北朝鮮のエリートハッカーが暗号資産攻撃で核兵器開発資金を調達

マリンチェーンは、他の野心的なスタートアップ企業と何ら変わらないように見えた。2018年4月に初めてオンラインに登場した同社のウェブサイトは、流行の.ioドメイン名を採用し、潜在的な投資家に利益の高い国際海運業界への参入を約束していた。

イーサリアムブロックチェーンを基盤とする代替暗号通貨「ベッセル・トークン・オファリング」に資金を投入することで、投資家は船舶部品を所有し、他の購入者と取引できるようになる。巧みに作成された2ページの事業計画は、潜在的な購入者の想像力を掻き立てるように設計されていた。同社は2022年には世界の船舶取引の5%が自社プラットフォーム上で行われると予測している。

しかし、これは決して実現しませんでした。Marine Chainは、北朝鮮のサイバー戦士たちが投資家を騙すために支援した詐欺でした。ウェブサイトは実際にはライバル企業Shipowner.ioの粗雑なコピーでした。最高執行責任者（COO）のジョナサン・フーン氏は、以前、北朝鮮の活動を支援するシンガポール企業との関連が指摘されていました。

マリーンチェーンの存在は、仮想通貨の販売を開始したことはなかったものの、販売に必要な技術は備えていたと考えられている。この閉鎖国家が経済制裁を回避する手段として仮想通貨を利用するようになった変化を示している。石炭、木材、鉱物の輸入禁止から、贅沢品の輸入禁止、漁業権の制限に至るまで、これらの制限は北朝鮮の脆弱な経済を麻痺させることで核兵器計画を放棄させることを目的としている。

北朝鮮は、ハッキングと詐欺で難局を切り抜けてきた。同国の国営ハッカー集団は、仮想通貨取引所や従来の銀行への複数のサイバー攻撃に関与し、10億ドル以上の金を盗んだとされている。国連安全保障理事会は最近、北朝鮮が制裁を逃れていると非難した。国連は、マリーン・チェーンのフーン氏に対し、詐欺への関与について質問した際に「矛盾した情報」を提供し、その回答が国連の「証拠基準」を満たしていないと述べた。WIREDは報告書の調査結果についてフーン氏に連絡を取ったが、回答は得られなかった。

2017年1月から2018年9月の間に、北朝鮮の国家支援を受けたハッカー集団が、アジアの5つの取引所から5億7100万ドル相当の仮想通貨を盗んだとみられている。ある国は国連調査官に対し、「北朝鮮はサイバー空間を、サイバー犯罪や制裁回避の分野における違法かつ秘密裏に活動を行うための非対称的な手段として利用している」と述べた。

しかし、これは氷山の一角に過ぎません。北朝鮮の金儲けを目的としたサイバー犯罪活動の中心にいるのは、あるエリートハッカー集団です。APT 38として知られるこの集団は、20人未満とみられていますが、高度なスキルと豊富な資金力を備え、2018年だけで北朝鮮経済に10億ドルの直接的な収益をもたらしたと言われています。この資金は、複数の仮想通貨取引所や、セキュリティプロトコルが不十分な銀行への攻撃によって盗まれています。

WIREDの取材に応じた欧州のセキュリティ情報筋は、このグループの多発性を強調した。「あまり知られていないのは、APT 38として知られる少数の人物で構成される単一のチームが、これらの攻撃の大部分に関与しているということです」と情報筋は語る。「APT 38は、北朝鮮の主要な情報機関である偵察総局によって統制されています。」

情報筋によると、このグループはバングラデシュ、インド、メキシコ、パキスタン、フィリピン、韓国、台湾、トルコで「無差別攻撃」を仕掛けており、チリとベトナムでも2回攻撃を仕掛けたという。西欧の銀行も狙った可能性が高いが、サイバーセキュリティ対策のレベルが高かったため、攻撃は成功しなかったという。

