• 会員限定
  • 2021/06/21 掲載

北朝鮮のサイバー部隊は「仮想通貨泥棒」なのか? 変容する国家支援型サイバー攻撃

記事をお気に入りリストに登録することができます。
2021年5月26日、South China Morining Postが「北朝鮮によるサイバー攻撃は彼らの弾道ミサイルより直接的な脅威となっている」と報じた。特に目立つのは仮想通貨取引所や途上国の銀行などを狙った攻撃だという。国家支援型のサイバー部隊は、サイバー戦争から金融犯罪にシフトしたのだろうか? 実は、中国やロシアもフェイクニュースや世論誘導に注力しているという分析が増えている。国家支援型サイバー攻撃の変遷に迫る。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
北朝鮮のサイバー攻撃が彼らの弾道ミサイルより脅威である理由
(Photo/Getty Images)

北朝鮮のサイバー軍が金融犯罪を繰り返す理由

 北朝鮮が、金融機関や仮想通貨取引所を狙っているという傾向は、今に始まったことではない。北朝鮮が深く関与していると言われている金融機関への攻撃では、2017年バングラデシュの銀行がランサムウェア「WannaCry」によって8,100万ドルの被害を受けた事件が有名だ。ハッカー集団「Lazarus」による仮想通貨取引所への攻撃も、カスペルスキー社や米国当局によって北朝鮮の関与が強く示唆されている。

 北朝鮮がサイバー金融犯罪を犯す理由は、核兵器を含む兵器開発の資金調達であるという見方が有力だ。1980年代、米国政府は北朝鮮による精巧な偽100ドル札に悩まされていた。当時、偽札は北朝鮮の裏の外貨獲得の有力な手段の1つだった。一国の政府のバックアップがあれば、精巧な偽札づくりはそれほど難しいものではなかったかもしれないが、米国政府による偽造対策や摘発によって偽札問題はやがて終息する。

 しかし、金正恩(キム・ジョンウン)体制以降、2010年代に入り偽札問題が再発した。2017年には新たな偽100ドル札が韓国で発見されている。2015年あたりからLazarusを含むサイバー金融犯罪も強化している。米国政府と直接交渉をしたい北朝鮮が、ちょうど核実験や核兵器開発を活発化させた時期と重なる。

 2016年、2017年の2年間で3回の核実験と、30数回にも及ぶ長距離ミサイル(弾道弾含む)、またはロケット打ち上げ実験を行っていた。バングラデシュへの攻撃やLazarusによる仮想通貨取引所攻撃、マネーロンダリングは、一連の核兵器開発の資金に当てられた可能性がある。

平時の各国サイバー軍・部隊は諜報活動に徹する

 こうしてみると、北朝鮮が国家として支援したとされるサイバー攻撃は、敵対国家への諜報活動や社会インフラに対するものではなく、ハッカー集団の金融犯罪に注力しているようにも見える。しかし、この現象を表面的にとらえ「北朝鮮の政府・軍によるサイバー攻撃能力はダークウェブの犯罪組織レベル」とするのは早計だ。

 北朝鮮は、関係が深いとされるLazarus以外に「121局(Bureau 121)」というサイバー戦部隊を持つとされる。米国政府のレポートによれば、121局は6000人を超えるハッカー(局員)を抱えているという。そして、これらサイバー戦部隊は、作戦を直接実行するより、アンダーグラウンドやダークウェブのハッカー集団や犯罪組織を利用する傾向にある。

画像
サイバー軍は直接手を出さず、攻撃はその道のプロに任せることが多い
(Photo/Getty Images)

 サイバー戦争の描写にありがちな、相手基地のサーバに侵入したりインフラや戦術システムを破壊したりするのでなければ、攻撃はその道のプロに任せることが多い。犯罪者が金融機関を攻撃するのは普通であり、むしろ軍由来の凝ったエクスプロイトや特殊なマルウェアを使うと攻撃主体を特定される手がかりになってしまうからだ。

 よほどの事情がない限り、平均的な金融機関へのサイバー攻撃なら、当局はその先まで追求することは少ない。追求したとしても、本丸にたどりつくのは容易ではない。マルウェアの機能や特徴、攻撃手口から、特定の国の影を追うくらいしかできないだろう。

 本当の有事や例外的な作戦行動以外、各国のサイバー軍は間接的な諜報活動に徹し、その実行には「傭兵」や外部組織を利用するのが一般的だ。

【次ページ】天安門事件を「ねつ造」とする中国世論操作

関連タグ

あなたの投稿

関連コンテンツ

深刻化する病院サイバー攻撃に、「ランサムウェア交渉人」はアリかナシか?

