凄まじい北朝鮮のサイバー攻撃!ATMの現金奪取、暗号資産盗など悪行三昧。奴らを止めることは出来るのか?

6.中国とロシアは北朝鮮のサイバー集団を支援している

 さまざまな機関が北朝鮮について研究していますが、推定では北朝鮮では7,000人がサイバー軍に従事しています。7,000人のほとんどは、陸軍参謀本部か、朝鮮人民軍偵察総局(米国の国家情報長官室のような組織)に所属しています。2019年に高麗大学校で書かれた論文によれば、その2部署の役割が分析されていて、参謀本部の配下には、対南破壊工作局という部署があって、諜報活動や破壊工作や情報収集を行ったりサイバー攻撃を行っています。

 サイバー攻撃のほとんどは、朝鮮人民軍偵察総局によって行われています。高麗大学校の分析によれば、180部隊という朝鮮人民軍偵察総局配下の組織の主たる任務は、国外からサイバー攻撃によって資金を獲得することです。180部隊の中には、有名なラザルスグループがありますが、他にもBeagle Boyz(ビーグルボーイズ)、HIDDEN COBRA(ヒドゥンコブラ)、APT38などのグループがあります。西側諸国の諜報機関はそれらのグループが北朝鮮からサイバー攻撃をしているのを認識しています。しかし、各グループ間でメンバーが重複したり入れ替わったりしているようで、各グループにどれくらいの人数がいるのかとか、各グループがサイバー攻撃でどのくらいの資金を獲得したか等の詳細を正確には把握できていません。
 
 また、北朝鮮のサイバー攻撃に関しては他にも謎があって、それは、どこからサイバー攻撃を仕掛けているのかという点
です。ハーバード大学の研究員モリウチは北朝鮮のインターネット利用者のメタデータを何年も分析し続けました。2017年~2020年の3年間、彼女は北朝鮮のハッキングに関する調査を続けたのですが、どの時点でも、北朝鮮で使用されているIPアドレスは数百個程度しかありませんでした。モリウチは、そうした状況から判断して、北朝鮮のハッキングを行うプログラマーの多くは、中国や東南アジアなど、北朝鮮以外の地域で工作活動をしていると結論づけました。また、北朝鮮のIT系の大学や専門学校の新卒者の多くは東南アジアなどで一定期間、実戦的なスキルを身につけていることが多いことをモリウチは発見しました。北朝鮮のサイバー集団の構成員は海外に拠点を持っており、そこで金品を掠め取っていると同時に、訓練も行っているようです。

 先日、ある米国の研究者が、中国の丹東市(北朝鮮との国境に近い)で活動している北朝鮮のサイバー集団がネット上に残した痕跡(データ等)を私に見せてくれました。その集団の活動をデータから分析した限りでは、悪意のあるハッキングに関与したという証拠はありませんでした。その集団は、bravemaster619@hotmail.comという電子メールアドレスを使用して、ほぼ完璧な英語でやり取りしており、プログラマーが交流するサイトでフリーランスの仕事を獲得していたりしました。GitHub(Gitの仕組みを利用して、世界中の人々が自分の作品(プログラムコードやデザインデータなど)を保存、公開できるようにしたウェブサービス)ではBravemaster619のプロファイルを見ることができます。「自分自身のウェブサイトを構築したいですか?既存のシステムを改善して機能を追加したいですか?あなたのサイトを改善してレベルアップしたいですか?私たちの卓越したプログラミングスキルがあれば、そのような望みはすぐに叶います。」と書かれています。そうした宣伝文等では、北朝鮮が関与していることは意図的に隠しているようです。おそらく、北朝鮮に課されている制裁措置を回避するためでしょう。また、彼らはGitHub等のサイトでは、非常に低単価でギグワークを請け負っているようです。

 昨年、私は、イ・ヒョンスンという人物と話をしました。彼は、2014年に北朝鮮から亡命し、現在は米国に住んでいる35歳の男性です。彼は北朝鮮政府が運営する貿易会社で勤務し、中国の大連市に駐在していました。彼はハッキングについて特別詳しくなかったが、彼が大連市で働いていた時、市内に拠点を置く北朝鮮のサイバー集団が3つあったのを知っていると言いました。彼は、大連市内のハッカー集団が住んでいる住宅を訪れたことがあると言っていました。そこでは、4~6人の男性が1つの部屋に住んでいました。1拠点ごとに10人ほどがいました。日本、韓国、中国の市場向けにスマホのゲームの開発をすることによって、それなりに稼いでいました。開発されたゲームは中国の仲介業者が販売していました。ヒョンスンによれば、ゲームの開発という仕事は退屈なもので特に面白いものではないのですが、大連市で彼が会った北朝鮮のプログラマーは誰も昇進することを望んでいませんでした。というのは、昇進するということは平壌に戻ることを意味するからです。それは非常に窮屈な生活に戻ることを意味します。

 北朝鮮から国外に出たプログラマーが平壌には戻りたがらないという話は良く聞きます。北朝鮮に戻らず、韓国に亡命して地下ラジオ局を1人で運営して北朝鮮の人民に向けて情報発信を続けている者がいます。彼は、北朝鮮のサイバー攻撃について詳しいのですが、北朝鮮国外からサイバー攻撃を仕掛けているメンバーは平壌にいるメンバーに比べれば能力レベルは低い傾向にあるようです。プログラミング能力がトップクラスの者たちは平壌に留まるか、国外に出たとしても重要な任務がある際には平壌に戻されるようです。そうすることによって、優先度の高い重要なネット上の破壊工作等に従事するプログラマーが海外で捕まるのを防いでいるようです。平壌で囲われている最高クラスのプログラマーたちは、数百万ドル相当の外貨を奪うサイバー攻撃に関与していて、車や邸宅をあてがわれ、他にも金正恩からの特別な褒賞を得ることができます。それらはいずれも北朝鮮の一般市民には決して得られないものでした。このような話は、私が地下ラジオ局を運営している彼に聞いたことで、彼は北朝鮮にいる者から情報を得ているのです。私はその北朝鮮にいる者とコンタクトを取りたいと言いましたが、私の取材を受けることはその人に危険が及ぶ可能性があるので断られました。

 米国で北朝鮮の制裁違反を調査している人物が、有名なNGOで仕事をしていますが、匿名を条件に話してくれましたが、彼も北朝鮮のハッカー集団のエリートや幹部は平壌に拠点を置いていると確信していました。平壌の工作員がインターネットにアクセスする際には、海外からのVPN経由でアクセスしていました。そうすることによって平壌からアクセスしていることを隠していました。

 司法省のジョン・デマーズは、北朝鮮の崩壊を望んでいない中国政府が北朝鮮のサイバー犯罪を支援していると推測している。先ほどの北朝鮮の制裁違反を調べている人物が言うには、北朝鮮はサイバー攻撃をする際に、ロシアや中国のインフラを活用していると推測しています。また、その人物によれば、間違いなくロシアと中国は北朝鮮が何が行っているのかを認識しており、その能力を積極的に促進させようとしているということである。現在でも北朝鮮はロシアや中国と相当量の貿易量を維持しており、合法な取引も違法な取引もあります。北朝鮮は両国とは昔からの同盟国で、今も変わらないようです。米国サイバーセキュリティ・アンド・インフラストラクチャセキュリティ局によれば、ロシアと中国の金融機関は北朝鮮のサイバー攻撃の標的にされたことはありません。