北朝鮮のハッカーが盗んだ資金は、ほぼ確実に同国の軍事作戦に再投入されると情報筋は述べている。「セキュリティアナリストは一致して、APT38が盗んだ資金――北朝鮮のGDPのかなりの割合――が、北朝鮮のミサイルおよび核開発計画に流れていると評価している」と情報筋は付け加えた。

暗号通貨取引所への攻撃件数が全体的に増加していることから、北朝鮮がビットコインなどを経済を支える手段として利用していることが明らかになっています。「サイバーセキュリティはもはや、犯罪者を阻止したり、技術を守ったりするだけではありません」と、別の西側諸国の安全保障関係者は述べています。「北朝鮮のような政権が核戦争を起こす手段を手に入れるのを防ぐことが重要なのです。」

「我々は自問する必要がある。北朝鮮が次のミサイル実験を行う際、ビットコインで支払うのは本当に問題ないのだろうか？」

パク・ジンヒョクは指名手配犯です。2018年9月6日、米国司法省は176ページに及ぶ起訴状に基づき、北朝鮮と中国国内から北朝鮮政府のために活動したとして彼を起訴しました。起訴状によると、パクはWannaCryランサムウェア攻撃の実行に加担し、ソニーとロッキード・マーティンへの標的型攻撃にも関与したとされています。

容疑は包括的だった。100件の捜索令状、1,000件のメールとソーシャルメディアアカウント、そして外国政府からの85件の要請といった証拠に基づき、FBIはパク氏のオンライン活動を追跡することに成功した。FBIは、パク氏が4つのメールアドレス（[email protected]、[email protected]、[email protected]、[email protected]）に直接関連していることを特定し、さらにこれらのメールアドレスは、パク氏の偽名とされるキム・ヒョンウ氏のメールアカウントとソーシャルメディアのプロフィールにリンクされていた。

FBIはまた、パク氏が北朝鮮に関連するIPアドレスの範囲を使用していたと述べている。最初のグループ（175.45.176.0～175.45.179.255）は平壌にある北朝鮮企業に登録されている。一方、2番目のブロック（210.52.109.0～210.52.109.255）は中国で登録されているが、起訴状によると、北朝鮮が以前からリースしていた。これらの識別子の多くは、米国の防衛関係者、学者、エネルギー企業、暗号通貨取引所を標的とした攻撃に関連があるとされている。

しかし、パク氏は、はるかに巨大なサイバー犯罪組織の小さな歯車の一つに過ぎません。北朝鮮には、国家が支援するハッカー集団が数多く存在します。最も悪名高いのは、ソニー・ピクチャーズへのハッキングとランサムウェア「ワナクライ」の両方に関与したとされるラザルス（米国ではヒドゥン・コブラとして知られる）です。

2018年10月、セキュリティ企業FireEyeはLazarusの一部を特定し、独自のミッションを持つグループとして発表しました。このグループはAPT 38と名付けられ、北朝鮮経済を支えるために金融機関へのハッキングを専門とする秘密サイバー犯罪組織です。FireEyeは、パク氏、そしておそらく彼と同様の人物が「マルウェアやオペレーション開発の役割を担っていた」と推測し、彼の作業は関連性があると判断された場合、北朝鮮の複数のハッキンググループ間で共有されていたとしています。例えば、WannaCryのコードの一部は、APT 38による攻撃にも使用されています。

FireEyeによると、APT 38は少なくとも2014年から活動しており、13カ国で16以上の組織がハッカーの標的となっている。同グループの攻撃の大部分は、従来の銀行や金融機関に対するものだ。内部ITシステムを標的とし、不正な支払いを行い、その資金を北朝鮮に送金しようとする。FireEyeによると、北朝鮮国内においてAPT 38は「北朝鮮偵察総局（RGB）第6技術局の傘下、あるいは同義の組織であるLab 110と関連している」という。ある匿名の国は国連に対し、RGBには「政権の収入源を直接確保することを任務とするサイバーに特化した軍事部隊」が存在すると考えていると述べた。

