活動量が300%増加していることが確認されています。 これは、ロシアがルーティングするTransTelekomインフラストラクチャの使用の増加、北朝鮮の未解決のIPスペースの一部の使用、トラフィック負荷の増加をサポートするための新しいメールサーバー、FTPサーバー、DNSネームサーバーの立ち上げなど、さまざまな要因によるものと評価しています。
• 生活パターンやコンテンツの変化が続いていることは、インターネットが北朝鮮の最高指導者にとってプロフェッショナルなツールになっている可能性が高いことを示している。 現在、インターネットの利用が最も高いのは平日の北朝鮮の勤務時間で、週末や午後遅くから夕方にかけて活動が最も多かった2017年から変化しています。
• 活動量の300%の増加、TransTelekomインフラストラクチャを介した追加の/24サブネットのルーティングによって提供される帯域幅と容量の増加、および以前は未解決のIPスペースの最近の利用と組み合わせると、インターネットはもはや単なる魅力や余暇活動ではなく、北朝鮮の指導者にとって重要なツールになっていると評価しています。
• 北朝鮮がDNS(Domain Name Service)を悪用して、独自のVPN(Virtual Private Network)を構築していることが分かりました。 このVPNは、DNSトンネリングと呼ばれる技術を使用しており、DNSプロセスをドメイン解決のためではなく、閉じたネットワーク内でデータを転送したり、トンネルを開いたりするために使用されることを指します。 この手法は、北朝鮮のユーザーが無防備なターゲットのネットワークからデータを盗み出すため、または政府が課すコンテンツ規制を回避する手段として使用される可能性があると評価しています。
• 金正恩政権が2019年中に残る4つの国営保険会社のアクセシビリティを向上させることに明らかに焦点を合わせているのは、2017年のKNIC制裁後の収益創出手段としての保険詐欺の再活性化と、北朝鮮の潜在的な投資家を安心させる試みの両方である可能性があると私たちは考えています。
• 2019年5月以降、北朝鮮のIP範囲からのMoneroマイニング活動が少なくとも10倍に増加していることが確認されています。 Moneroの匿名性と低い処理能力要件が、北朝鮮のユーザーにとってMoneroをビットコインよりも魅力的にしている可能性が高いと考えています。

背景

2017年4月以降の調査で示されているように、北朝鮮の最高幹部の中には、グローバル・インターネットへの直接アクセスを許可されている少数の人がいる。北朝鮮のインターネットユーザーの信頼できる数はないが、記者らは「ごく少数」から「北朝鮮指導部の側近」、さらには「ほんの数家族」まで推定している。正確な数に関係なく、北朝鮮のインターネットユーザーのプロフィールは明らかで、支配階級の家族または信頼できるメンバーである。

北朝鮮のエリートが世界のインターネットにアクセスする方法は、主に3つある。 最初の方法は、割り当てられた.kpを使用することです 範囲、175.45.176.0 / 22、これはまた、国内で唯一のグローバルなインターネットアクセス可能なWebサイトをホストしています。 これらには、co[.]KP、政府[.]kp、edu[.]kp、およびさまざまな北朝鮮の国営メディア、旅行、教育関連サイトの約25のサブドメイン。

2 番目の方法は、チャイナ ネットコムによって割り当てられた範囲 210.52.109.0/24 経由です。ネットネーム「KPTC」は、国営通信会社である 韓国郵政通信株式会社の略です。3 番目の方法は、ロシアの衛星会社が提供する割り当てられた範囲 77.94.35.0/24 を経由することであり、現在レバノンの SatGate に解決されています。

ここで注意したいのは、「北朝鮮のインターネット活動」や「行動」とは、北朝鮮の国内イントラネット(光明)ではなく、選ばれた少数の指導者や支配層エリートだけがアクセスを許されるグローバルなインターネットの使用を指していることである。 このデータでは、光明へのアクセスが許可されている大規模な北朝鮮人グループ、または北朝鮮に所在する外交機関や外国の施設によるイントラネットの活動や行動に関する洞察は得られません。

解析

インターネット利用の正常化

2018年10月のレポートで観察したように、2017年初頭に北朝鮮の指導者の行動を調査し始めて以来、インターネット活動の量は増加しています。過去3年近くの間に、北朝鮮のネットワークとの間の活動量は300%近く増加しました。 このインターネット利用の増加にはいくつかの理由が考えられると考えています。

まず、北朝鮮は世界のインターネットにアクセスするための帯域幅と容量を増やしました。2017年10月、北朝鮮は、最大のIP範囲である175.45.176.0/22のサブセットの1つにインターネットトラフィックをルーティングするために、ロシアのTransTelekom（ AS20485 ） という新しいパートナーを買収しました 。それ以前は、175.45.176.0/22全体からのすべてのトラフィック範囲はチャイナユニコム（AS4837）によってルーティングされていましたが、2019年9月初旬の時点で、175.45.178.0/24のみがルーティングされていましたサブネットはTransTelekomインフラストラクチャを使用したことがあります。

しかし、2019 年 9 月中旬に BGP ルーティング テーブルの変化が観察され、175.45.177.0/24サブネットはチャイナ・ユニコムからトランステレコムに完全に移行されていた。Hurricane Electric およびその他のサービスによって実行される traceroute と BGP ルート クエリの両方で、175.45.177.0/24サブネットは TransTelekom インフラストラクチャを通過するようになりました。

