7.北朝鮮の標的は韓国の場合が多い
北朝鮮のサイバー軍の標的となっているのは、ほとんどが不倶戴天の敵である韓国です。韓国はこれまで散々北朝鮮のサイバー攻撃に苦しめられてきました。最近、私はソウルに住む諜報活動の専門家サイモン・チョイと話をしました。彼は兵役につ就いていた2008年に、北朝鮮が韓国軍にサイバー攻撃を仕掛けていることを知りました。当時、朝鮮人民軍偵察総局がマルウェアを使って韓国軍の兵器に関する極秘情報を盗み出そうとしました。結局、その試みは失敗に終わりました。チョイは、北朝鮮のハッカーに興味を持ちました。彼は、北朝鮮のサイバー攻撃が現実のものであることを深く認識しました。
兵役を終えた後、チョイはオンラインセキュリティに関する仕事に就きました。彼はまた、韓国で、IssueMakers Labという名前のボランティアの組織を設立しました。その組織は、北朝鮮が作ったマルウェアを研究しました。現在、その組織の人数は10人で、男性も女性もいます。全員が他に本業があって専属で研究しているわけではありませんし、諜報機関に属しているわけではありませんが、彼らの分析は正確で鋭いという評判を得ています。チョイは、ほぼ毎日ダークウェブを見回って麻薬取引やその他の犯罪が行われていないかチェックしています(本来は、法執行機関が調べるべきことですが)。彼は時々平壌にいるハッカーについて考えることもあります。
チョイは、北朝鮮では約1,100人が悪意のあるマルウェアの作成に従事していると私に言いました。彼はサイバー攻撃によって銀行から資金を流出させた際に北朝鮮が関与した痕跡を隠すために2016年に設計されたマルウェアのコードを見せてくれました。そのマルウェアのコードを見ると、ランダムに文字や数字がペアで沢山書かれていました。余白部分には、私が認識できる英語の単語”Windows”や”everyone”が見られ、句読点が不可解に並んでいて、暗号として何か意味があるのだろうと推測出来ました。チョイはそこに書かれているコードを全て完全に理解することが出来ていました。彼が言うには、中国とアメリカのプログラマーが世界で一番能力が高いが、ロシアと北朝鮮はそれに次ぐレベルにあるそうです。チョイはさまざまなマルウェアを見て分析してきましたが、そうした中で一番優れていたのはStuxnet(スタックスネット)だと言います。それによって2010年にイランのウラン濃縮用遠心分離機8,400台全てが破壊されましたが、イスラエルと米国が共同で開発したものでした。チョイはスタックスネットは素晴らしいと賞賛しますが、それは、ちょうど美術史家が「ナイトウォッチ(夜警:レンブラントの作品)」を褒める際の口ぶりに似ています。彼は、スタックスネットのコードはエレガントで精密で洗練されていると言いました。彼は、それとは対照的に北朝鮮のコードは野蛮で簡潔で武骨だと言いました。彼は言いました、「北朝鮮のマルウェアが威力を発揮している鍵は無慈悲さにあります。彼らは成功するまで何度でも攻撃し続けます。」と。
チョイが言うには、マルウェアのコードの中にはコードを書いた者の名前やイニシャルが埋め込まれていることが良くあるそうです。それは名前を誇示したいのか、自慢したいのかよく分かりませんが、良くあることです。彼は、調べたマルウェアの中にかつて国際数学オリンピックに参加した複数名の名前があることに何度も気付きました。2013年にインドのICICI銀行を標的としたフィッシング攻撃が為された時のコードをチョイが調べた時、彼は”kut_rsc1994”というタグがあるのを見て金策大学で学んだコーダーがコードを書いたのだろうと推測しました。(「KUT」は金策大学を示す有名なタグです。)その件について、さらに調べた結果、チョイが気付いたのは、そのコーダーは2011年にアムステルダムの国際数学オリンピックで銀メダルを獲得した北朝鮮のリュ・ソンチョルであはないかということでした。後に、リュ・ソンチョルはこのタグをハッキングWebサイトに投稿しており、その推測はどうやら当たっていたようです。
チョイは、コードの中に記されている名前やイニシャルから、そのコードを書いた人物を特定することには慎重でした。というのは、偽名であったり、他人の名前を勝手に使っている可能性もあるからです。実際、北朝鮮は他人になりすますなんてことを平気でやるからです。とはいえ、チョイが確信していることがあって、それは北朝鮮が作ったマルウェアのコードを書いたのは全て男であるということです。私はそれを聞いた時、笑ってしまいました。どうして、そんなことが断定できるのか?と、私は聞きました。しかし、チョイは再び間違いなく全員男であると断言しました。北朝鮮は伝統的に男性中心社会であり、朝鮮人民軍偵察総局のような組織に女性が配属されることはあり得ないとチョイは断言しました。
チョイは現在平壌で働いているハッカーの名前を全く私に教えてくれませんでしたが、IssueMakers Labは、最も熟練した北朝鮮のハッカーにニックネームを付けることが時々ありました。私は、チョイは北朝鮮のコーダーについて、人格とか性格は理解していないだろうと推測しました。それで、彼に相手のことをどれくらい知っているか尋ねました。すると彼は言いました、「北朝鮮のコーダーは私たちから分析されていることを認識しています。なぜなら、私たちは分析結果を公表しているからです。私が感じている限りでは、こちらも先方も、お互いを良く知っているのではないでしょうか。」と。