北朝鮮の支配層エリートは孤立していない

北朝鮮の支配層エリートは孤立していない

insikt-group-logo-updated-3-300x48.png

北朝鮮のインターネット活動の詳細な分析は、情報に通じ、現代的で、技術に精通した支配エリートを明らかにしている。

Executive Summary

これは、北朝鮮に関するシリーズの第2部です。「北朝鮮は狂っていない」と題された第1部で、北朝鮮のサイバー攻撃者は狂ったわけでも非合理的でもなく、他のほとんどの諜報機関よりも作戦範囲が広いだけであることを明らかにした。

ここでは、諜報パートナーである チーム・シムルを通じて分析を充実させ、北朝鮮の指導部と支配エリートがインターネットをどのように利用しているか、そしてそれが彼らの計画や意図について何を教えてくれるかについて独自の洞察を明らかにする包括的な調査を実施します。

私たちの分析は、インターネットにアクセスできる限られた数の北朝鮮の指導者と支配層エリートが、欧米や人気のあるソーシャルメディアに積極的に関与しており、定期的に国際ニュースを読み、ビデオストリーミングやオンラインゲームなどの同じサービスの多くを利用しており、そして何よりも、北朝鮮の行動が国際社会に与える影響や、世界全体から切り離されていないことを示しています。 さらに、我々は次のように結論付けました。

この分析は、私たちのブログシリーズのパート1と合わせて、北朝鮮の非核化の道に向けて探求できる他の政権の圧力ポイント、そしてその結果として、他のツール、技術、パートナーが存在する可能性が高いことを示しています。

背景

north-korea-internet-activity-1.jpg

韓国のメディアは、北朝鮮には 400万 台ものモバイル機器がある可能性があると評価している。そのため、北朝鮮ではモバイル機器が 普及 しているが、北朝鮮国民の大多数はインターネットにアクセスできない。一般の北朝鮮国民に販売されるモバイル機器(下の北朝鮮製機器の 画像 参照)は、音声、テキストメッセージ、画像/ビデオメッセージなど、最小限の3Gサービスで可能であり、北朝鮮の国内プロバイダーネットワークであるコリョリンクでのみ動作するように制限されている。

大学生、科学者、一部の政府関係者など、少数のユーザーは、大学やインターネットカフェの共用コンピューターを介して北朝鮮の国内国営イントラネットへのアクセスを許可されている。Slate は、国内のイントラネットを 次のように説明しています。

光明(クァンミョン)と呼ばれるこのネットワークは、現在、図書館、大学、政府機関をつないでおり、徐々に裕福な市民の家庭にも浸透しつつある。 国内の多数のWebサイト、オンライン学習システム、および電子メールが格納されています。 サイト自体は、全国的なニュースサービス、大学、政府のITサービスセンター、その他いくつかの公式組織に属しています。 また、韓国料理のレシピが載っている料理サイトもあるようです。

north-korea-internet-activity-2.jpg

金日成大学のコンピュータ室。情報源: ソフィー・シュミット

国のイントラネットの使用を許可された選ばれた少数の人の中には、世界中のインターネットに直接アクセスすることを許可されている最上級指導者や支配エリートのさらにスリムなグループがいます。北朝鮮のインターネットユーザーの信頼できる数はないが、記者らは「ごく少数」から「北朝鮮指導部の側近」、さらには「ほんの数家族」まで推定している。正確な数に関係なく、北朝鮮のインターネットユーザーのプロフィールは明らかです。支配階級の信頼できるメンバーまたは家族。