さらに、サブネット分析によると、北朝鮮の全インターネットトラフィックの45%がTransTelekomインフラストラクチャを通過しており、2018年初頭のわずか36%から増加しています。 この容量の増加は、過去1年間のインターネットトラフィック量の増加の少なくとも一部を占めていると評価しています。 TransTelekomとChina Unicomの両方のインフラストラクチャを介して別々のサブネットをルーティングすると、インターネット通信の遅延が減少し、北朝鮮の指導者ユーザーの速度とアクセシビリティが向上する可能性があります。

第二に、北朝鮮は過去6か月間に、これまで未解決の知的財産スペースの一部を使用し始めている。6月初旬、北朝鮮のネットワーク管理者は、kptc[.]KPドメイン。以前は、kptc[.]KP175.45.176.15 と 175.45.176.16 に解決されました。2019 年 6 月初旬の時点で、これらのネームサーバーは 175.45.177.15 と 175.45.177.16 に移動しました。それぞれ。6 月初旬以前は、これら 2 つの IP アドレスはまったく解決されませんでした。それ以来、これら 2 つの IP は 、SMTP (またはメール) サーバーと FTP サーバーとして追加の役割を果たしています。

これらの変化は、最初は些細なことのように思えるかもしれませんが、北朝鮮のユーザーに提供するサービスの拡大を意味しています。 私たちは、kptc[.]KPの ネームサーバーは、175.45.176.15 と 175.45.176.16 から移行されました。これは、これらの IP アドレスが伝統的に北朝鮮のインターネット トラフィックのインバウンドとアウトバウンドの両方でかなりの部分を処理していたためです。 過去3年近くにわたり、平均して175.45.176.15と175.45.176.16が北朝鮮のインバウンドおよびアウトバウンドトラフィック全体の30%を処理しており、2018年6月に評価した2台のマシンにとって大きな負荷が、海外ユーザーと国内ユーザーの両方にページの読み込み遅延と遅延の問題を引き起こした可能性が高い と評価しました 。

過去6ヶ月間に観察されたネットワーク管理の変化は、おそらく国内外の北朝鮮のユーザーからの需要の増加に対応したものだと評価しています。 たとえば、インターネットでアクセス可能なメールサーバーを設定すると、ユーザーはそのドメインのユーザーにメールを送信できるようにしたいと考えており、ユーザーはリモートでメールにアクセスできるようにしたいと考えています。 この需要の増加は、過去3年間のインターネット活動の300%の増加を通じて観察されており、これは北朝鮮のエリートの間でのインターネット使用の正常化と専門化も反映していると評価しています。

パターン・オブ・ライフ分析

過去3年間、私たちは北朝鮮の指導者たちの日常的なインターネット利用パターンの進化も監視してきました。 以下は、北朝鮮の指導者による1日のインターネット利用のパターンを1時間ごとに示した2つのグラフである。 最新のチャート(2019年1月から10月までのデータから作成)で注目すべきは、日々の活動のピークと谷のほとんどが緩和された度合いです。

2019年1月から10月までの時間別の毎日のインターネット使用量(平均ではありません)。

2018 年 3 月から 8 月までの時間単位の毎日のインターネット使用量 (平均ではありません)。

2019年、北朝鮮の指導者たちは、2017年に比べて、勤務時間中や勤務日の平均でインターネットを利用する回数が増えました(以下の日別活動状況のグラフを参照)。

2019 年 1 月から 10 月までの曜日別の 1 日あたりのインターネット使用量 (平均ではありません)。

2018 年 3 月から 8 月までの日別のインターネット使用量 (平均ではありません)。

このシフトは2018年に初めて観察されましたが、上記のデータは、これらの変化するパターンが異常ではなかったことを示しています。 現在、インターネットの利用が最も高いのは平日の勤務時間で、週末や午後遅くから夕方にかけて活動が最も多かった2017年からは大きく変化しています。

活動量の300%の増加、TransTelekomインフラストラクチャを介した追加の/24サブネットのルーティングによって提供される帯域幅と容量の増加、および以前は未解決のIPスペースの最近の利用と組み合わせると、インターネットはもはや単なる魅力や余暇活動ではなく、北朝鮮の指導者にとって重要なツールになっていると評価しています。

ツールとしてのインターネット

上記のすべての調査結果と以前の調査は、北朝鮮の指導者がインターネットを使用する方法について、はるかに広い結論を示しています。北朝鮮の政治・軍事エリートにとって、インターネットは重要なツールになっています。これには、 収入創出のメカニズムとしてインターネットを使用するだけでなく 、 北朝鮮の核・弾道ミサイル計画やサイバー作戦の開発を可能にするような禁止されている知識や技能を習得するための手段としてインターネットを使用することも含まれます 。

さらに、我々は、北朝鮮が多国籍組織や西側諸国によって課せられた国際的な金融規制や制裁体制を回避するためのインターネットベースのモデルを開発したと評価する。

収益創出

私たちは、北朝鮮モデルがインターネットベースの収益創出の主要な源泉として、3つの主要な運用上の柱を使用していることを立証しました。 これには、次のものが含まれます。

1. 銀行業務
2. 暗号通貨
3. 低レベルの情報技術(IT)業務と金融犯罪

銀行業務

国連安全保障理事会の北朝鮮問題専門家パネルによると、過去4年間で、少なくとも35カ国の金融機関と仮想通貨取引所が北朝鮮のサイバー作戦の被害に遭っており、金政権に20億ドルもの利益をもたらしている。金融機関に対する攻撃は、世界銀行間金融通信協会(SWIFT)ネットワークを介して行われており、北朝鮮の通信事業者はSWIFT端末に最初にアクセスした後、一連の不正取引を実行した。これらの取引は、被害者の銀行からダミーの口座に送金され、その後すぐに北朝鮮の工作員によって現金化されました。2018年9月に司法省が34歳の北朝鮮のオペレーター、パク・ジンヒョク氏を起訴した情報によると、通信事業者は北朝鮮のIPスペースを利用して、意図した被害者のウェブサイトにアクセスしたり、従業員にフィッシングメールを送信したり、ネットワーク偵察を行ったりすることが多い。

