Photo NORSE2014/KNKP

North Korea’s Cyber Capabilities and Strategy

2021/12/21 ISPI(Italian Institute for International Political Studies)

北朝鮮は、世界で最も情報通信が発達していない国の一つである。しかし、平壌で行われているサイバー活動の数は増加しており、ここ数年、これらの活動はますます洗練され、成功を収めていることが明らかになっている。

北朝鮮のサイバー活動は、少なくとも3つの戦略的目的を満たし、北朝鮮政権にとって有利な費用対効果を示しているため、今後も増加し続けるものと思われる。

北朝鮮に割り当てられているIPアドレスは1,000を少し超える程度で、国内の選ばれた個人が選択的かつ意図的に世界のウェブにアクセスすることができる。戦略的な計画や意思決定は偵察総局121局など平壌当局が行っていると思われるが、サイバー作戦の実行は非中央集権的で外部委託されていると思われる。

北朝鮮国外には、Lazarus、Kimsuky、APT37、BeagleBoyzといった悪名高いグループを含む6,000人以上のハッカーが、平壌の政権に代わって活動をしていると考えられている。

北朝鮮は、政権批判映画「The Interview」に対抗して、2014年にSony Picturesをハッキングしたことで特に有名かもしれない。

しかし、少なくとも2009年以降、政権は米国と韓国政府のウェブサイトを麻痺させる「サービス拒否」（DoS）攻撃を実施していた。

2013年には、韓国のテレビ局や銀行を妨害するマルウェア「DarkSeoul」など、データシステムに侵入して操作する、技術的にさらに高度なマルウェア・キャンペーンを開始。

北朝鮮のサイバー能力はさらに向上し、マルウェア「WannaCry」が150カ国で20万台以上、30万台以上のコンピュータに感染した2017年までに、ランサムウェア攻撃も行うようになった。

北朝鮮は比較的早く多様な技術能力を獲得した。また、フィッシングやソーシャルエンジニアリングなど、それぞれのターゲットや手順に関する詳細な知識が必要な技術も、きめ細かく披露している。

3つの戦略的目的のためのサイバー活動

平壌は、サイバー操作によって少なくとも3つの戦略的目標を追求することができる。混乱を引き起こす、諜報活動を行う、収入を得る、である。もちろん、活動は目的によって重複することもある。

サイバーキャンペーンは、ターゲットを混乱させ、脆弱性の感覚を生み出しやすい。そのため、サイバー作戦の結果、混乱が自動的に発生するわけではないが、不安と脅威の認識を助長する。

2018年の平昌冬季オリンピックに対するサイバー攻撃は、公式ウェブサイトの一時的な閉鎖を引き起こしたが、これは混乱を目的とした作戦の一例である。

北朝鮮の脱北者、人権活動家、サイバーセキュリティ研究者をターゲットにしたキャンペーンは、入手可能な情報を収集しつつ、混乱させることを目的としている。

さらに、北朝鮮は偽情報を広めるために、国際的な報道機関を標的としたキャンペーンを増やしていると推測される。

特に、有線社会であり、2022年3月に大統領選挙が予定されている韓国にとって、平壌の組織的なソーシャルメディア操作によるオーダーメイドの誤報キャンペーンは憂慮すべきものである。

サイバー空間での活動は、秘密の情報収集も可能にする。マルウェアやランサムウェアのキャンペーンは、通信システムやデータシステムに侵入し、一度にあるいは時間をかけて膨大な量の情報を取得するよう特別に設計されていることがある。

このようなサイバー作戦は、それぞれのターゲットに応じて、経済・科学から軍事スパイまで、さまざまな情報目的を追求することができる。例えば、2020年から2021年にかけて、北朝鮮はCOVID-19ワクチンの研究開発に携わる企業、中でもファイザーやアストラゼネカに対して、多くのハッキングを試みたと考えられている。

防衛産業や政治機関は、長らくサイバー作戦の標的となってきた。2020年にかけて、平壌はロシアの航空宇宙企業を含む12カ国の防衛企業を攻撃する一連のスパイ活動を行ったと推定される。

昨年10月、米国の関連機関による合同サイバーセキュリティ勧告は、制裁や核政策に関する情報を収集しようとする北朝鮮のサイバー作戦に対して、韓国、日本、米国の個々の専門家、研究機関、政府機関に警告を発した。

2021年5月の韓国原子力研究所（KAERI）、2019年11月のインド・クダンクラム原子力発電所に対するサイバー攻撃も平壌が背後にいると言われている。

破壊工作やスパイ活動が極めて重要な戦略的目的を果たす一方で、サイバー空間における北朝鮮の活動の大半は、資金調達が目的だと推測される。

金融機関に対するマルウェアキャンペーンやランサムウェア攻撃は、莫大な収益を得るというこの目的を果たすことができる。

平壌のサイバー犯罪能力は、2016年にバングラデシュの国立銀行を標的にし、8100万ドルの奪取に成功したことで初めて世界の表舞台に登場した。

WannaCry攻撃では、2017年5月に暗号通貨による身代金要求から13万ドルを得たとされている。それ以来、暗号通貨は重要なツールになっただけでなく、収益を上げるための操作のターゲットにもなっている。

2020年に行われた暗号通貨交換体に対する一連のキャンペーンがそれを物語っている。

国連は、北朝鮮が2019年から2020年にかけて3億1640万ドル相当の仮想資産を取得したと報告。米国の司法長官補佐官は2021年2月、「北朝鮮の工作員は......（中略）世界有数の銀行強盗だ」と称した。

サイバーオペレーションはこれからも続く

サイバー空間での活動は、利点、コスト、リスクの比率が特に優れている。コストやリスクを伴うことなく、上記のような戦略的目的の追求と達成を容易にする。

初期設定とノウハウや訓練を受けた人材の育成には時間がかかるが、その後、サイバー能力を維持・向上させるのに必要なのは、比較的低いレベルの物的・人的資源である。

さらに、ソフトウェア開発に関する情報やガイダンスは、オープンソースや違法な領域で容易に入手できる。ハッカーは互いに学び合い、自分の目的やターゲットに合わせて技術をコピーし、調整することができる。

サイバー空間では捜査が困難である。活動の帰属には技術的な限界があり、加害者は他のIPアドレスを通じて活動を行い、デジタル痕跡をさらに曖昧にすることができる。

暗号通貨は、痕跡を隠すための新たな経路を提供する。そのため、平壌は簡単に告発を否定し、法執行機構を回避することができる。

さらに、攻撃的な作戦が弱点と調整の必要性を示すため、予防と防御は一般に遅れがちである。

さらに、北朝鮮には特別な利点がある。それは、ターゲットが多岐にわたり、相互に広く接続され、世界中のウェブに依存していることである。

その結果、平壌とその非中央集権的な工作員は、デジタル・カウンター・オペレーションにとって非常に難しいターゲットとなる。

米国のサイバー空間における前方防御と抑止の戦略は、北朝鮮のデジタル作戦を効果的に抑止・防御するには不確実である。

むしろ、北朝鮮の兵器開発と制裁回避の必要性の高まりに伴い、混乱、スパイ活動、収入を目的としたサイバー作戦への関心は高まっていくと思われる。

原文は以下（英文）

https://www.ispionline.it/en/pubblicazione/north-koreas-cyber-capabilities-and-strategy-32717