北朝鮮のエリートがインターネットにアクセスする方法は、主に3つある。

1つ目は、割り当てられた.kp経由です範囲は 175.45.176.0/22 で、国内で唯一のインターネットにアクセスできる Web サイトもホストしています。これらには、9つのトップレベルドメイン(co.kp、gov.kp、edu.kp など)と、北朝鮮のさまざまな 国営メディア、>旅行、 教育関連サイトの約25のサブドメインが含まれます。

north-korea-internet-activity-3.png

2 番目の方法は、チャイナ ネットコムによって割り当てられた範囲 210.52.109.0/24 経由です。ネットネーム「KPTC」は、国営電気通信会社である 韓国郵政通信社の略語です。

north-korea-internet-activity-4.png

3つ目の方法は、ロシアの衛星会社が提供する割り当てられた範囲 77.94.35.0/24を経由する方法で、現在レバノンのSatGateに解決されています。

north-korea-internet-activity-5.png

編集者注

一つは、ここから「北朝鮮のインターネット活動」や「行動」と言及するとき、アクセスを許可された選ばれた少数の指導者や支配層エリートによるインターネット(北朝鮮国内のイントラネット「光明」ではない)の使用を指しているということだ。 このデータは、北朝鮮にある光明や外交機関、外国の施設へのアクセスを許可された特権的な北朝鮮人のより大きなグループによるイントラネットの活動や行動についての洞察を提供するものではありません。

2つ目は、2017年4月1日から7月6日までのこの日付範囲を選んだのは、ミサイルの発射とテスト活動が最も多かった期間の1つであり、また、データの深さと忠実度が最も高い期間であったためです。 2017 年 1 月 1 日までさかのぼるデータがありますが、そのデータセット (1 月 1 日から 3 月 31 日) は堅牢性がはるかに低くなっています。

解析

2017年4月1日の早朝、欧米の多くの人々が起きてメールやソーシャルメディアをチェックしていたとき、北朝鮮のエリートの小さなグループがほぼ同じ方法で一日を始めた。 新華社や人民日報でニュースをチェックした人もいれば、163.com メールアカウントにログインした人もいれば、Youkuで中国語のビデオをストリーミングしたり、BaiduやAmazonを検索したりした人もいた。

Recorded Futureによるこの期間限定のデータセットの分析は、この孤立した国と支配体制についての新たな洞察を与えてくれました。 私たちの分析は、インターネットにアクセスできる限られた数の北朝鮮の指導者と支配層エリートが、北朝鮮以外の多くの人々が以前に考えていたよりもはるかに活発で、世界、大衆文化、国際ニュース、そして現代的なサービスや技術に関与していることを示しています。 北朝鮮の指導者たちは、世界や彼らの行動の結果から切り離されているわけではありません。

このデータソースは絶対的なものではありませんが、2017年4月から7月にかけての北朝鮮のインターネット利用と活動の詳細な全体像を提供し、その結果、多くのユニークな新しい洞察に到達することができます。

このデータは、北朝鮮の指導部と支配層エリートが現代のインターネット社会につながっており、ミサイル実験、自国民の抑圧、犯罪活動などに関する彼らの決定が国際社会に与える影響を認識している可能性が高いことを明らかにしている。 これらの決定は、多くの人が信じているように、孤立して行われるわけでも、情報不足でもありません。

使用パターンミラーウエスタンユーザー

北朝鮮のエリートや指導部のインターネット活動は、インターネットにアクセスできる人の数が極端に限られているにもかかわらず、多くの点でほとんどの西洋人とそれほど変わらない。それに到達するためのコンピューターとIPスペースの両方の比較的少ない数。言語的、文化的、社会的、法的な障壁。そして、世界の他の地域に対する純粋な敵意。

たとえば、先進国のユーザーと同様に、北朝鮮人はオンラインでソーシャルメディアのアカウントをチェックしたり、ウェブを検索したり、AmazonやAlibabaを閲覧したりすることに多くの時間を費やしています。

フェイスブックは、2016年4月に北朝鮮の検閲当局によってブロックされたという 報道 にもかかわらず、北朝鮮の人々にとって最も広く利用されているソーシャル・ネットワーキング・サイトである。

north-korea-internet-activity-6.png 2017年4月1日から7月6日までの8つのソーシャルネットワーキングサイト、ショッピングサイト、検索サイトでの1時間ごとのアクティビティ(実際)。 プロバイダーは、Facebook(最高)からApple(最低)まで、人気順にリストされています。