北朝鮮に起因する既知の銀行業務に関する公開情報と非公開情報の両方を調査することで、過去4年間の業務に関する一連の一般的な戦術、技術、手順(TTP)を特定しました。

• 我々は、これらの銀行業務は北朝鮮によって十分に研究され、資源が供給されていると評価している。 攻撃者は、標的のネットワーク内で9か月から18か月を費やし、さらなる偵察、横方向の移動、特権の昇格、各組織の特定のSWIFTインスタンスの調査、セキュリティ手順の無効化を行った可能性があります。
• 北朝鮮の攻撃者が 戦略的ウェブ侵害、ハッキング(SWC)を介して中央銀行または銀行規制当局のウェブサイトを標的にしていることを示す一連のデータが新たに現れていると考えています。 これらの Web 侵害、ハッキングは、銀行自体への後続の侵入の試みと、その後の不正な銀行間送金の試みを可能にした可能性があります。
• 公に帰属している銀行業務の中で、最初の攻撃ベクトルはスピアフィッシュ、つまり SWCでした。しかし、2018年にトルコの銀行に対する少なくとも1回の攻撃では、北朝鮮のオペレーターがスピアフィッシュを介して配信された 、これまで知られていなかったAdobe Flashエクスプロイト (またはゼロデイ)を利用しました。
• 破壊 的なマルウェア を使用して、侵入対応の取り組みを不正な取引から隠蔽またはそらすために使用された可能性がある少なくとも 2 つの事例を認識しています。
• 北朝鮮のSWIFTの不正取引は、対象国で休日や連休に行われていることが知られています。

暗号通貨

2017年7月、私たちは北朝鮮指導部の仮想通貨への関心と使用を示す最初の報告書の1つを発表しました。それ以来、北朝鮮は 韓国の仮想通貨取引所からの大規模な窃盗、 仮想通貨詐欺、 クリプトジャッキング、 仮想通貨マイニングに関与している。私たちの調査によると、北朝鮮は少なくとも3つの仮想通貨(ビットコイン、ライトコイン、モネロ)でコインをマイニング、盗難、生成し、国連が北朝鮮による仮想通貨の「恐喝」によって資金提供されたと評価したブロックチェーンベースの詐欺を少なくとも1件行っていることが実証されています。

2019年11月現在、ビットコインの小規模なマイニングが引き続き観察されています。 トラフィック量とピアとの通信速度は、過去 2 年間にわたって比較的静的なままですが、ハッシュ レートやビルドを特定することはできません。 この特定の採掘作業は、まだ小規模で、数台のマシンに限定されている可能性が高いと考えています。

しかし、2019年5月以降、2018年以降、Moneroのマイニング活動は10倍に増加しています。 2018年10月、北朝鮮のMoneroマイニング活動は、トラフィック量とピアとの通信速度の両方で、上記のビットコインマイニングと同程度でした。 私たちの評価では、2019年11月現在、Moneroのマイニング活動が少なくとも10倍に増加していることが観察されています。 すべてのアクティビティが1つのIPアドレスを介してプロキシされ、その背後に少なくともいくつかの未知のマシンがホストされていると思われるため、ハッシュレートを決定することはできません。

モネロは、ワナクライ攻撃によるビットコインの利益がビットコインミキサーを通じて洗浄され、最終的にモネロに変換された少なくとも2017年8月から北朝鮮の事業者によって使用されてきた。モネロは、モネロが 真に匿名であるという点でビットコインとは異なります。すべてのトランザクションはブロックチェーン内で暗号化されるため、トランザクションの送信者または受信者のみが他方を検出できます。Monero は、 非専門マシンでマイニング できるように設計されており、マイニング ポートは容量に応じて拡張される傾向があるという点でも異なります。たとえば、多くのマイナーは、ローエンドのマシンには ポート 3333 を使用し、ハイエンドで大容量のマシンには ポート 7777 を使用します。

2018 年と同様に、ポート 7777 でのマイニングの増加が観察されましたが、これは、より大容量のマシンがマイニングを行っており、ハッシュ レートも高いことを示唆しています。私たちが観察したポート番号とアクティビティは、ハッシュレートを決定するには不十分であり、マイニングが行われているということしか評価できませんでした。しかし、匿名性と 非特殊なマシン でマイニングできるというこの2つの要素が、北朝鮮のユーザーにとってビットコインよりもモネロを魅力的にしている可能性が高いと考えています。

2019年8月の国連専門家パネル中間報告書によると、ある加盟国がパネルに「朝鮮民主主義人民共和国軍の専門部門」も仮想通貨マイニングに従事していると特定した。北朝鮮の知的財産空間から観察されたビットコインまたはモネロのマイニング活動が、この軍部門によって行われている可能性があります。しかし、私たちが持っているデータ以上の洞察はなく、どの北朝鮮のエンティティが観察された採掘に責任があるかを確認することはできません。