 どうにも、この記事を書いたライターは映画やドラマ、漫画やアニメ由来のフィクションの知識で述べているようだ。バグバウンティ制度というものはあくまで開発ベンダやセキュリティベンダが任意で実施しているものであって、ベンダによってはバグバウンティ制度を取り入れていないところもある。危険性や重要度に応じて支払う報奨金というものは決まっている。そのため危険性や重要度の低いバグに対しては報奨金の金額は安くなる。支払われる報奨金というのは価格帯が既に定められているので交渉したからといって大きく変わるわけではない。交渉人が出てくる余地がないし、交渉人が仲介手数料なんて取ろうものならば原価割れしてしまうわけだ。そして、バグバウンティ制度を実施していない企業に交渉人が脆弱性情報の買取を持ちかけようものならば、恐喝罪で訴えられる可能性さえある。
「通常は、発見した脆弱性や攻撃手法を自分で利用する(犯罪を犯す)より、相手に高く買ってもらったほうがよいと考える。」と記事では書いてあるが、それも違う。仮に悪意を持ったハッカーが危険な脆弱性を発見した場合、自分でその脆弱性を利用した攻撃をして犯罪を犯すと警察に逮捕されるリスクがある。自分で犯罪さえ行わなければ警察に逮捕されるリスクはゼロだ。だから自分では犯罪は行わない。脆弱性情報を買い取ってくれる企業があればお金で売って利益を得る。ただそれだけなのだ。実際にサイバー犯罪に関わって犯罪収益を得ている反社会組織でも、脆弱性情報の多くは悪意を持ったハッカーではなくセキュリティ会社(=ホワイトハッカー)から買っている。サイバー攻撃自体は自身は行わずに買い取った脆弱性情報をもとに作成した攻撃ツールの販売やクラウド上に攻撃用プラットフォームを構築して時間貸ししてクラウドサービスとして収益を上げている。現代では脆弱性を発見する人、発見者から脆弱性情報を買って収集して販売する人、攻撃ツールを作る人、攻撃ツールを売る人、攻撃ツールを使って攻撃する人といったように各々関係のない人や組織が分業している。
 身代金支払いの是非に関して述べると、現行法では身代金の支払い自体を直接罰する法律はない。それならば身代金を払ってしまえばよい、とはならない。例えば、ランサムウェアならば様々な要素を考慮した上での経営判断が必要となる。以下の理由で正当化が出来るか、ということは最低限考える必要がある。
 1. 復旧コストより身代金の方が安価
 2. 大量の個人情報など機微性の高い情報漏えいのおそれ
 3. 重要インフラサービスの停止のおそれ
 4. 人の生命・身体が害されるおそれ
1.と2.に関しては紛れもなくその場しのぎでしかないのでまともな知性のある経営者であれば経営判断としての身代金払はしない。
3.に関しては微妙な問題なので、細かい分析をした上で社会への影響を考慮した上での経営判断となる。
4.に関しては仕方がない。払うしかない。
 ここで意識していただきたいことは、ランサムウェアの身代金の支払いに対する対応は経営者が判断すべき経営問題そのものである。現場のエンジニアや担当部署の責任者が判断するのではなく、その企業の経営方針として経営者が判断を下すべき経営問題ということだ。
 この記事の2ページ目でしきりに「交渉人」の必要性をしきりにアピールしているが、いい年した大人が妄想と現実を混同するのをいい加減にするべきだ。きっと、この記事を書いたライターの人は交渉人をモデルにした映画かドラマでも見た影響でも受けたのだろう。
 交渉人というのは本質的には犯人の脅迫行為を容認することだけではない。そもそも、犯人側にとって身代金事件の成功の鍵は交渉人が握っている。身代金支払いにより犯人側が犯罪収益を得るための功労者であることから共同正犯(刑法60条)が成立してしまう。つまり、刑法上は身代金を要求してきた犯人グループの一員とみなされてしまうわけだ。
 記事では「ランサムウェア交渉人を運用するためには、警察に犯人を特定、摘発できるくらいのサイバー捜査能力が必須となる。」と書いてあるが、犯人を特定、摘発できるのであれば犯人逮捕とともに暗号鍵も押収できるからから身代金を支払う必要がないではないか。この記事を書いたライターは自身の書いた言葉の意味を理解してこの記事を書いているのだろうか。犯罪を正当なビジネスにしてしまうこと自体が非現実的だし、あまりにも考えが幼稚で虚構と現実を取り違えたような記事を書いている暇があれば、もっと社会の勉強をし直した方が佳いだろう。もし、このライターがジャーナリストの肩書を今後も掲げるつもりならば、この記事のような妄言を書き連ねる前にはよく調査と考察を重ねて自身の考えを遂行する必要がある。今回は半田病院の事件を起点としているので、デジタルフォレンジック研究会の医療分科会が公開している資料の『医療機関向けランサムウェア対応検討ガイダンス』(https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf)を一読して勉強して出直してくることをおすすめする。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます