インターネット利用のパターンの変化は、適応力があり革新的な北朝鮮の支配層エリートを露呈している

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

_Scope Note: Insikt Group examined North Korean senior leadership’s internet activity by analyzing third-party data, IP geolocation, Border Gateway Protocol (BGP) routing tables, and open source intelligence (OSINT) using a number of tools. The data analyzed for this report spans from March 16, 2018 through August 30, 2018.

このレポートは、テクノロジー、金融、防衛、暗号通貨、物流セクターの政府部門や組織だけでなく、北朝鮮の制裁回避、違法な資金調達、国家支援のcyberespionage._を調査する人々にとっても最も興味深いものとなるでしょう

Executive Summary

Over the course of the past year and a half, Recorded Future has published a series of research pieces revealing unique insight into the behavior of North Korea’s most senior leadership. We discovered that North Korea’s ruling elite are technologically savvy, use a full range of older and cutting-edge computers, phones, and devices, use the internet as a tool for sanctions circumvention, and recently shifted to embrace Chinese social networking services over Western ones.

In this final piece in our series, we explore the persistence of trends in internet security, social media use, and cryptocurrency, and reveal greater insight into the way North Korea uses the internet to generate revenue for the Kim regime. In particular, shifting patterns in the ruling elite’s internet usage reveal just how adaptable and innovative North Korea’s most senior leadership are. The Kim regime has developed a model for using and exploiting the internet that is unique, and leadership are quick to embrace new services or technologies when useful and cast them aside when not.

背景

As our research since April 2017 has shown, there are a select few among North Korea’s most senior leadership who are allowed direct access to the global internet. While there are no reliable numbers of North Korean internet users, reporters estimate anywhere from “only a very small number,” to “the inner circle of North Korean leadership,” to “just a few dozen families.” Regardless of the exact number, the profile of a North Korean internet user is clear: they are a trusted member or family member of the ruling class.

There are three primary ways North Korean elites access the global internet. The first method is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only internet-accessible websites. These include nine top-level domains such as co.kp, gov.kp, and edu.kp, and approximately 25 subdomains for various North Korean state-run media, travel, and education-related sites.

The second method is via a range assigned by China Netcom, 210.52.109.0/24. The netname “KPTC” is the abbreviation for Korea Posts and Telecommunications Co., the state-run telecommunications company. The third method is through an assigned range, 77.94.35.0/24, provided by a Russian satellite company, which currently resolves to SatGate in Lebanon.

Timeline of events involving North Korea’s IP ranges from March through August 2018.

Additionally, as we identified back in April, the 175.45.176.0/22 range is routed by both China Unicom (AS4837) and Russia’s TransTelekom (AS20485). Of the four subnets of this range (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24, and 175.45.179.0/24), we continued to observe only the 175.45.178.0/24 being routed through TransTelekom; the other three were exclusively routed by China Unicom.

Note: From this point on, when we refer to “North Korean internet activity” or “behavior,” we are referring to the use of the global internet, for which only select few leaders and ruling elite are permitted access, not the North Korean domestic intranet (Kwangmyong). This data does not give us any insight into intranet activity or behavior by the larger group of privileged North Koreans who are permitted access to Kwangmyong, or diplomatic and foreign establishments that are located in North Korea.

Internet Usage Consistent — Pattern Shifts Since April 2017

North Korean leaders’ distinct patterns of daily internet usage have remained consistent since April 2017. Generally, the times of highest activity are from approximately 8:00 AM through 8:00 PM or 9:00 PM.