「北朝鮮のグループの中で、おそらく最も高度な組織だと思います」と、ファイア・アイのサイバースパイ分析担当シニアマネージャー、ベン・リード氏は語る。「彼らは多くの銀行に侵入し、多額の資金を銀行の外へ移動させてきました」とリード氏は言う。「うまくいけば、資金はあっという間に消えてしまうのです」

APT 38の構成については、あまり多くの情報が知られていません。推定では、その規模は約20名の工作員で構成されています。高度に組織化されており、綿密に作戦を計画しています。ウェブサイト「Pyongyang Papers」によると、APT 38は北朝鮮の最も重要な貿易相手国である中国と国境を接する北西部の新義州市に拠点を置いています。APT 38が好む攻撃手法の一つはスピアフィッシングで、検知を回避するには企業従業員のコミュニケーション方法を詳細に把握する必要があります。そのため、APT 38の工作員は複数の言語に堪能であると考えられています。

2016年2月、APT38がバングラデシュ銀行から8100万ドルを盗み出した際、パーク氏と関連のあるアカウントから行員に数十通のフィッシングメールが送信された。あるケースでは、[email protected] というメールアカウントから、1か月前に別のFacebookアカウントによって調査された行員にフィッシング攻撃が送信された。「このグループは慎重かつ計画的であり、ネットワーク構成、必要な権限、そして目的達成に必要なシステム技術を理解するために、被害者の環境へのアクセスを必要な期間維持しようとする姿勢を示している」とFireEyeは述べている。

APT 38は、高度な攻撃を実行するために、膨大な時間と資金、そして高速インターネット接続へのアクセスを保有しています。このハッキンググループは、攻撃を完了するまでに平均155日間、標的のコンピュータネットワーク内に潜伏しています。FireEyeによると、ある事例では、攻撃開始前に約2年間もネットワーク内に潜伏していたとのことです。

近年、北朝鮮のハッキング活動は暗号通貨へと移行しています。現時点では、APT 38が取引所を直接攻撃したのか、それとも国家のハッキング組織の別の部門が関与しているのかは不明です。FireEyeは、APT 38が2016年に暗号通貨ニュースサイトを侵害し、この技術に関する知識を深めたと推測しています。

「最も基本的なレベルでは、北朝鮮は資金を必要としています」と、脅威情報会社レコーデッド・フューチャーの戦略的脅威開発担当ディレクター、プリシラ・モリウチ氏は説明する。同社はマリンチェーンが北朝鮮と関連していることを最初に特定し、同国の暗号通貨関連の動きを広範囲に追跡してきた。

国連によると、北朝鮮が仮想通貨に移行したのは、仮想通貨が「追跡が困難で、何度もロンダリングが可能で、政府の規制から独立している」ため、制裁を逃れるための試みだという。2016年以降、少なくとも5件の仮想通貨取引所への攻撃が北朝鮮に関連しているとされている。セキュリティ企業ProofPointは、北朝鮮のハッカーが偵察用マルウェアやスピアフィッシングなどの高度な攻撃手法を用いて攻撃の成功率を高めていることを明らかにした。

2017年12月、韓国の情報機関は、数百万ドル相当の仮想通貨が盗まれたBithumbへのハッキングは、北朝鮮に所属するハッカーによって実行されたと発表しました。韓国警察によると、2016年初頭以降、韓国では合計7つの仮想通貨取引所がハッキング被害に遭っています。また、韓国は2018年1月、日本の仮想通貨取引所Coincheckが北朝鮮のハッカーに攻撃され、5億3000万ドルが盗まれたと主張しています。

「北朝鮮は長らく暗号通貨に注目してきました」と森内氏は語る。「攻撃者と北朝鮮政府は、この技術の活用と悪用を真剣に検討しています。」同氏は、北朝鮮は暗号通貨のマイニングにも関与している可能性があると指摘する。マイニングは直接的に資金を生み出す可能性がある。森内氏は北朝鮮におけるマイニングの事例を小規模にしか確認していないが、マドリード大学とキングス・カレッジ・ロンドンによる最近の報告書によると、暗号通貨マイニング詐欺の世界的な規模はこれまで考えられていたよりもはるかに大きいという。

