3.2014年~2017年の北朝鮮による3つの重大なサイバー攻撃
北朝鮮の指導者層は、少なくとも1990年代前半には、犯罪的な行為に手を染めるようになっていました。2019年にソウルにある高麗大学校の学者によって書かれた北朝鮮の体制に関する論文によれば、金正日は米国が湾岸紛争に2度参戦するのを観察して、「現代の戦争では、電子戦が重要になる」との認識を持つようになりました。金正日は、湾岸戦争では米国の爆撃機がイラクのレーダーシステムを無力化したことに特に注目していました。2005年に書かれた朝鮮人民軍に関する本には、金正日の言った言葉が載っていました。それは、「インターネットが銃のようなものであれば、サイバー攻撃は原子爆弾のようなものだ」というものでした。彼の息子の金正恩は2012年に北朝鮮の全権を掌握しましたが、人民朝鮮軍はあらゆる制裁を回避できるし、テクノロジーを悪用して資金を獲得することが可能であると認識していました。金正恩は、人民朝鮮軍のサイバー攻撃能力は非常に高く、核兵器やミサイルとともに無慈悲な攻撃を保証する万能の剣であると宣言しました。しかし、北朝鮮が2014年から2017年の間に3つの重大なサイバー犯罪を実行するまで、西側諸国は北朝鮮によるサイバー攻撃の脅威を全く認識していませんでした。
3つの内の1つめの犯罪は、ソニーピクチャーズに対するハッキングでした。2014年6月にソニーは、金正恩を暗殺するためにCIAに雇われた不幸な2人のジャーナリスト(セス・ローゲンとジェームズ・フランコが演じた)が登場するコメディー映画「The Interview(邦題:ザ・インタビュー、日本では劇場未公開) 」の予告編を流し始めました。北朝鮮当局は、この映画をテロ行為を助長するものだとして非難し、ソニーピクチャーズが映画の公開を進めれば「無慈悲な攻撃」を行うと宣言していました。しかし、ソニーピクチャーズは公開に踏み切りました。
11月になって、ソニーピクチャーズの多くの従業員が使っているコンピューターが”Guardians of Peace”(平和の守護者)と名乗るグループによってハッキングされたことが明らかになりました。同社のコンピューターの多くがフリーズした後、ソニーピクチャーズは残りのフリーズしていない全てのコンピューターをシャットダウンし、データの流出が続いていた状況に歯止めを掛けました。3日後、ソニーピクチャーズはコンピューターネットワークを停止した状態で業務を復旧させましたが、その状態は数週間続きました。そのハッカー攻撃で4万7000人以上の著名人、フリーランサー、ソニーの現従業員と元従業員の社会保障番号を含む個人情報が流出しました。さらに、未公開の映画に加えて、内部文書として同社の幹部同士の電子メールも流出しました 。また、封切り間近の5本の映画をネット上に流され、映画「007スペクター」の脚本もネットに公開されてしまいました。同社の共同代表の1人であるエイミー・パスカルは、ハッカーが流出させたメールが元で辞任する羽目になりました。そのメールはプロデューサーのスコット・ルーディンと交わしたもので、両者はオバマ大統領が好みそうな映画についてやり取りしていて、アフリカ系米国人がテーマもしくは主役となっている映画が好きなのではないか等のジョークを言っていました。また、奴隷制についての映画を作ったらオバマ大統領が喜ぶのではないかというジョークがエイミーのメールには記されていました。
すぐにFBIはそれらのサイバー攻撃の責任が北朝鮮政府にあるとの結論にいたる十分な情報を得たと発表しました。北朝鮮政府は関与を否定しましたが、このハッキングは「正当な行為」であると宣しました。オバマは、サイバー攻撃を非難し、それ相当の報いを受けさせるべきだとして報復を明言しました。後に米下院国土安全保障委員会委員長マイケル・マコールが記者団に語ったのですが、米国はソニーが受けたハッキングへの報復を相当な規模で実施しました。2014年12月の報復は非常に効果的であったため、北朝鮮では10時間もインターネットが使えなくなりました。
ソニーへのサイバー攻撃は非常に目立つものでしたが、北朝鮮が行った2つめの重大なサイバー攻撃はそれとは趣きを異にしていて、金品を奪うことが主たる目的でした。ソニーピクチャーズのネットワークがハッカー集団に侵入されていた頃、同じ集団のメンバー(後にラザルスグループと呼ばれるようになった)がバングラデシュのダッカのいくつかの銀行に触手を伸ばし始めました。ラザルスグループから、バングラデシュ中央銀行やダッカにある他の金融機関に電子メールが送信されました。そのメールにはマルウェアへのリンクが含まれており、それをクリックしてしまうとラザルスグループが行内のコンピュータシステムへアクセスすることが可能になってしまいます。2015年の1月と2月で、少なくとも3人のバングラデシュ中央銀行の行員がそうしたフィッシング詐欺メールに騙されてしまい、ウイルスに感染した添付ファイルをダウンロードしてしまいました。3月までに、ラザルスグループは行内のシステム内に穴を開けることに成功しました。その銀行で使われている暗号化通信プロトコルを模倣するという方法でメッセージを相互に送信できるようにしました。そのため、セキュリティソフトはハッキングされていることを認識出来なかったので、警告表示が現れることもありませんでした。その後、ラザルスグループは10か月間に渡って気づかれること無くバングラデシュ中央銀行の行内システムをじっくり内側から観察しました。