2018 年 3 月から 8 月までの時間単位の毎日のインターネット使用量 (平均ではありません)。

しかし、活動のピークの日は時間とともに変化しています。 2017年は、土曜日と日曜日が一貫して最も活動量の多い日でした。 特に、土曜日の夜と日曜日の早朝は、主にオンラインゲームやコンテンツストリーミングで構成されるピークがありました。 2018年の間に、このパターンは変化し、従来の平日(月曜日から金曜日)のインターネット利用は増加し、週末の利用は減少しました。 土曜日と日曜日は、コンテンツストリーミングとゲームが依然として支配的です。しかし、これは昨年観測されたよりも、毎週のインターネット利用全体に占める割合は小さくなっています。

2018 年 3 月から 8 月までの時間単位および日単位 (平均ではない) の 1 日あたりのインターネット使用量。

2018年3月以前からの時間別の1日あたりのインターネット使用量(平均ではありません)。

While the drivers of this shift are unknown, this adjustment over time indicates that internet use has become a greater part of North Korean leaders’ workday. In August 2018, North Korea completed external construction of its new Internet Communication Bureau headquarters, located in Pyongyang. According to North Korea Tech, the purpose of the new headquarters is not clear, but it may be focused on access to the global internet.

It appears the new building plays a part in facilitating Pyongyang’s connection to the greater global internet, but its exact role hasn’t been reported. It could perhaps be meant to hold servers that provide the handful of sites that Pyongyang has on the web, or as a gateway center to monitor and help control all traffic flowing between North Korea and the rest of the world.

It is possible that this shift in usage patterns combined with the completion of the Internet Communication Bureau headquarters could signify a professionalization of internet use across North Korea’s most senior leadership. This would mean that these leaders utilize the internet to a greater extent as part of their jobs, as opposed to for their own entertainment.

運用上のセキュリティ行動が中程度

4月の分析では、北朝鮮のインターネットユーザーの間で2つの劇的な行動傾向が見られました。 1つ目は、VPN(Virtual Private Networks)、VPS(Virtual Private Servers)、TLS(Transport Layer Security)、Tor(The Onion Router)などの運用セキュリティ技術の使用が著しく増加したことです。 4月には、北朝鮮の指導者によるこれらのサービスの利用が1,200%増加したことが確認され、これは、主に保護されていないインターネット活動を行うという以前の行動から大きく逸脱していることを示しています。

それ以来、運用上のセキュリティ対策の急増は緩やかになりました。 2018年初頭、難読化されたブラウジングは、北朝鮮の指導者によるインターネット活動全体の13%を占めていました。 2018年9月までに、その割合は5%強に減少しました。 以前は、難読化されたインターネット活動の63%をVPN技術の使用が占めていました。 その後の6か月間で、北朝鮮の指導者の間でのVPNの使用は、難読化された活動のわずか50%に減少しました。 HTTPS(ポート443経由)またはセキュアブラウジングの使用は、運用上安全なブラウジングの49%に増加しました。 しかし、全体としては、VPNの使用の減少が難読化ブラウジングの減少の大部分を占めています。

北朝鮮の指導者によるVPN使用のこの減少の理由は、私たちのデータですぐには明らかになりません。 一方では、VPNプロトコルの中には、計算量が多いものや信頼性が低いものもあり、ほとんどのプロトコルは サブスクリプションと定期的な支払いが必要であり、多くのプロトコルにはデバイス制限があるか、まだ暗号通貨を受け入れていません。 一方、ほとんどのVPNサービスプロバイダーには、アプリケーションと簡単に設定できる手順があります。さらに、VPNの価格はこれまでに下がったため、ユーザーは 評判が良く信頼性の高いVPNを 月額わずか3ドルで利用できます。

What is most likely is that North Korean internet users initially adopted stronger internet privacy methodologies because of an external stimulus or requirement. In April of this year, we assessed that this behavioral change was likely a result of increasing international attention on North Korea’s internet and media activities, new enforcement of an official ban, or a new operational security requirement.