北朝鮮のオペレーターはまた、被害者をだまして悪意のある暗号関連ソフトウェアをインストールさせることを目的とした多くの秘密手法を採用しています。クリプトジャッキングとして知られる1つは、知らないユーザーのコンピューターを乗っ取って暗号通貨をマイニングするもので、韓国と世界のユーザーを強く標的にしています。クリプトジャッキングにより、攻撃者は被害者のマシンのコンピューティング能力とエネルギーを活用できるため、暗号通貨のマイニングの機会費用が大幅に削減されます。

2018 年後半に登場した 2 番目の手法は、「取引アプリケーション」と呼ばれる一般的な暗号通貨ツールの悪意のあるバージョンを利用しました。この場合、北朝鮮のオペレーターは、多数の暗号通貨を取引するための単一のポイントを提供する合法的で機能的なアプリケーションを開発しました。インストール時に、アプリケーションはアップデートをチェックし、代わりに FALLCHILLと呼ばれる有名な北朝鮮のリモートアクセストロイの木馬(RAT)をインストールしました。この悪意のある取引アプリケーションは、標的の暗号通貨取引所のネットワークへのアクセスを促進しましたが、この場合、攻撃が成功したかどうかは明らかではありません。

ブロックチェーン分析会社Chainalysisは、 2019年3月に 同様の 手法 を使用して、シンガポールを拠点とするDragonExと呼ばれる取引所から複数の仮想通貨で約700万ドルを盗んだことを文書化しました。この場合、北朝鮮のオペレーターは Worldbit-botと呼ばれる機能的な自動仮想通貨取引ボットを作成し、そこにはDragonExネットワークへのアクセスを容易にし、最終的に700万ドル相当のコインの盗難を容易にするRATも含まれていました。

私たちは、暗号通貨は、独立した規制の緩い情報源として、北朝鮮にとって貴重なツールであると評価しています 情報源 収益創出のだけでなく、違法に得た資金を移動および使用する手段としても使用します。 国連は、「仮想通貨攻撃により、北朝鮮は攻撃の収益を海外でより容易に使うことができる」と 結論付け ており、北朝鮮は資金追跡の試みを回避するために、数千件の取引を開始し、複数の国を経由し、異なるコインに換算するなど、多大な手段を講じていると結論付けた。

低レベルのIT業務と金融犯罪

2012年頃から記者、学者、研究者が実施した一連の脱北者インタビューにより、北朝鮮のサイバー作戦の目標と人員配置が外部に垣間見えるようになった。脱北者たちは 、金政権に収入をもたらすという包括的な目標を任務とする、 海外の 施設に住むオペレーターとプログラマーの 大部分で構成され る北朝鮮の作戦機構の全体像を構築した。

脱北者らは、ビデオゲームの偽造やユーザー詐欺が金政権の収益創出にとってどれほど重要になっているかを詳述している。他の数十人の北朝鮮ハッカーと一緒に中国の家で働いていた脱北者の一人は、これらの男性は年間10万ドル近くを稼ぐ必要があり、その80%は金政権に送還されたと報告した。この要件を満たすために、男たちは偽造ビデオゲーム、武器、ポイント、ギアなどのデジタルアイテムを盗み、利益のために転売し、ゲームソフトウェアの新しい脆弱性を発見して販売するボットを作成しました。さらなる報道により、北朝鮮の事業者が資金を生み出すために韓国の オンラインカジノ、 ゲーマー、 現金自動預け払い機(ATM)ユーザー も標的にしていることが確認されている。

2018年9月、 ウォール・ストリート・ジャーナル は、北朝鮮の工作員がUpWorkやFreelancerなどの「ギグエコノミー」ITフリーランスウェブサイトを利用して、無知なグローバルユーザーに求人を勧誘していたと報じた。特に、一部の仕事には、「カナダの電子商取引プラットフォーム Shopify での大量購入を容易にするボット」などの Web サイトやアプリケーションの開発が含まれていました。米国の求人検索会社のウェブサイト。そしてグラフィックデザインプロジェクト。」この場合、これらの北朝鮮人は中国北東部の瀋陽という都市で活動していました。

これは、サイバー作戦を行うために北朝鮮人を海外に派遣することに完全ではないが大きく依存している 作戦モデル の全体像を描いている。

禁止されている技術や知識へのアクセス

脱北者らは、金政権のサイバー作戦において 外国 が果たしている役割についても、その多くは知らず知らずのうちに果たしている役割についても幅 広く語 っている。サイバーの観点から見ると、金政権は第三国を利用して、国家支援の事業者を 訓練 し、 受け入れ ている。

北朝鮮は、サイバー事業者を訓練するために第三国を悪用しているだけでなく、国連の制裁で禁止されている核関連の知識を入手するためにも利用しているかもしれません。2017年9月の調査で、ウォールストリートジャーナルは、北朝鮮人が「高度な物理学、高度なコンピューターシミュレーションおよび関連するコンピューターサイエンス、地理空間ナビゲーション、原子力工学、航空宇宙工学、航空工学、航空工学、および関連分野の教育または訓練を含む、北朝鮮による機密核活動の拡散または核兵器運搬システムの開発に貢献する可能性のある」科目について、特に中国で留学していることを発見しました。

さらに、脱北者からは、サイバーオペレーターは大学卒業後、高度な訓練を受けるために海外に派遣されることが多いと 報告されています 。亡命者が明示的に挙げた国には、中国、ロシア、インドなどがある。

北朝鮮人を海外に派遣してサイバー作戦を訓練し実施させるというこの 作戦モデル は、これらのハッカーが政権のために金を稼いだ手段と、私たちが分析した北朝鮮のエリートウェブトラフィックを比較する場合に特に重要になります。以前の研究では、世界中の国々における北朝鮮の重要な物理的および仮想的な存在を特定するためのヒューリスティックを開発しました。そのヒューリスティックには、これらの国との間で北朝鮮が行く平均以上のレベルのインターネット活動が含まれていましたが、報道機関、地方自治体、地方自治体、地元の教育機関など、多くの地域リソースの閲覧と使用も含まれていました。

