北朝鮮のハッカー集団が、サイバー攻撃を世界中で繰り広げる「合理的な理由」
北朝鮮が、この地球上で最も謎に満ちた国であることはほぼ間違いない。同国政府が主導するハッカー集団も謎だらけだ。
彼らが世界的に展開するサイバー攻撃は、北朝鮮政府と同じくらい一貫性がなく不可解なものである。彼らは奇妙な偽装団体や架空の恐喝組織の陰に隠れている。そして、デジタル上で不当な行為を行い、莫大な金額を盗み出している。そういった手口は、政府所属のサイバースパイというよりは、組織犯罪集団が常習的につかうものだ。
2017年5月に全世界を騒がせたランサムウェア「WannaCry(ワナクライ)」で攻撃をしかけたのは北朝鮮のハッカーだと考えられている。WannaCryの無差別攻撃で世界中が危機に見舞われたが、北朝鮮がそれによって明確なメリットを得たというわけではない。
米朝間の緊張が高まりを見せるなか、北朝鮮のハッカーを監視するサイバーセキュリティの専門家や外交問題のアナリストたちは、こう考えている。北朝鮮の最高指導者である金正恩の配下にあるデジタル軍隊を、矛盾だらけの不合理な集団として切り捨てるのは賢明ではないと──と。
役立たずの外交専門家たちはすでに一度、北朝鮮の初期の軍事的挑発を無視する過ちを犯している。北朝鮮は、核の脅威をちらつかせてきたのと同じようにサイバー攻撃を利用している、とアナリストたちは警鐘を鳴らす。北朝鮮のハッカー集団は、金正恩政権全体と同様に、死に物狂いで、厚かましく、無能でありながらも、目的の追求においては抜け目なく論理的だというのだ。
ハッカー集団「Lazarus」との関係
アメリカの国土安全保障省(DHA)ならびに連邦捜査局(FBI)は2017年6月13日(米国時間)、北朝鮮の「Hidden Cobra(ヒドゥン・コブラ)」と呼ばれるサイバー集団が、米国の金融、航空宇宙、メディア業界の組織や重要なインフラをターゲットにしていたとする「テクニカルアラート」を発表した。
Hidden Cobraは多様なツールをもっている。例えば、ターゲットのウェブサイトに大量のジャンクトラフィックを送りつけるボットネットベースのサーヴィス妨害攻撃(DoS攻撃)や、リモートアクセスツール、キーロガー、データ破壊を行うマルウェアなども、そこには含まれている。
さらに重要なのは、DHAとFBIが発表したレポートで、Hidden Cobraが「Lazarus(ラザラス)」と同一集団であると考えられていることが明らかになった点だ。Lazarusは、サイバーセキュリティ業界が長年にわたって徹底追跡してきたハッカー集団で、北朝鮮とつながりがある疑いが強い。
レポート公表のちょうど24時間後には、「2017年5月に膨大な数のコンピューターが感染したランサムウェアWannaCryのワームは北朝鮮によるものであることを米国家安全保障局(NSA)が突き止めた」とワシントン・ポスト紙が報じた。セキュリティ企業のシマンテックやカスペルスキー、セキュアワークスは、すでにLazarusによる攻撃であるとしていた。
北朝鮮がLazarusの活動を指図していることは明らかなように見える一方で、彼らのやり方は従来の国家主導型のハッカー集団とはまったく異なり、過去の盗みや無益な妨害には一貫性がない。しかし、彼らの動きは気まぐれに見えるかもしれないが、北朝鮮にとってはそうしたデジタル攻撃は理にかなったものだ。少なくとも、自衛のための選択肢をあまりもたず、制裁を受け、孤立する独裁国家にとっては合理的だ。
「(北朝鮮のハッカーは)合理的な集団です。北朝鮮は経済制裁を受ける“世界ののけ者”という立場にあり、デジタルツールを使ったところで失うものはほとんどありません」と話すのは、サイバーセキュリティ企業FireEyeで研究チームを率いるジョン・ハルトクイストだ。同氏は以前、米国務省のアナリストでもあった。「苦境に立たされた国がやりかねないことの一例として、北朝鮮のハッキング活動をとらえるべきです」