発展途上国の多くの中央銀行も同様ですが、バングラデシュ中央銀行はニューヨークの連邦準備銀行に外貨口座を持っています。2016年2月4日、連邦準備銀行はバングラデシュ中央銀行から数十件の支払い指示を受け取りました。その総額は10億ドル弱で、支払先の口座はさまざまで、スリランカが1つとフィリピンの4つなどほとんどがアジアの銀行の口座でした。その指示は、ブリュッセル近郊に拠点を置く国際銀行間通信協会の送金のためのグローバルなシステム「SWIFT」を介してのものでした。ラザルスグループのハッカーは、バングラデシュ中央銀行の行内システムを調べ回っている時にユーザー名とパスワードを収集していたので、それを使用して、SWIFTシステムから指示を送信していました。ラザルスグループは連邦準備制度への指示を出した際に、以前にSWIFTで本物の指示が出された時のデータを真似て指示を作っていたので、偽の指示であると疑われるような点は全くありませんでした。ハッキングが露見するのを防ぐために、ラザルスグループはバングラデシュ中央銀行の通信ネットワークに細工をして、SWIFTからバングラディシュ中央銀行に電子メールが送られてもブロックされるようにしていました。この事件が発覚した後、セキュリティ専門家たちはその手口の巧妙さに驚いていました。その手口は、監視カメラを無効にした後で易々と銀行の金庫室に押し入るのと同じようなものでした。
北朝鮮のサイバー攻撃について研究しているハーバード大学ベルファー科学国際問題センター所長のプリシラ・モリウチは、米国家安全保障局で12年間働いていました。彼女は、バングラデシュ中央銀行へのハッキングは非常に鮮やかだったと私に言いました。ラザルスグループは非常にスキルが高いだけでなく、非常に忍耐強く取り組んでいたことも明らかになっています。また、優れた戦略があり、実行力も備わっていました。
連邦準備銀行は、最初の5回の支払い指示(総額1億ドル分)は実行しました。続いて受け取った30回の支払い指示(総額8億5,000万ドル分)は、たまたま運が良かったため実行されませんでした。というのは、支払い指示の中の文言のフィリピンの銀行支店の住所に”Jupiter”という語が含まれていたのですが、”Jupiter Seaways Shipping”というアテネの企業がイランに対する制裁措置の関連で監視リストに入っていたので、自動アラートシステムが働いて処理が中断したからです。
そうして自動アラートシステムが稼働したのに加えて、他にも小さなデータの異常が1つ検出されたことによって、30回の支払い指示の処理は中断されると同時に、受取り口座への凍結要求が発せられました。しかし、ラザルスグループにとってはそのようなことが起こることは事前の想定内のことでした。それゆえ、彼らはハッキングをフィリピンの銀行が週末で休みとなるタイミングで行ったのでした。そうしたことで、フィリピンの銀行の口座に対する凍結要求は週末48時間の間は処理されませんでした。その間に、先に口座に支払われた内の約8,100万ドルが別の口座に送金されました。その後、その大部分は引き出されて、フィリピンペソに両替された後、カジノでチップと交換されました。当時、フィリピンは国際組織犯罪防止条約を批准していなかったので、当地の賭博施設はマネーロンダリングを容易に行えました。ロンダリング出来た額は、かなりの額でした。
北朝鮮が3つめの大規模なサイバー攻撃を行った頃には、ほとんどの人が北朝鮮が国家ぐるみでサイバー攻撃を仕掛けていると思うようになっていました。2017年には、”Wannacry 2.0(ワナクライ2.0)”というランサムウェアが流布し、アメリカ、ヨーロッパ、アジアでネットワークに不具合が発生する事象が頻発していました。有名なところでは、ボーイング社、英国の国民保健サービス、ドイツの鉄道会社でもネットワークで障害が起っていました。北朝鮮のハッカー集団は、多くのコンピューターを次々と暗号化して凍結し、それを解除して欲しければビットコインで身代金を払うよう要求してきました。北朝鮮のハッカー集団はいくつもランサムウェアを作り出して、ばら撒いていました。多くのパソコンが感染しましたが、そのランサムウェアの拡散に一役買ったとみられるツールを開発したのはNSA(米国家安全保障局)でした。そのツールは、EternalBlue(エターナル・ブルー)という名称で、自らをシャドウブローカーと名乗る犯罪組織がNSAから盗んで、ネット上に公開していました。
マーカス・ハッチンズという英国出身で22歳のハッキングとマルウェアに関するセキュリティ研究家は、両親と暮らしている自宅の寝室で仕事をしていましたが、ワナクライの拡散初期の数時間の内に、その壊滅的なランサムウェアウェアを分析し、ワナクライが存在しないウェブドメインに接続されていることに気がつきました。おそらく、ソフトウェアシミュレーションで動作するかを確認する一種のテストだったと推測されましたが、当時”MalwareTech”や”MalwareTechBlog”というハンドルネームで知られていたハッチンスは、そのドメインを登録しました。すると驚いたことに、ワナクライの拡散は即座に止まりました。彼は、ハッキング攻撃を終息させたことに気づいたので、キッチンで夕食の準備で玉ねぎを刻んでいた母親(看護師をしていた)に報告しましたが、母親は「良くやったわね。」と言っただけで、料理の手を緩めませんでした。