この技術により、北朝鮮人が物理的に居住している、または居住している可能性が高い国を特定することができました。 2019年を通じて、私たちは技術とこの分析を洗練させ続け、2019年には主に、インド、中国、ネパール、ケニア、モザンビーク、インドネシア、タイ、バングラデシュの8カ国で観察された活動の継続を観察しました。 しかし、この分析は過去には有用であったが、2つの理由から、これらの国々における北朝鮮の行動について、徐々に実質的な洞察が得られなくなってきた。

第一に、北朝鮮の支配層エリートが一様に強力なインターネットセキュリティ手続きを実践しているわけではないにもかかわらず、北朝鮮の人々とすべてのインターネットユーザーの両方にとって、広範な傾向はセキュリティの強化に向かっている。 これは、北朝鮮のインターネット活動を追跡し、新たな洞察を明らかにすることが、時間の経過とともに難しくなっていることを意味します。

次に、大手テクノロジー企業は、DNS、コンテンツ配信、クラウドサービスなど、ますます幅広いサービスを顧客に提供しています。 ネットワークの観点からは、一般的なDigitalOcean、Cloudflare、またはGoDaddyインフラストラクチャの背後にあるエンドコンテンツを見分けることは非常に困難です。 ポートやプロトコルでさえ、提供されるデータ量は限られており、多くの場合、DigitalOceanボックスで終了するセッションでは何も表示されません。

我々のデータに基づき、我々は、中国とインドの両方が、故意にせよ無意識にせよ、北朝鮮の作戦をホストし、可能にしていると評価し続けている。 特にインドは、北朝鮮のサイバー作戦のホストであり、被害者であり続ける可能性が高い。

運用上のセキュリティ

2018年初頭、私たちは、北朝鮮の人々が、仮想プライベートネットワーク(VPN)、仮想プライベートサーバー(VPS)、トランスポート層セキュリティ(TLS)、オニオンルーター(Tor)などの運用セキュリティ技術の使用を劇的に増加していることに気づきました。 2018 年後半までに、運用上安全な行動は、トラフィック全体の 13% から 5% 強にまで減少しました。 私たちは、北朝鮮の指導者による安全なブラウジング技術の使用を監視することは、技術に精通していることと対応力があること、そしてエリートの行動に対する国家レベルのコントロールの程度という2つのことの指標であると考えています。

2019年には、安全なブラウジング技術の使用が全インターネットトラフィックの9.5％にわずかに回復しました。その中で、HTTPSは北朝鮮の指導者によって最も広く使用されていました。これはおそらく、世界の上位100万のWebサイトのほぼ半分がデフォルトでHTTPSに設定されているという事実によるものです。

2019年に北朝鮮の作戦上のセキュリティ行動に観察されたもう一つの変化は、DNSトンネリングの組み込みです。DNS(ドメインネームシステム) は、コンピュータがドメイン名(pyongyangtimes[.]com[.]kp、たとえば)をIPアドレス(175.45.176.67)に置き換えます。DNS の本来の目的は、ドメインと IP アドレスの検索と関連付けを容易にすることであり、そのプロセスをセキュリティで保護することではなかった。その結果、DNS はネットワークの運用にとって非常に重要であるため、DNS ポート (通常はポート 53) は開いたままになり、トラフィックは比較的精査されません。DNS トンネリングとは、DNS プロセスがドメイン解決ではなく、ネットワークまたはデバイス間のデータ転送またはトンネリングに使用される場合です。

北朝鮮の場合、2019年半ばにユーザーがDNSトンネリングを導入していることが確認されました。繰り返しになりますが、DNS は通常、精査が軽いため、ファイアウォールやサービスの制限を回避するための理想的なプロトコルであり、DNS トンネリング ツールキット は広く利用可能です。DNSトンネリングは新しい技術ではありませんが、北朝鮮のユーザーが採用したのはつい最近のことだと考えています。北朝鮮のDNSトンネリング活動の場合、宛先IPの大部分はVPNエンドポイントとMicroTikデバイスとしてShodanによって識別されており、このソリューションが代替VPNとして意図されている可能性が高いことが示されました。

DNSトンネリングはほとんどの平均的なインターネットユーザーが慣れ親しんでいる技術ではないため、この特定の手法を使用すると、一部の北朝鮮のエリートインターネットユーザーがどれほど技術的に精通しているかを知ることができます。 私たちは、リーダーシップがDNSトンネリングを採用する理由が2つあると評価しています。

1. 侵入アクティビティを難読化するため。 DNSトンネリングは、被害者のネットワークからデータを盗み出したり、感染したエンドポイントとC2(コマンド&コントロール)サーバーとの間に通信チャネルを作成したりするために使用できます。 DNS経由の悪意のある通信は、ほとんどの組織がネットワーク接続を容易にするために寛容なDNSセキュリティポリシーを採用しているため、ブロックまたは特定される可能性が低くなります。
2. 政府が課すセキュリティ管理またはコンテンツ制限を回避するため。北朝鮮のインターネットユーザーは最高位の指導者階級のメンバーであるが、金政権が許可している範囲外のコンテンツにアクセスしたいと思う人もいる可能性がある。たとえば、2016年に金政権が国内ユーザーのFacebook、YouTube、Twitterへのアクセス をブロックし始めた ことはわかっています。しかし、ネットワークトラフィック分析を使用することで、それ以来、北朝鮮のユーザーがこれらのプラットフォームを閲覧していること が観察されています 。DNS トンネリングは、より精通したインターネット ユーザーが、めったに制限されないプロトコルを使用して、このようなコンテンツ制限やその他のセキュリティ制御を回避する方法になる可能性があります。

