昨年3月24日、大陸間弾道ミサイル「火星17」の打ち上げに成功して喜びを爆発させる金正恩総書記と兵士(提供:KCNA/UPI/アフロ)
(山田敏弘・国際ジャーナリスト)
北朝鮮が違法なサイバー攻撃で仮想通貨を奪うなど、外貨を荒稼ぎしている。
この実態について、例えばNHKは5月24日、「アメリカと韓国の当局は、北朝鮮のサイバー攻撃や違法なIT技術者の外貨稼ぎが核・ミサイル開発の資金源になっているとして、関係する団体や個人に対する独自の制裁を発表しました」と報じている(「北朝鮮の違法な外貨稼ぎ 兵器開発資金源に 米韓 独自制裁発表」)。
5月23日にも、米財務省の外国資産管理室(OFAC)が、北朝鮮のサイバー攻撃を行っている平壌にある大学機関と、情報機関である人民軍偵察総局(RGB)の関連機関に対して制裁措置を取ったと発表した。
日本から980億円相当の仮想通貨を「強奪」
日経新聞でも先日、こんな記事が掲載された
「北朝鮮がサイバー攻撃で日本の暗号資産(仮想通貨)を標的にしている。北朝鮮系のハッカー集団が2017年以降に日本から奪取した額は7億2100万ドル(約980億円)に上り、世界全体の被害(23億ドル)の3割を占めることが日本経済新聞と英エリプティック社の共同分析で分かった」(「北朝鮮、日本から仮想通貨980億円奪取 世界被害額の3割」5月15日付)
北朝鮮が外貨獲得のために、サイバー攻撃で仮想通貨を狙っているというのはサイバーセキュリティや安全保障関係者の間ではよく知られていることだ。2023年2月に明らかになった国連の報告でも、2022年だけで北朝鮮が各地で盗んだ仮想通貨の額は10億ドルに達すると指摘されている。これは北朝鮮がこれまで1年間で奪った仮想通貨の金額として最高額である。
北朝鮮が外貨獲得のためにサイバー攻撃を活発に行っているのは間違いない。現在はIT企業に勤める元米政府関係者は筆者の取材にこう語る。
「北朝鮮にとって、仮想通貨を狙うのは理にかなっている。制裁で経済活動が封じられていても、仮想通貨なら匿名で『買い物』ができる。盗んだ仮想通貨を現金にできなかったとしても、制裁を逃れて支払いが可能になる」
今年4月13日、大陸間弾道ミサイル「火星18」の初発射を見守る金正恩総書記と娘ジュエ氏のツーショット(提供:Office of the North Korean government press service/UPI/アフロ)
北朝鮮は、アメリカや国連などから厳しい経済制裁を受けている。そのため外貨が獲得できず、国民にも極貧生活を強いている。にもかかわらず、これまで以上のペースでミサイル発射実験を繰り返しており、「その資金はどこから出てくるの?」と疑問に思う人もいるだろう。
資金源の一つと目されているのが、サイバー攻撃なのだ。
北の背後で中国とロシアが支援
アメリカのアン・ニューバーガー国家安全保障担当副補佐官(サイバー・先端技術担当)は先日、サイバー攻撃で荒稼ぎしている金額の半分はミサイル開発や発射実験に使われていると述べた。ちなみに米情報関係者らは、北朝鮮の背後で中国やロシアが支援していると見ている。
では、その北朝鮮のサイバー攻撃の実態はどういうものなのか。
ここ最近の北朝鮮政府系と見られるサイバー攻撃集団が標的としているのは、例えば米暗号資産会社やインドの医療系やIT関連分野、IAEA(国際原子力機関)、韓国の軍事関連企業などと幅広い。
手口としては、韓国企業を狙ってソフトウェアを悪用した攻撃をしかけたり、メッセージングアプリ「WhatsApp」を通して、偽の求人情報をアメリカやヨーロッパのメディア関係者やセキュリティ関係者にばら撒いたりしていることが判明している。こうした攻撃は、さらに大きなサイバー攻撃を行うための下準備と考えられるが、北朝鮮によるこの手の話は毎日のように報告されている。
それだけに各国とも警戒を強めている。
担当ごとにグループが分けられているサイバー攻撃集団