さらに、北朝鮮の人々は、この期間の日常的な使用についても明確なパターンを持っています。 平日は、午前 9:00 から 8:00 または 9:00 までが最も活動量の多い時間帯で、月曜日と火曜日が一貫して最も活動量の多い日です。

north-korea-internet-activity-7.png 時間ごとの毎日のインターネット使用量(平均ではありません)。

ミサイル活動の早期警戒ではない

多くの研究者や学者は、北朝鮮のサイバー活動とミサイルの発射や実験との間には関連性があるのではないかという仮説を立てています。 特に、北朝鮮のサイバー活動やインターネット活動に基づくミサイル実験を予測または予測できる可能性があるということです。 このデータセットを使用して、この限られた期間において、北朝鮮の悪意のあるサイバー活動のレベルを調べることはできませんでしたが、北朝鮮のインターネット活動全体とミサイルの実験や発射との間に相関関係は見られません。

インドの北朝鮮大使館

2017 年 4 月 1 日から 7 月 6 日までの毎日の実際のインターネット アクティビティ。 赤いバーは、北朝鮮のミサイル実験または発射の日付です。

この現在のデータセットは、ミサイル実験の警告装置としてのインターネット活動の有用性について、長期的な結論を適用するには短すぎる。 しかし、我々の分析は、北朝鮮の活動とミサイル実験との間に相関関係があるとすれば、それは指導部や支配層エリートのインターネット行動によって電報で伝えられていないことを示唆している。

海外でのプレゼンス

2017年4月から7月にかけて北朝鮮本土からの悪意のあるサイバー活動がほとんどなかったことは、ほとんどの場合、北朝鮮がサイバー作戦を実施するために領土資源を使用しておらず、国家が支援する活動のほとんどが海外から行われていることを示している可能性があります。 これは、金正恩政権に非対称的な圧力をかけ、現在の北朝鮮のサイバー作戦の自由と柔軟性を制限し、彼らが罰せられることなく活動できる度合いを低下させるために悪用される可能性のある重大な作戦上の弱点です。

このデータと分析は、北朝鮮が悪意のあるサイバー活動や犯罪活動に関与している可能性が高い国など、世界中のいくつかの国に北朝鮮が物理的および仮想的に存在していることを示しています( パート1で実証したように)。これらの国には、インド、マレーシア、ニュージーランド、ネパール、ケニア、モザンビーク、インドネシアが含まれます。

私たちの分析に基づいて、次のことを決定することができました。

north-korea-internet-activity-9.jpg

インドの北朝鮮大使館。(情報源)

北朝鮮は、ニュージーランド、マレーシア、ネパール、ケニア、モザンビーク、インドネシアでも大規模かつ積極的に活動しています。 私たちの情報源は、これらの国々との間の活動が平均以上であるだけでなく、多くの地元の情報源、報道機関、政府に対しても、他の国々での北朝鮮の活動の特徴ではなかったことを明らかにした。

北朝鮮は、瀋陽に中国人と ホテルを共同所有 するなど、中国でサイバー作戦を行う物理的な存在をしており、そこから北朝鮮が悪意のあるサイバー活動を行っていることが広く 報じ られている。この期間に観測されたすべての活動のほぼ10%が中国に関係しており、中国の通信会社が提供するインターネットアクセスポイントは含まれていません。

私たちの分析では、中国の活動プロファイルが上記の7カ国と異なっていたことが主な原因で、北朝鮮の指導者のユーザーが淘宝網、阿利雲、友空などの中国のサービスを非常に多く利用していたため、データが歪んでいたことがわかりました。 中国のインターネットサービスの利用を考慮した後、もちろん、これは中国での物理的または仮想的な存在を意味するものではなく、中国のローカルリソース、報道機関、および政府部門への活動パターンは、以前に特定された7つの国を反映しています。

この中国の例では、私たちが発見した明確な活動パターンと、すでに知られているサイバー作戦の施設を組み合わせることで、他の7カ国に適用できるモデルが提供されています。

北朝鮮が世界のいくつかの国で物理的および仮想的に大きな存在感を示しているという事実と、パート1の以前の調査と合わせると、北朝鮮は第三国からサイバー作戦を行っている可能性が高いと思われます。 したがって、これらの国からの悪意のあるサイバー活動が、領土内の北朝鮮からの活動とは対照的に、ミサイルの発射や実験と相関しているかどうかを調査する別の方法となるでしょう。