北朝鮮のインフラを標的としたDDoS攻撃

北朝鮮のWebサイトがサービス拒否(DoS)攻撃や分散型サービス拒否(DDoS)攻撃の標的になることは珍しくありません。 たとえば、5月28日、平壌タイムズ、ネナラ、およびいくつかの北朝鮮の保険会社のWebサイトをホストしていた175.45.176.67は、1時間続くDDoS攻撃の標的となり、DNSトラフィックレベルは少なくとも毎秒550メガビットの観測速度でピークに達しました。 DNSフラッディングは、北朝鮮のインフラストラクチャに対して利用される最も一般的なタイプのDDoSです。

2019年4月下旬から、世界161カ国のデバイスから発せられ、北朝鮮の1つのIPアドレスを標的とした協調コ ネクションレスLDAP(CLDAP) アクティビティの急増によって特定された、独特のタイプのDDoS攻撃が観測されました。この活動は北朝鮮現地時間の正午頃に始まり、わずか25分間しか続かず、CLDAPトラフィックレベルは少なくとも毎秒1.5ギガビットの観測速度でピークに達し、北朝鮮本土でホストされるIPアドレス空間で観測された毎日の基準よりも数桁高い。

CLDAP は通常、Active Directory からのユーザー名やパスワードへのアクセスなどのディレクトリ サービスのために企業ネットワークで使用されます。しかし、2016 年と 2017 年に、セキュリティ企業は CLDAP と LDAP が DDoS 攻撃で悪用されているのを目撃し始めました。DDoS over CLDAP を実行する手法では、攻撃者は、コネクションレス LDAP サービスが実行されているオープン リフレクター サーバーへの CLDAP 要求で、情報源の IP アドレスを意図した被害者の IP アドレスに置き換えるだけで済みます。 スプーフィングされたアドレスは、CLDAP リフレクター サーバーをだまして、 CLDAP 対応 リクエスターではなく、意図した被害者に返送します。

また、CLDAP 要求パケットの平均サイズは約 80 バイトで、対応する応答パケットの平均サイズは約 1472 バイトであることもわかりました。これは、DDoS 攻撃の 40 分間に攻撃者によって約 18 倍の増幅係数が達成されたことを意味します。2017 年のインタビューで、Akamai のセキュリティ対応者は、これまで観測した中で最大の CLDAP 攻撃は毎秒 3 ギガビットの速度を達成し、その規模の攻撃は「小規模なサイトをオフラインにし、他のサイトに遅延の問題を引き起こす可能性がある」と評価しました。

観測された攻撃の速度は毎秒1.5ギガビットであり、少なくとも北朝鮮の一般向けインターネットインフラストラクチャに混乱を引き起こすのに十分であると評価しています。

2019 年 4 月下旬に北朝鮮のグローバル インターネットに面したインフラストラクチャに対して使用された反射型 DDoS 増幅攻撃手法の最上位図。 また、2019年5月7日の朝に40分強続いた攻撃と、翌5月8日の夕方に約1時間続いたもう1つの、反射型CLDAP DDoS増幅攻撃の疑いがさらに2つあることも特定しました。 これらの攻撃はどちらも、使用される一意のCLDAPリフレクターサーバーの数という点では桁違いに小さかったのですが、データサイズの相対的なCLDAP増幅率は18倍で一貫していました。 興味深いことに、5月8日の攻撃で使用されたリフレクターサーバーのほぼすべてが、その前日の北朝鮮のIPに対する攻撃でも使用されていました。 さらに、使用されたリゾルバの総数には桁違いがあるにもかかわらず、5月7日の攻撃で使用されたリゾルバの62%が、それ以前の4月23日の攻撃でも使用されていたことが判明しました。

4月と5月の攻撃を誰が実行したのかについての情報はありません。 繰り返しになりますが、DDoS攻撃は北朝鮮では珍しいことではなく、プロトコルの独自性と攻撃率という理由だけで、今回の攻撃を探求することを選択しました。

北朝鮮の保険業界

北朝鮮は2019年に保険業界のデジタル化と国際化を開始したが、これはおそらく外国投資の増加を促し、金正恩政権に不正に収益をもたらすためであると評価している。

NKニュースによると、北朝鮮には5つの保険会社があります。

1. 韓国国民保険公社(KNIC)は、1947年に設立された損害保険
2. 2015年5月設立のレインボーインターミディエイターズ、消防、自動車、請負業者、機械故障、生命、旅行、人身事故、観光客、再保険
3. 2016年10月に設立されたSamhae Insurance Companyは、船体、貨物、賠償責任、航空
4. 2016年8月に設立されたPolestar Insurance Companyは、火災、エンジニアリング、クレジット、農業の分野で保険および再保険サービスを提供しています
5. 2017年10月に設立されたFuture Re Companyは、自由貿易保険および条約再保険

2017年8月、 国連 はKNICを制裁対象に指定した エンティティ 偵察総局(RGB)のオフィス39とのつながりと、北朝鮮のミサイル計画への資金提供に関連する保険金請求詐欺への関与を理由に。 数年前に設立されたにもかかわらず、私たちのデータによると、最後の4つの保険会社は2018年末から2019年初めまで世界のインターネットに存在感を示していませんでした。