今年2月、アメリカでサイバー部門を担うNSA(米国家安全保障局)やCISA(米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)、FBI(米連邦捜査局)、さらに韓国のスパイ機関である国家情報院などが共同で警告を発表。北朝鮮政府系のサイバー攻撃集団が重要インフラ事業者などにも攻撃を繰り返していると指摘した。
さらに3月には、ドイツ連邦憲法擁護庁が韓国の国家情報院とともに、「Kimsuky」として知られる北朝鮮のサイバー攻撃アクターがスピアフィッシング攻撃(偽のEメールを特定の人や組織に送って個人情報を奪う攻撃)を仕掛けている、との警告を発している。
北朝鮮のサイバー攻撃能力は世界的に見ても高い。その主体となっているのは大半が政府が支援している集団で、特に世界的に有名なのが「Lazarus(ラザルス)」だ。
ラザルスの中にはいくつかのグループが存在しているが、彼らは基本的に、外貨を稼ぐために金銭的な犯罪行為を主に実施している。それぞれのグループは担当ごとに分かれており、「Bluenoroff」(「APT38」とも呼ばれる)というグループは主に外国の金融機関などを狙い、「Andariel」というグループは各地の金融・インフラ機関だけでなく韓国の政府や軍などへも攻撃を仕掛けている、といった具合だ。
先に触れた「Kimsuky」は、「APT43」「Thallium」「Black Banshee」「Velvet Chollima」といった別名で呼ばれることもある。このグループは、アメリカや日本、韓国を攻撃し、核開発関連の情報を狙ったり、金融部門や製薬部門などを攻撃することが多く、主に情報(スパイ)活動を行っているとの分析もある。
「Kimsuky」との関係性も指摘される「APT37」と呼ばれるグループもある。このグループは別名、「ScarCruft」「Reaper」「RedEyes」「Ricochet Chollima」などとしても知られている。
また別の「UNC2970」というグループも最近よく目にするが、アメリカや欧州のセキュリティ研究機関の関係者や、メディア組織をターゲットにしている。彼らの主な手口は、北朝鮮の攻撃でよく見られる、偽の求人情報で悪意のある文書をダウンロードさせるというものが確認されている。
日本にも潜んでいる北のハッカー
こうした北朝鮮の政府系サイバー攻撃グループは、北朝鮮の人民軍偵察総局(RGB)の「121局」に関連する組織であると分析されている。それ以外にもサイバー工作に関わっている組織として、スパイ活動も行う「110研究所」がある。110研究所は、冒頭に触れた5月23日の米OFACによる制裁の対象にもなっており、中国に拠点が2カ所(大連と瀋陽)あることが確認されている。
北朝鮮のサイバー作戦について詳しい脱北者の張世律氏は以前、筆者の取材に、北朝鮮のサイバー部隊の兵力は、高い能力をもつハッカーおよそ1800人に、工作をサポートするチームを合わせると全体で6000人以上の部隊になるという(2023年現在はその数がさらに増えていると見られる)。
日本のサイバー防衛隊の兵力は現在900人ほどで、2027年度末までに4000人に増やす予定でいる。もっとも、サイバー防衛隊は自衛隊と防衛省を守るために存在する部隊であって攻撃能力は持たないので単純比較はできないが、力の入れようが北朝鮮に遠く及ばないのは間違いない。
実は北朝鮮のサイバー攻撃は他の国のものより危険とされている。それは、北朝鮮が核開発問題による経済制裁で、世界のビジネスから切り離されていることと関係がある。サイバー攻撃というものは、一度仕掛けると、その影響が思わぬ形で現れ、自らを傷つけてしまうこともある。だが、世界のビジネスネットワークから排除されている北朝鮮は、いくら他国にサイバー攻撃を仕掛けても、自国や北朝鮮関連の企業が「返り血」を浴びることはない。だから容赦なくどこでも攻撃できるという「強み」があるのだ。