北朝鮮のユーザーに要件やポリシーを課したことが、インターネットセキュリティの劇的な増加とそれに続くこの緩和の最も可能性の高い原因でした。 この要件は、北朝鮮の指導者によるセキュリティ対策の急増を引き起こしたと思われますが、その後、時間、お金、アクセシビリティのコストがメリットを上回り始めると、時間の経過とともに徐々に減少しました。

2018年初頭から中国のソーシャルメディアを継続して使用

2018年初頭、北朝鮮の人々は欧米のソーシャルメディアやサービスからほぼ完全に離れ、中国のソーシャルメディアやサービスに移行しました。 この変更は、2017 年後半から 2018 年初頭までの 6 か月間に発生しました。 北朝鮮の指導者たちは、フェイスブック、インスタグラム、グーグルなどのサービスから、バイドゥ、アリババ、テンセントなどの中国人が運営するサービスに突然切り替えた。

2018年3月1日以降、欧米のソーシャルメディアやサービスからの移行は続いています。 北朝鮮の指導者たちは、欧米や中国の他のどのサービスよりも2倍以上もアリババを利用している。 アリババでのアクティビティには、ビデオやゲームのストリーミング、検索、ショッピングが含まれます。

2018年3月1日から2018年8月28日までの8つのソーシャルネットワーキングサイト、ショッピングサイト、検索サイトでの1時間ごとのアクティビティ(実際)。 プロバイダーは、アリババ(最高)からInstagram(最低)まで、人気順にリストされています。

米国のサービスの大半では、北朝鮮のリーダーシップの使用が引き続き減少していますが、2018年4月以降、LinkedInの使用が増加していることが観察されました。 LinkedInでの活動量は、 2017年7月にFacebookやInstagramで観測されたレベルよりも少なかった。 ただし、LinkedInの使用は定期的であり、2018年8月にこのデータセットが終了するまで持続しました。 トラフィックレベルは、2017年の現在のLinkedInユーザーがFacebookユーザーよりもはるかに少ないことを示していますが、西洋のソーシャルネットワーキングサービスからの持続的な動きに対する興味深い対抗を表しています。

暗号通貨の搾取の増加

In our prior research, we discovered that North Korean leaders were mining both Bitcoin and Monero, albeit at a limited or relatively small scale. For this time period — March 2018 through August 2018 — the traffic volume and rate of communication with peers was the same for both coins as last year, and we were still unable to determine hash rates or builds. We believe these particular mining efforts are likely still small scale and limited to just a few machines.

What has changed dramatically over this March 2018 through August 2018 time frame, however, is the exploitation of cryptocurrencies, asset-backed “altcoins,” and the cryptocurrency ecosystem by North Korea.

In June 2018, we began to notice a number of connections and a large amount of data transfer with several nodes that were associated with the altcoin called Interstellar, Stellar, or HOLD coin. HOLD coin is known as an “altcoin,” which refers to any cryptocurrency other than Bitcoin including some of the more established and widely utilized coins like Monero, Ethereum, and Litecoin. There are over 1,000 altcoins, and most are variations on the Bitcoin framework.

2018年初頭、HOLDコインはステーキングと呼ばれる利息と初期収益を生み出すプロセスを経ました。 ステーキングとは、ユーザーが初期数のコインをマイニングするが、一定期間はそれらを取引できないことです。 その後、コインは価値とユーザーベースを構築できるため、コイン開発者は、任意の時点で取引できるウォレットを規制することでコインの価値を制御できます。 新しいまたは未知のアルトコインのステーキングに参加することは、開発者がステーキングの時間枠を制御し、コインの価値が下落したときに多くのユーザーが投資を失う程度まで取引を制限する可能性があるため、リスクを伴う可能性があります。

2018年の間に、HOLDコインは一連の 取引所に上場および上場廃止され、2018年8月にスワップとリブランディング(新しい名前は HUZU)を受け、この公開の時点で、HOLDの投資家は高く、乾燥しています。 私たちは、北朝鮮のユーザーがインターステラー、ステラ、またはHOLDアルトコインに関与していたと低い信頼性で評価しています。

編集者注: We have edited the above paragraph to clarify that the swap and rebrand from HOLD to HUZU appeared at the end of the report period.