セキュリティの不備が新たなインテリジェンスにつながる

この時期の北朝鮮のインターネット活動のうち、何らかの形で難読化または保護されたのは1%未満だった。この基準を満たす活動の中で、取引は、 TLS/SSL の誤った実装から、複数の仮想プライベート ネットワーク (VPN) と仮想プライベート サーバー (VPS) のほぼ追跡不可能なチェーンを利用して大量のデータを転送することまで、多岐にわたりました。

誤った実装の例として、ある北朝鮮のユーザーは、わざわざ Tor(The Onion Router) を使用してアクティビティを難読化しましたが、その後、トレントファイル共有を使用し、3か月以上にわたって毎日同じノードからTorネットワークを終了しました。

難読化技術を採用したユーザーのうち、VPNやVPSのサービスやプロバイダーが幅広く利用されていました。 北朝鮮の人々が消費するVPNとVPSのほとんどすべては、月額サブスクリプションであり、おそらく個人または政府の部門によって管理されています。

これらのサービスがどのように購入されるかは明らかではなく、プロバイダーの多くは大規模で有名な西洋企業です。 これらには、Sharktech、iWeb、Digital Ocean、Linode、Leaseweb USA、Telemax、Touch VPNなどが含まれます。

多くのVPNとVPSは、受動的なインターネット監視または国内の検閲から、ブラウジングを難読化または促進するために使用されました。

1つの米国のVPNは、Gmailアカウントの確認、Google Cloudへのアクセス、FacebookおよびMSNアカウントのチェック、アダルトコンテンツの閲覧にiPadで使用されました。 他のVPNとVPSは、Metasploitの実行、ビットコインを使用した購入、Twitterのチェック、ビデオゲームのプレイ、ビデオのストリーミング、Dropboxへのドキュメントの投稿、Amazonの閲覧に使用されました。

この一般的に不十分な難読化の結果として、このデータは、北朝鮮のリーダーシップとエリートの利益について、これまでにない洞察を私たちに与えてくれました。 たとえば、多くのユーザーはVoIPサービスを利用して、海外の他の人と話したりメッセージを送ったりしていました。他の人はまだAOLアカウントを持っていて、定期的にチェックしていました。一部のユーザーは美容と健康のサイトを頻繁に訪れました。他の人はオンラインで高価なスニーカーを買いました。多くのユーザーが産業用ハードウェアとテクノロジーの最適化サービスを調査しました。また、iPhone、iPad、Blackberryを使用して通信する人もいました。

他のユーザーは、Kaspersky、McAfee、Qihoo360、Symantec などのサイバーセキュリティ企業とその研究の調査に毎日時間を費やしました。 DoSarrestSharktech などの DDoS 防止企業やテクノロジー。1人はTHURAYAや衛星通信機器の使用に関するトレーニングを受け、他のユーザーはマレーシア、米国、カナダのいくつかの大学の物理学部と工学部で研究しました。

ゲームとコンテンツストリーミングは、北朝鮮におけるインターネット活動全体の65%を占めた。大まかに言えば、ユーザーは主に中国のビデオホスティングサービスである Youku、iTunes、さまざまなBitTorrentおよびピアツーピアストリーミングサービスからのコンテンツを消費しています。ゲームは北朝鮮ユーザーが バルブ が主催するゲームと ワールド・オブ・タンクという大規模マルチプレイオンラインゲームを好むようだ。

疑わしいアクティビティ

この期間中の北朝鮮からの活動の大部分は悪意を持っていませんでしたが、非常に疑わしい活動は少数ではありますが、かなりの量でした。 1つの例は、5月17日に北朝鮮のユーザーによるビットコインマイニングの開始でした。

ビットコイン wiki によると、 ビットコイン マイニング は「過去の取引 (または ブロックチェーン) のビットコインの公開台帳に取引記録を追加するプロセス」です。ビットコインのマイニングは、計算的に複雑なタスクであり、マシンの電力の最大 90% を必要とする可能性があるため、困難です。