昨年、Samhae、Polestar、Future Reはすべて、グローバルなインターネットWebサイトとメールサーバーを買収しました。 2019年11月現在、3社すべてのWebサイトは175.45.176.67でホストされています。 Future Reは、2018年12月下旬に175.45.176.20にメールサーバーを設立し、2001年に北朝鮮初のインターネットサービスプロバイダー(ISP)の1つとなった中国の瀋陽に拠点を置くインターネット企業であるSilibankのメールサーバーもホストしています。 Silibankは、Rainbow Intermediariesを含め、北朝鮮の顧客向けに電子メールサービスを引き続き提供しており、Rainbow Intermediariesは、SilibankのドメインをWebページの電子メール連絡先としてリストしています。

2019年7月に NKニュース が撮影したレインボー仲介者のウェブサイトのスクリーンショット。保険会社4社すべてのグローバルインターネットインフラは、昨年中に構築されたばかりです。さらに、当社のデータは、2019年2月以降、インド、ロシア、イランのユーザーから、Future Reのメールサーバー、サムヘ、ポールスター、フューチャーのウェブサイトへのトラフィックが増加していることを示しています。独立した企業エンティティとは程遠い、 デジタルフットプリント 4つの保険会社すべては、同じインターネットインフラストラクチャから運営および管理されており、おそらく単一の州主導の取り組みを表していることを示唆しています。

2018年12月、ポールスターのキム・ギョンフン社長は、北朝鮮全土に11の支店と70の現地事務所を設立し、「国際的に有名な保険会社とのネットワークを構築する」ことで「サービスを国際市場にさらに拡大する」計画であると 述べ た。同様に、三海損害保険の社長は 韓国メディア に対し、同社は北朝鮮のすべての「主要港湾都市、漁業基地、輸送基地」に支店と代理店を構えており、同社は2018年11月に漁船の再保険を開始したと語った。

しかし、北朝鮮の保険会社が興味深い話題になっているのは、金政権の資金を生み出す上で北朝鮮の保険会社が歴史的に果たしてきた役割と、外国投資を促進するために北朝鮮の保険会社がどのように必要であるかということです。2017年、北 朝鮮の外交脱北者は 、金政権がKNICを利用して保険詐欺で年間数千万ドルを稼ぐ方法を次のように説明した。

「北朝鮮には国営保険会社が1社しかないため、事故をでっち上げても、その請求を検証する方法はありません。 国家インフラのための国際保険や再保険を購入した後、(疑惑の事故に関する)文書が偽造され、州は年間数千万ドルを稼いでいる。

30年間、主要な国営保険会社であるKNICは、国際再保険会社と購入した再保険契約を悪用して、虚偽の可能性のある保険金を提出し、金政権に数千万ドルの利益をもたらしてきた。タイムズ紙によると、2014年、KNICの世界資産は7億8,700万ポンド、つまり約13億ドルに達しました。

北朝鮮の保険詐欺の検証可能な事例を見つけるのは困難ですが、過去10年間に、この詐欺の範囲の可能性を示すいくつかの事例があります。2011年、マレーシアと北朝鮮の共同建設会社は、ウガンダの首都郊外に213戸のコンドミニアムを建設する1,800万ドルの契約を獲得した。翌年の間に、 建設会社は 一連の過大評価された保険契約を購入し、工事が始まる前に20%の前払いを受け取りました。長年にわたる交渉、裁判、そして詐欺の可能性を経て、2018年、北朝鮮所有の建設会社とウガンダの住宅公社は、コンドミニアムを完成させず、数百万ドルの保険金を請求することなくプロジェクトから撤退した。

最も 悪名高い事件の1つとして、KNICは2005年に平壌で緊急救援物資が保管された倉庫が破壊されたヘリコプター墜落事故による損害賠償請求を提出した。KNICは、国際保険会社のコンソーシアムと約6,000万ドルの商品に保険をかけていた。保険会社は物的損害の誇張と疑わしい文書を理由に数年間支払いを拒否したが、最終的には 5,700万ドル近くでKNICと和解した。当時、北朝鮮は西側の保険会社と約1億5000万ドル相当の請求を多数追求していると考えられていた。

一部の 中国投資家によると、こうした保険会社の追加は、北朝鮮の投資に対する信頼を高める効果もある可能性があるという。具体的には、「新しい保険仲介業者は、北朝鮮経済内の商業サービスにおける複雑さと競争の増大の兆候を示している」と述べている。

金正恩政権が2019年中に残る4つの国営保険会社のアクセシビリティを向上させることに明らかに焦点を当てているのは、2017年のKNIC制裁後の収益創出手段としての保険詐欺を活性化し、北朝鮮の潜在的な投資家を安心させる試みである可能性があると私たちは考えています。

今後の展望

過去2年半にわたり、北朝鮮に関する私たちの調査は、北朝鮮の最高幹部のデジタルライフへの比類のない窓を提供してきました。私たちは、「最大圧力キャンペーン」の期間、ミサイル発射と実験活動が最も多かった期間、米国と北朝鮮の首脳間の 史上初の一連の首脳会談 など、米朝関係におけるユニークな時期の指導者の活動を追跡および分析してきました。

この調査シリーズの核心は、北朝鮮の最高指導者がいかに適応力があり、革新的であるかを示していることです。 彼らは、新しいサービスやテクノロジーが役立つときはすぐに受け入れ、そうでないときはそれらを捨てます。 金正恩政権は、インターネットを利用し、搾取するためのユニークなモデルを開発しました - それは犯罪シンジケートのように運営されている国家です。