私たちは、北朝鮮のために行われたと高い確信を持って評価している他のブロックチェーン詐欺が少なくとも1つ発見されました。 これは、Marine Chain Platformと呼ばれるブロックチェーンアプリケーションでした。

2018年8月にいくつかの ビットコインフォーラム で、暗号通貨としてのマリンチェーンの議論に出くわしました。 Marine Chainは、複数のユーザーや所有者が海上船舶のトークン化を可能にする資産担保型の暗号通貨であると考えられていました。 他のフォーラムのユーザーは、www[.]マリンチェーン[.]イオ別のサイトのほぼ鏡像でした、www[.]船主[.]イオ。

2018年4月の marine-chainのスクリーンショット[.]IOと船主[.]イオ フォーラム参加者によって提供されます。

marine-chain[.]イオ。

マリンチェーン[.]ioは、登録以来、4つの異なるIPアドレスでホストされています。 2018年4月9日から2018年5月28日まで、マリンチェーン[.]IOは104[.]25[.]81[.]109. この間、このIPアドレスは、allcryptotalk[.]網 2015年6月以来、新しいコンテンツを投稿していない、そしてBinary Tiltと呼ばれる詐欺的なバイナリーオプション取引会社のウェブサイト。 この会社はカナダのオンタリオ州政府によって詐欺であると宣言され、 数十人のユーザーが このサイトに数万ドルから数十万ドルの損失と 詐欺 の証言を投稿しています。

The Marine Chain website no longer resolves but was operated by a company called Marine Chain Platform. Aside from a LinkedIn page, the company had minimal online presence, no customer testimonials, and few staff. The Marine Chain LinkedIn page was synonymous with someone named Tony Walker, who claimed to be a “maritime industry blockchain specialist” and advisor to the CEO of Marine Chain Platform since May 2017.

2018年10月1日、LinkedInでMarine Chain Platformを検索すると、 HyoMyong Choiという別のアドバイザーもヒットしました。 チェ氏は、韓国の暗号通貨投資家、ICOのアドバイザー、エンジェル投資家として自分自身をリストアップしました。 彼はまた、InnoShore, LLCという別の会社の最高執行責任者(COO)として同時に雇用されていると自分自身をリストアップしました。

2018年10月1日からのチェ・ヒョミョンのLinkedInプロフィール。

2018年10月15日からのチェ・ヒョミョンのLinkedInプロフィール。 このスクリーンショットでは、Choi 氏は Marine Chain Platform と InnoShore, LLC の両方のエクスペリエンスを削除しています。

ウォーカー氏とチョイ氏は、シンガポール国立大学に通っていたと主張しており、同じ推薦者を多数持っている。 チョイ氏はエイドリアン・オン(Adrian Ong)としても知られており、それは彼の(おそらく偽の)Facebookページによって証明されている。 このアカウントは2018年3月に作成され、プロフィール写真は、韓国の学生が米国と英国の大学に通うのを支援する韓国企業の従業員から盗まれました。

チェ・ヒョミョン、またはエイドリアン・オンのFacebookページ(被害者のプライバシー保護のため顔を黒く塗りつぶしています)。

チョイ(オン氏)の友人は2人しかおらず、どちらも東南アジアにいて、大きなソーシャルネットワークを持っていました。 この2つのアカウント以外に、チェ氏(またはオン氏)は他のオンラインプレゼンスを持っていません。

私たちが追跡できたもう一人の著名なMarine Chain Platformの従業員は、CEOであるジョナサン・フォン・カー・ケオン船長でした。 彼のLinkedInの プロフィールによると、Capt. Foongは、何十年にもわたってシンガポールの海事業界で活躍してきました。 彼は現在、LinkedInのプロフィールにMarine Chainでのポジションを掲載していませんが、過去1年間に数多くのイベントで講演し、Marine Chainでのポジションやmarine-chainの創設者としてのポジションを繰り返し引用しています。イオ。

Foong氏が2018年4月に海運業界とブロックチェーンについて参加したフォーラムのスクリーンショットで、marine-chainのCEOとしての彼の肩書きが記載されています。イオ。

What makes Capt. Foong stand out from the average cryptocurrency or blockchain scammer is that he has been connected to Singaporean companies that have assisted North Korean sanctions circumvention efforts since at least 2013. In research published by North Korea-specific policy research website 38North.org in 2015, Capt. Foong is identified twice as working for or advising companies in Singapore that “have facilitated illicit activity on North Korea’s behalf and that have dealings with UN-sanctioned entities.”