このエネルギーをすべて使用し、取引記録をブロックチェーンに追加する利点は、各マイナーに取引を送信するユーザーが支払った手数料だけでなく、新しいブロックを発見すると25ビットコインが授与されることです。

その日以前は、ビットコイン関連のサイトやノードへの活動、ビットコイン固有のポートやプロトコルの利用は事実上行われていませんでした。5月17日以降、その活動は指数関数的に増加し、1日あたり何もないものから数百人に増加しました。このマイニングは、金政権の資金調達の試みとして、NSAが北朝鮮の諜報機関である偵察総局(RGB)によるものだと している 5月の WannaCry ランサムウェア攻撃の直後に始まったため、このマイニングのタイミングは重要です。

この時点で(5月17日)、政府内の関係者は、3つのWannaCry身代金アカウントからビットコインを移動するのは追跡が容易で、攻撃の否認を維持したいのであれば賢明ではないことに気付いていたでしょう。

北朝鮮のビットコインマイニング事業を誰が運営しているのかは明らかではありません。しかし、北朝鮮のコンピュータの数が比較的少なく、IPスペースが限られていることを考えると、この計算集約的な活動が国家の制御外で行われている可能性は低いです。

さらに、この期間中、一部の北朝鮮のユーザーは、多くの外国の研究所や研究センターで研究、またはおそらくネットワーク偵察を行っていたようです。

特に 、インド宇宙研究機構国立リモートセンシングセンターインド国立冶金研究所フィリピン科学技術省先端科学技術研究所 を標的とした活動は、疑惑のフラグを立てましたが、悪質な行為は確認できませんでした。

インパクト

北朝鮮に対する国際的な政策と関与戦略は、同じ一連のツール(制裁、国際的な孤立化)に依存し、同じ国(中国、ロシア、国連安全保障理事会常任理事国5カ国)をパートナーとして関与してきたため、何十年にもわたって影響力を持つのに苦労してきました。 この 2 部構成のシリーズは、体制には他の圧力ポイントがあり、その結果、調査すべき他のツール、手法、パートナーが存在する可能性が高いことを示しています。

Team Cymruの諜報活動とRecorded Futureの分析により、2つの別々の現実が明らかになりました。

第一に、制裁や大規模な国際的圧力にもかかわらず、北朝鮮の指導者たちは外部から孤立しているわけではない。 彼らは、現代のインターネット社会と経済に積極的かつ熱心に参加しています。つまり、北朝鮮の指導部を世界経済から締め出そうとする試みは、ほとんど失敗に終わっている。

第二に、現在の金正恩政権に永続的な悪影響をもたらすためには、平壌や領土的な北朝鮮に焦点を当てない新しいツールが必要である。 私たちは、西側が提携できる他の国や、北朝鮮に非対称的な圧力をかけるために利用できる代替のツールや技術を特定しました。 インド、マレーシア、インドネシア、あるいは上記で特定された他の国々と提携することで、米国や他の西側諸国は、中国やロシアの非協力的なパートナーを回避し、北朝鮮の広範な作戦上のディアスポラに圧力をかけることができるだろう。

サイバーセキュリティの専門家やネットワーク防御者にとって、この2部構成のシリーズでは、北朝鮮の悪意のあるサイバー活動から身を守ることがいかに複雑であるかを明らかにしています。 我々は、金融サービス企業及び米韓軍のTHAAD配備及びペニンシュラ作戦を支援する者に対し、朝鮮半島におけるネットワーク及び作戦に対する脅威環境の高まりについて、最大限の警戒と認識を維持することを引き続き推奨する。

同様に、エネルギー企業やメディア企業、特に韓国のこれらのセクターに所在する、または支援している企業は、DDoS、破壊的なマルウェア、ランサムウェア攻撃など、北朝鮮からの幅広いサイバー活動に注意する必要があります。 大まかに言えば、すべてのセクターの組織は、ランサムウェアの適応性を常に認識し、脅威の進化に応じてサイバーセキュリティ戦略を変更する必要があります。