北朝鮮が「サイバー強盗」を繰り返す理由
北朝鮮のハッカー集団は、あからさまな窃盗行為を好んでおり、その傾向は国家主導型のサイバー集団の標準から大きく逸脱している。サイバーセキュリティ研究者たちはこの1年で、北朝鮮が自国の口座に何千万ドルものドル建て資金を送金するために、国際決済ネットワーク「SWIFT」プロトコルを使って一連の攻撃を仕掛けている証拠を積み重ねてきた。シマンテックやカスペルスキーといったセキュリティ企業のアナリストたちは、ポーランドやヴェトナムなど数十カ国における銀行への攻撃を、Lazarusと結びつけてきた。
そうした攻撃のひとつには、2016年にハッカーがバングラデシュ中央銀行に侵入し、ニューヨーク連邦準備銀行の口座に不正アクセスして8,100万ドルを盗み出した事件もあった(もともとは8億5,000万ドルから8億7,000ドルを送金しようとしていたが、リクエストにタイプミスが含まれていたため発覚し[日本語版記事]、1割の被害に留まった)。
その動機ははっきりしている。北朝鮮は金を必要としているのだ。人権侵害を犯し、核開発をちらつかせる瀬戸際政策を行い、周辺国に対して社会病質的な攻撃姿勢を見せてきた結果、北朝鮮は致命的な貿易制裁を他国から科されている。北朝鮮は、ハッキング攻撃を始める前からすでに、ほかの無法国家への武器輸出に頼っていた。
さらには、独自の人身売買ビジネスや、覚せい剤の一種であるメタンフェタミンの製造にも手を染めている(国民の4割から5割がメタンフェタミン中毒だという推定もある)。サイバー犯罪は、貧窮した北朝鮮政府にとって、実入りのいい収入源なのだ。
「金を強奪することを任務の一環としている国家主導のハッカー集団が存在することを理解しなければなりません」と話すのは、カスペルスキーのセキュリティ研究者ファン・アンドレス・ゲレーロ=サーデだ。「困ったことですが、(彼らのそうしたサイバー攻撃は)単発的なものではありません」
ランサムウェアが新手の金儲け手段であるという認識が広まっているとはいえ、WannaCryの背後にある論理的根拠を推察するのは容易ではない。たとえWannaCryが制御不能に陥った未熟なランサムウェアだったとしてもだ。
世界中の膨大な数のコンピューターを麻痺させたコードの作成者たちは、結局14万ドル相当のビットコインを報酬として手にしただけで終わった。独裁国家にとっては、はした金だ。そればかりかWannaCryには、ファイルの暗号解読のためにお金を払った被害者が誰なのかを追跡する方法が欠けていた。彼らよりも熟練したランサムウェア集団が、多額の報酬を少数の被害者から集めるという信用モデルを打ち壊したわけだ。
そういったミスは、WannaCryの生みの親である北朝鮮の開発者たちが、早い段階でWannaCryのリークを許してしまったことが原因だ。コンピューターからコンピューターへと自動的に広がっていくワームは、封じ込めるのが難しいことで知られている(米国とイスラエルは、両国が独自に開発した「Stuxnet(スタックスネット)」というワームでそのことを発見した。Stuxnetは、もともと標的にしていた[日本語版記事]イラン核濃縮施設内にとどまらず、世界に広く拡散してしまった)。
セキュアワークスによると、LazarusのハッカーたちはWannaCryを世界に拡散させる前に、小規模な攻撃を実施してWannaCryをばらまいている。彼らは自ら開発したワームと、NSAから流出した強力な攻撃エクスプロイト「EternalBlue(エターナルブルー)」を組み合わせた。