北朝鮮はまた、多国籍組織や西側諸国が北朝鮮に課した制裁を回避するための、新しく創造的で革新的なインターネットベースのモデルを開発しました。 このモデルには、銀行強盗や詐欺などの露骨な犯罪と、暗号通貨マイニングやフリーランスのIT作業などの非犯罪活動の両方を通じて収益を上げることが含まれます。

このモデルは、北朝鮮の核・弾道ミサイル計画の開発や サイバー作戦 を可能にするものなど、 禁止されている知識や技能 を習得するための手段も提供する。北朝鮮は、最も基本的なものとして、インターネットを制裁回避のメカニズムとして活用するモデルを開発しており、独特ではあるが例外的ではない。このモデルはユニークですが再現性があり、最も懸念されるのは、制裁回避のためにインターネットを使用する方法について、他の財政的に孤立した国々の例として役立つ可能性があります。

私たちは、他の孤立した国々が、北朝鮮が利用したのと同じ犯罪的および非犯罪的な手法の一部を使用して、収入を生み出し、自国の制裁を回避するのを目にし始めると信じています。

たとえば、2019年の間に、イランは国際決済を促進し、米国の金融管理を回避する方法として暗号通貨を追求し始めたと評価しています。1月の ニューヨーク・タイムズ紙の記事 によると、ヨーロッパとアジアのビジネス関係者は「ますます協力的」で、イラン企業への支払いに仮想通貨を使用することを支持している。7月、イラン政府は金に支えられる国内仮想通貨を 発表 した。そして8月には、イランは 仮想通貨マイニングを産業として合法化した 。

ネットワーク防御に関する推奨事項

Recorded Futureは、組織がネットワーク上での潜在的な北朝鮮の活動を特定する際に、次の措置を講じることを推奨しています。

• 侵入検知システム (IDS) と侵入防止システム (IPS) をアラートとして設定し、確認後に、次の著名な北朝鮮の IP 範囲からの接続試行をブロックすることを検討してください。
• 175.45.176.0/22
• 210.52.109.0/24
• 77.94.35.0/24
• 具体的には、北朝鮮の暗号通貨マイニングの取り組みを検出して防止するには、侵入検知システム(IDS)と侵入防止システム(IPS)を設定して、TCPポートを介してネットワークに接続している次の著名な北朝鮮のIP範囲からの不正な接続試行を警告し、レビュー後にブロックすることを検討してください。
• ビットコインの8332および8333
• Monero の 18080 および 18081
• ライトコインの9332および9333

手記: 前述のポートは、特定の暗号通貨に対して構成されたデフォルトのポートです。暗号通貨マイニングソフトウェアがデフォルトのポートをオーバーライドするように変更されている可能性は十分にあります。さらに、エンタープライズ構成に基づいてリストされたポートで動作するように他のサービスも構成されている場合があるため、リストされたポート上のネットワークトラフィックのIDSおよび/またはIPSアラートで誤検知が発生する可能性があります。

• DNSトンネリングは、ネットワークトラフィックログまたはパケットキャプチャを調べることで検出できます。高スループットのDNSトンネリング（このケースで北朝鮮のユーザーについて確認しました）は、通常、「（1）ボリューム、（2）メッセージの長さ、（3）メッセージ間の平均時間の短縮」という点でDNSトラフィックに大きな変化をもたらすため、検出できます。
• 一般的なDNSセキュリティの場合:
• DNS ファイアウォールまたはフィルター (DNS 応答ポリシー ゾーン (RPZ) など) を DNS インテリジェンス フィードと共に使用します。
• すべてのDNSリクエストと接続をログに記録し、ログを保持して将来の調査を可能にします。 可能であれば DNSSEC を使用してください。
• 潜在的なCLDAP DDoS攻撃から防御するには:
• CLDAP サービスをグローバルインターネットに公開しないでください。 これにより、これらのマシンが無意識のうちにCLDAP DDoS攻撃に参加していないことが保証されます。 DDoS軽減サービスを採用します。
• 組織のVPNサービスとプロトコルを把握し、非標準のVPNトラフィックをブロックまたは慎重に精査します。
• ネットワーク内から暗号通貨マイニングソフトウェアがダウンロードおよび操作される可能性に対抗するために、企業全体にソフトウェアホワイトリストプログラムを実装することを検討してください。
• 多くの暗号通貨マイナーは、調整のためにインターネットリレーチャット(IRC)を使用しています。 IRCが企業に必要なアプリケーションでない限り、IDSおよびIPSを介してデフォルトのIRC TCPポート6667をブロックすることを検討し、IRCを使用した暗号通貨マイニングアクティビティを軽減することを検討してください。
• 北朝鮮のオペレーターは、特に金融機関と韓国を標的とした作戦で、FlashとSilverlightの両方のエクスプロイトを一般的に利用してきました。 Recorded Futureは、これらのプログラムに頻繁にパッチを適用するか、一般的に使用を軽減することを推奨しています。

さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。

• すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
• 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
• システムのバックアップを定期的に作成し、バックアップをオフライン、できればオフサイトに保存して、ネットワーク経由でデータにアクセスできないようにする。
• 綿密なインシデント対応とコミュニケーション計画を立てる。
• 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできる人は、どのデータにアクセスできるかを調べます(たとえば、フィッシングによるデバイスやアカウントの乗っ取りなど)。
• 役割ベースのアクセス、全社的なデータアクセスの制限、機密データへのアクセス制限の導入を強く検討する。
• ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
• ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
• パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。