会社のキャプテン。 フォン氏は、北朝鮮船舶の 便宜置籍として 頻繁に使用されていた3カ国の国旗登録の操作 に関与し ている。

大尉。 Foongは、北朝鮮が国際的な制裁を回避するのを支援する世界中のイネーブラーのネットワークの一部です。 これらのMarine Chain Platformへの接続は、この広大で違法なネットワークが暗号通貨やブロックチェーン技術を利用して金正恩政権の資金を調達した初めてのものです。

大まかに言えば、この種の暗号通貨詐欺は、 韓国を長年悩ませ てきた 脱北者によって説明 され、国際社会が追跡し始めたばかりの低レベルの金融犯罪のテンプレートに適合しています。これは、長年にわたって暗号通貨の世界に深く根ざしてきた関係者のグループにとっても、国際的な制裁の影響に対抗するために新たな資金源の革新を余儀なくされているネットワークにとっても、自然なステップです。

北朝鮮の海外進出:詳細が明らかになる

これまでの研究では、世界中の国々における北朝鮮の物理的および仮想的な存在を特定するためのヒューリスティックを開発しました。そのヒューリスティックには、これらの国との間の北朝鮮のインターネット活動の平均以上のレベルだけでなく、ニュースアウトレット、地区または市政府、地元の教育機関など、多くの地元のリソースの閲覧と使用も含まれていました。

この手法により、インド、中国、ネパール、ケニア、モザンビーク、インドネシア、タイ、バングラデシュなど、北朝鮮人が物理的に居住している、または居住している8つの国を特定することができました。 この最新の期間(2018年3月から2018年8月)では、これら8か国が関与する北朝鮮のインターネット活動を再調査し、中国とインドのデータの信頼性を高めました。

中国

北朝鮮の指導者がアリババ、バイドゥ、テンセントなどが提供する中国のインターネットサービスを広範囲に利用しているため、中国国内の北朝鮮人と思われる人々のインターネット活動を抽出することは複雑になっている。 これまで、Recorded Futureは、北朝鮮の人々を受け入れている可能性のある地域や、利用されている地元の資源について、ほとんど洞察を持っていなかった。

地域レベルでは、ヒューリスティックデータのサブセットとして、北京、上海、瀋陽地域だけでなく、南昌、武漢、広州にも関与する大量の活動を発見しました。 これらの都市や地域の一部は、中国で活動する北朝鮮人にとって 伝統的な北東部の足跡 と考えられていたものから外れています。

また、これまで不明瞭だった中国の学術界における北朝鮮人に関する新たな手がかりも発見しました。 以下は、現在、または以前に受け入れた北朝鮮の学生、教師、またはパートナーを中程度の信頼度で評価した中国の大学のリストです。

• 上海交通大学
• 江西師範大学
• 清華大学
• 武漢商業サービスカレッジ
• 広西師範大学
• 復旦大学
• 天津医科大学

インド

この期間中、インドが関与する北朝鮮の活動については行動パターンは変わらなかったが、いくつかの追加的な詳細を突き止めることができました。 インドの活動の多くは、いくつかの 経済特区 (SEZ)、特にノイダとコーチンの経済特区に関与していました。

ローカルレベルでは、ヒューリスティックデータのサブセットとして、デリー、バンガロール、コルカタ、ハイデラバードで大量の活動を発見しました。 インド気象局と国立リモートセンシングセンターが関与する不審なトラフィックが再び観測されましたが、悪意を判断することはできませんでした。

For most of these nations, this heuristic tracked closely with known North Korean illicit financing or logistics networks. The research conducted by the non-profit C4ADS on North Korea’s illicit financing networks is an excellent example. In August, C4ADS released a report that profiled North Korean overseas forced labor by country and sector, including restaurants and products. This repeated overlap between North Korean illicit financing networks and internet activity prompted us to re-examine why Russia did not fit our behavioral heuristic.