2018年8月のある週末、インドのコスモス銀行が強盗に見舞われました。スピアフィッシングメールから始まったと思われる高度な攻撃により、銀行の準備金から1,350万ドルが盗まれました。この攻撃はAPT 38の特徴をすべて備えており、さらに新たな手口もいくつか加えられていました。

28カ国で14,000件の取引が同時に行われたATMが標的となり、合計で約1,100万ドルが物理的なATMから盗まれました。この複雑な犯罪ネットワークはFBIの注目を集め、FBIは国土安全保障省および米国財務省と共同で「現金引き出し計画」の犯人を北朝鮮と非難する共同警告を発しました。コスモス銀行への攻撃では、銀行やその他の金融機関が資金の移動方法や場所に関する情報を相互に交換できる国際ネットワークであるSWIFTを通じて、さらに200万ドルが盗まれました。

国連は報告書の中で、コスモス・ネットワーク強奪事件の責任をAPT38に負わせ、北朝鮮が金融機関への攻撃を「ますます巧妙化」させていると述べた。ファイア・アイのリード氏は、APT38が銀行のローカルSWIFTサーバーのデータを操作するために「DYEPACK」と呼ばれるマルウェアを使用していると述べている。米国政府はパク被告に対する起訴状の中で、北朝鮮がSWIFTの開発者マニュアルから情報を盗用し、DYEPACKをSWIFTネットワーク向けにカスタマイズしたと考えていると述べている。

FireEyeによると、APTはSWIFTへのアクセスを確立すると、現地銀行がどのようにSWIFTを使用しているかを学習し、送金のための攻撃を構成できるようになるという。FireEyeは報告書の中で、「APT 38はSWIFTシステムに侵入し、不正取引を実行するまで約2年間も待機していたことが確認されている」と述べている。APT 38による銀行攻撃は、送金前にSWIFTへのアクセスを確立することに重点を置いている。

SWIFTのサイバーセキュリティインシデント対応責任者であるドリス・ワッテイン氏は、銀行への複数の攻撃を認識しているものの、SWIFTネットワーク自体が侵害されたことはないと述べている。「いずれのケースでも、攻撃者は銀行のローカルインフラを標的にし、システムにアクセスし、管理体制やプロセスを操作して不正な決済メッセージを実行しました」とワッテイン氏は述べている。

資金が送金されると、APT38は痕跡を隠そうとします。「彼らはまた、妨害的、あるいは破壊的な手段も用いています」とリード氏は言います。「銀行の外に資金を送金した後、セキュリティチームの注意をそらすために、別の場所にランサムウェアを仕掛けます。」リード氏は、この手法は北朝鮮に資金移動のための時間を与えるために使われていると考えています。

最終的に、この資金は北朝鮮に還流し、核兵器計画などの資金源となっている。国連の報告書は、北朝鮮に対する制裁は「効果がなく」、核兵器計画を阻止できなかったと結論付けている。国際的な努力と北朝鮮による否定にもかかわらず、核兵器開発は継続しているようだ。アストン大学で国際関係学の上級講師を務め、北朝鮮を専門とするヴィルジニー・グルゼリク氏は、外交努力が行き詰まる中、今後数ヶ月のうちに北朝鮮がミサイル実験を再開するのではないかと懸念している。

3月初旬、ニューヨーク・タイムズ紙は、北朝鮮が2017年11月の最後の実験からわずか1年余りで、弾道ロケット発射に必要なインフラの再構築を開始したと報じた。衛星画像では、エンジン試験台の作業が再開されたことが示されており、核開発活動の活発化への懸念が高まっている。米国も、将来のミサイル発射に備えて高高度偵察機を動員している。

この記事はWIRED UKで最初に公開されました。