北朝鮮の政府系サイバー攻撃者たちは、過去に、ソニー・ピクチャーズエンターテイメントへの攻撃(2014年)や、ランサムウェアであるワナクライを使った攻撃(2017年)、バングラデシュ中央銀行から8100万ドルを強奪した攻撃(2018年)などがよく知られている(いずれもラザルスの犯行)。
北朝鮮のサイバー攻撃の歴史は実は古い。冷戦末期の1989年ごろにロシア人専門家らによる教育が始まったとされる。その後は中国からの支援を受けつつ、韓国軍の機密情報を盗む工作を行ってきたという。2003年と2009年には、韓国へのサイバー攻撃で大規模な妨害工作を成功させ、当時それを評価した金正恩氏がサイバー部隊の拡充を命じた。
もちろん北のサイバー攻撃の刃は日本にも向けられている。
北朝鮮で偵察総局に所属していたというある脱北者は、「121局は日本にも人を送り込んでいる」と話す。
「2016年にも日本を担当する工作員らが中国のパスポートで日本に入国したと聞いている。ただ詳しい任務内容は残念ながら不明だ」
韓国当局にも情報提供しているこの脱北者はさらに、ハッカーたちが国外でどのように任務を行なっているのかについても説明してくれた。
「偵察総局のハッカーは、中国で貿易会社の社員を装ってハッキング任務にあたっていた。この会社では社員15人のうち4人が偵察総局の関係者だった」
顧客資産を大量流失させたコインチェック事件でも疑われている北の組織の関与
近年は冒頭で書いたように、暗号資産取引所などを重点的に狙い、多額の仮想通貨を奪っている。そもそも北朝鮮政府は2013年ごろから仮想通貨の研究を始めたと言われており、北朝鮮の平壌科学技術大学などに仮想通貨に精通する外国人専門家たちを招聘していたという。
仮想通貨を狙った攻撃は、2017年から韓国に対してはじめ、以後活動を激化させてきた。韓国の暗号資産取引所「Yapizon(ヤピゾン)」がハッキング被害を受けて約16億円が盗まれる事件が発生、さらに「Bithumb(ビットサム)」、「Coinis(コインイズ)」、「Youbit(ユービット)」などの取引所が次々と仮想通貨を盗まれ、破産する取引所も出た。
その後はイギリスや日本に対する仮想通貨を狙った攻撃が目立つようになった。
2018年に580億円相当の仮想通貨が盗まれて大きな話題になった日本の暗号資産取引所「コインチェック」への攻撃についても、米当局や国連、韓国の国家情報院は「北朝鮮の犯行」と分析している。冒頭の日経新聞によれば、2018年に攻撃を受けた日本の暗号資産取引所「Zaif(ザイフ)」も北朝鮮の犯行の疑いがあるという。
日本の政治家を盗聴するなどお手のもの
2022年10月には、日本でも警察庁と金融庁、NISC(内閣サイバーセキュリティセンター)が北朝鮮のサイバー攻撃を警戒するよう警告を発している。
基本的に北朝鮮による取引所への攻撃手口は、取引所に勤務する特定のターゲットに偽メールを送りつける(スピアフィッシング攻撃)や、水飲み場攻撃(攻撃対象者がよくアクセスするインターネットのサイトを改ざんして、アクセスするだけでマルウェアに感染させる攻撃手法)などから始まる。さらに、取引所などに就職目的で願書を送ったり、税務関係のファイルを送ったりして、そこを足掛かりにハッキングを行ったケースも報告されている。
北朝鮮の「金目当て」の攻撃は、仮想通貨を狙ったものだけではない。ランサムウェア(身代金要求型ウィルス)攻撃も行っており、あの手この手でサイバー空間から金を稼ごうとしている。そして経済制裁が続く限り、この活動が沈静化ことはないだろう。
かつて北朝鮮の咸興コンピューター技術大学でコンピューター技術を教えており、北朝鮮のサイバー工作事情に詳しい脱北者の金興光氏と以前話をしていた時、彼はこんなことを言っていた。
「2015年ごろから北朝鮮のサイバー部隊は、日本の政治家などをハッキングしたり、盗聴したりして日本の情報を盗んでいる」
ハッキングされていることに気付いている政治家はまずいないだろう。日本も、北朝鮮からも常時、多角的に狙われているということを自覚したほうがよい。
山田 敏弘