ロシア

量的には、ロシアが関与する活動は、中国やインドが関与する北朝鮮のインターネット活動のほんの一部に過ぎない(約0.05 たとえば、中国からのボリュームの割合)。 サービス面では、北朝鮮の人々はロシアのサービスを利用しており、定期的に mail.ru を訪れ、Yandexをたまにしか利用していなかった。 都市レベルでは、主にソチ、モスクワ地方、ウラジオストクで小規模な活動が行われました。

It is possible that the types of North Koreans in Russia during this time frame (March 2018 through August 2018) were different than many of the other countries we have identified. A large number of North Korean workers in Russia are manual laborers, often housed and working in “slave-like” or “inhumane” conditions. This is in contrast to some North Korean workers in other countries, such as China, who are laborers in the information economy and build mobile games, apps, bots, and other IT products for a global customer base. While there are certainly a large number of manual laborers in China as well, it is possible that Russia hosts fewer skilled North Korean workers. This type of information economy work creates a different internet fingerprint than exploitative manual labor and likely clarifies the discrepancy between physical presence and internet activity.

したがって、行動ヒューリスティックを通じて特定した国は、サービス経済または情報経済で北朝鮮の労働者を受け入れている可能性が高いと評価しています。 これらの労働者は依然として 収入の大部分を家に送金していますが、日常業務にはインターネットアクセスが必要であるか、顧客と接しているため、それほど抑圧的でない状況で生活している可能性があります。

今後の展望

Over the course of the last year and a half, our research on North Korea has provided an unparalleled window into the digital lives of North Korea’s most senior leadership. We have tracked and analyzed leadership activity at a unique time in U.S.-DPRK relations; the duration of the “maximum pressure” campaign, the period of the highest missile launching and testing activity, and the first ever summit between an American and North Korean leader.

At its core, this research series has demonstrated how adaptable and innovative North Korea’s most senior leadership are. They are quick to embrace new services or technologies when useful and cast them aside when not. The Kim regime has developed a model for using and exploiting the internet that is unique — it is a nation run like a criminal syndicate.

In particular, the Kim regime has cultivated the internet as a potent tool for revenue generation and sanctions circumvention by utilizing (and exploiting) cryptocurrencies, various interbank transfer systems, the pluralized nature of the “gig economy,” online gaming, and more. They have paired this with a decades-old smuggling network and system of corrupted diplomats, embassies, and consulates.

It is this marrying of the physical and virtual that enables North Korea’s success and confounds international regulators and enforcers. It may never be possible to assign an exact dollar figure to the value North Korea derives from the internet, but its significance cannot be underestimated.

国際的には、各国は北朝鮮のインターネット運用のグローバル化と脅威に対処し始めたばかりです。 特に米国は、北朝鮮のオペレーターであるパク・ジンヒョク氏に対して 刑事告訴 を行い、他の多くの企業を関与させた。 これは優れた第一歩であり、インターネット操作を公表するさらなる行動、非伝統的な外交パートナーへの働きかけ、北朝鮮のインターネットによる制裁回避を弱体化させるためのより柔軟でダイナミックなメカニズムによってフォローアップされる必要がある。

これは、北朝鮮の指導者によるインターネットセキュリティと匿名化サービスの使用、およびドメインプライバシーと大規模なホスティングサービスの急増という2つの傾向の結果として、私たちの洞察が限られていたため、北朝鮮のリーダーシップのインターネット活動に関する最後の定期レポートでもあります。

第一に、北朝鮮の支配層エリートがインターネットセキュリティ手続きを縮小したにもかかわらず、北朝鮮の人々とすべてのインターネットユーザーの両方にとって、広範な傾向が強まっている。 つまり、北朝鮮のインターネット閲覧を追跡し、新たな洞察を明らかにすることは、時間の経過とともに難しくなる一方です。