EternalBlueはNSAから流出後、2017年4月に「Shadow Brokers」(シャドー・ブローカーズ)というハッカー集団によってGitHubで公開されたものだ。EternalBlueを利用したことで、WannaCryの感染は、開発者の期待や制御を上回る勢いで急激に拡散するに至った可能性がある。「彼らはWannaCryを開発し、それを使ってお金を稼いでいましたが、手がつけられなくなったのです」と、カスペルスキーのゲレーロ=サーデは言う。
散見される「抜け目のなさ」
北朝鮮のハッカー集団の悪だくみは金稼ぎだけではない。彼らは2009年以降、米国と韓国を標的に、分散されたDoS攻撃もしかけてきている。2014年に起きたソニー・ピクチャーズへの攻撃[日本語版記事]と、韓国にある原子力発電所への攻撃[日本語版記事]という2つのケースは、サイバーセキュリティの専門家たちを当惑させてきた。
それらは敵に恐怖心を植えつけるための、ある種のサイバーテロのように思える。例えば、ソニー・ピクチャーズが制作した金正恩の暗殺パロディ映画『ザ・インタビュー』が公開延期され、その後も公開場所が限定されたのは、まさにこの手法による“成果”だろう。
しかし、一般的なテロ活動とは異なり、北朝鮮はそうした行為が自分たちの仕業だと認めたことは一度もない。北朝鮮のハッカー集団は、「Guardians of Peace(平和の守護者たち)」や「反核」のハッカーグループといった架空集団の陰に隠れている[日本語版記事]。さらに、被害者のコンピューターを破壊してデータを流出させると脅してお金を取ろうとさえしている。
「北朝鮮はそうした撹乱行為を行うことで、公式の外交交渉では否認しながら、彼らのターゲットは意図されたメッセージを受け取るという手段を手にしているのです」と、セキュアワークスの北朝鮮専門研究者であるジョシュア・チャンは指摘する。「IS(イスラム国)やアルカイダとは違い、北朝鮮は旗を振りかざして意思表示したりしません。しかし、科学的捜査で事態が解明されることを知っています。そのようにして取り沙汰されるたび、彼らは大きなメリットを手にするのです」
北朝鮮のサイバー攻撃はまた、同国の一般的な軍事戦略の延長線上としても合理的だ。北朝鮮の軍事戦略は、核ミサイルをはじめとした軍事増強が中心であり、それによって、より大きく資金も豊富な敵国を抑止することができる。「北朝鮮は、軍事的にも経済的にも敵国に劣っているため、相手の攻撃を食い止め、他を圧倒しつつ、軍事的反応を招くことなく力を誇示できるやり方をつかう必要があります」と話すのは、国防総省でかつて北朝鮮関連アドヴァイザーを務め、現在はジョン・ホプキンス大学高等国際関係大学院の客員研究員であるフランク・オムだ。
オムの主張によれば、北朝鮮にとってハッキングとは結局のところ、密かに実行することが可能で、公的には否認できるツールであるだけでなく、“戦場”では標的の反撃をほとんど心配しなくていいものである。「北朝鮮政権はサイバー攻撃を、報復される可能性が低いものとみているのではないでしょうか。というのも、サイバー攻撃は素早く確実に犯人が突き止められるものではないうえ、北朝鮮のネットワークの大半はインターネットから分離されている[日本語版記事]からです」とオムは述べる(北朝鮮のハッカーグループは1万人規模で、中国・瀋陽などを拠点にしていると報道されている[日本語版記事])。
これらを総合すると、北朝鮮による無秩序で一貫性のないハッカー攻撃は、今後も続くだろうことが予想される。なぜなら、攻撃が“成果”をあげているからだ。「彼らが極めて攻撃的なのは、犯人特定が難しく、彼らが窮地に陥っており、規範やタブーにとらわれていないからです」とFireEyeのハルトクイストは言う。「こうした状況では、彼らは必ずしも非合理というわけではありません。しかしいずれにしろ、極めて危険な存在なのです」
RELATED
韓国に導入された新ミサイル防衛システムが「対北朝鮮の万能薬」にはならない理由