次に、大規模なテクノロジー企業は、DNSからコンテンツ配信、クラウドサービスなど、ますます幅広いサービスを顧客に提供しています。 ネットワークの観点からは、一般的なDigitalOcean、Cloudflare、またはGoDaddyの登録の背後にある最終コンテンツを見極めることは非常に困難です。 ポートやプロトコルでさえ、提供するデータ量は限られており、多くの場合、DigitalOceanボックスで終了するIPは何も明らかにしません。

We will still monitor North Korea’s IP ranges and report on critical discoveries or events on an ad hoc basis.

ネットワーク防御に関する推奨事項

Recorded Futureは、組織がネットワーク上での潜在的な北朝鮮の活動を特定する際に、以下の対策を講じることを推奨しています。

• 侵入検知システム (IDS) と侵入防止システム (IPS) をアラートするように設定し、確認後に、次の著名な北朝鮮の IP 範囲からの不正な接続試行をブロックすることを検討してください。

• 175.45.176.0/22

• 210.52.109.0/24

• 77.94.35.0/24

• 具体的には、北朝鮮の暗号通貨マイニングの取り組みを検出して防止するには、侵入検知システム(IDS)と侵入防止システム(IPS)を設定して、TCPポートを介してネットワークに接続している次の著名な北朝鮮のIP範囲からの不正な接続試行を警告し、レビュー後にブロックすることを検討してください。

• 10130および10131(HOLDコイン用)

• ビットコインの8332および8333

• Monero の 18080 および 18081

• ライトコインの9332および9333

注:前述のポートは、特定の暗号通貨に設定されたデフォルトのポートです。 暗号通貨マイニングソフトウェアがデフォルトのポートを上書きするように変更された可能性があります。 さらに、他のサービスも、エンタープライズ設定に基づいてリストされたポートで動作するように構成されている場合があるため、リストされたポートのネットワークトラフィックのIDSおよび/またはIPSアラートは誤検出を引き起こす可能性があります。

• Analyze network DNS traffic to detect and block suspicious traffic relating to HOLD coin cryptocurrency mining (e.g., domains including the term “stellarhold”).
• ネットワーク内から暗号通貨マイニングソフトウェアがダウンロードおよび操作される可能性に対抗するために、企業全体にソフトウェアホワイトリストプログラムを実装することを検討してください。
• 多くの暗号通貨マイナーは、調整のためにインターネットリレーチャット(IRC)を使用しています。 IRCが企業に必要なアプリケーションでない限り、IDSおよびIPSを介してデフォルトのIRC TCPポート6667をブロックすることを検討し、IRCを使用した暗号通貨マイニングアクティビティを軽減することを検討してください。
• Know your organization’s VPN services and protocols and block or carefully scrutinize non-standard VPN traffic.

さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。

• すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
• 電子メールの通信をフィルタリングし、添付ファイルにマルウェアがないか精査する。
• システムのバックアップを定期的に作成し、バックアップをオフライン、できればオフサイトに保存して、ネットワーク経由でデータにアクセスできないようにする。
• 綿密なインシデント対応とコミュニケーション計画を立てる。
• 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントやデバイスにアクセスできる人は、どのデータにアクセスできるか(デバイスやフィッシングによるアカウントの乗っ取りなど)に注目します。
• 役割ベースのアクセス、全社的なデータアクセスの制限、機密データへのアクセス制限の導入を強く検討する。
• ホストベースの制御を採用する。攻撃を阻止するための最良の防御策と警告信号の1つは、クライアントベースのホストロギングと侵入検出機能を実行することである。
• ネットワーク IDS、NetFlow 収集、ホスト ロギング、Web プロキシなどの基本的なインシデント対応と検出のデプロイと制御を実装するとともに、検出ソースを人間が監視します。
• パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。