インターネット利用のパターンの変化は、適応力があり革新的な北朝鮮の支配層エリートを露呈している

インターネット利用のパターンの変化は、適応力があり革新的な北朝鮮の支配層エリートを露呈している

_Scope 注:Insikt Groupは、サードパーティのデータ、IPジオロケーション、Border Gateway Protocol(BGP)ルーティングテーブル、およびオープンソースインテリジェンス(OSINT)を多数のツールを使用して分析することにより、北朝鮮の上級管理職のインターネット活動を調査しました。 本レポートで分析されたデータは、2018年3月16日から2018年8月30日までのものです。

このレポートは、テクノロジー、金融、防衛、暗号通貨、物流セクターの政府部門や組織だけでなく、北朝鮮の制裁回避、違法な資金調達、国家支援のcyberespionage._を調査する人々にとっても最も興味深いものとなるでしょう

Executive Summary

この1年半の間に、Recorded Futureは、北朝鮮の最高指導者の行動に関する独自の洞察を明らかにする一連の研究論文を発表してきた。 北朝鮮の支配層エリートは、技術に精通しており、古くて最先端のコンピューター、電話、デバイスをフルに使い制裁回避のツールとしてインターネットを利用し最近では欧米のソーシャル・ネットワーキング・サービスよりも中国のソーシャル・ネットワーキング・サービスを採用するようになったことを、我々は発見した。

このシリーズの最終回となる今回は、インターネットセキュリティ、ソーシャルメディアの使用、暗号通貨のトレンドの持続性を探り、北朝鮮がインターネットを使用して金正恩政権に収益をもたらしている方法についてのより深い洞察を明らかにします。 特に、支配層エリートのインターネット利用のパターンの変化は、北朝鮮の最高指導者がいかに適応力があり、革新的であるかを示している。 金正恩政権は、インターネットの利用と活用のための独自のモデルを開発しており、リーダーシップは、新しいサービスやテクノロジーが役立つときはすぐに受け入れ、そうでないときはそれらを捨てる。

主な判断

背景

2017年4月以降の調査で示されているように、北朝鮮の最高幹部の中には、グローバル・インターネットへの直接アクセスを許可されている少数の人がいる。北朝鮮のインターネットユーザーの信頼できる数はないが、記者らは「ごく少数」から「北朝鮮指導部の側近」、さらには「ほんの数家族」まで推定している。正確な数に関係なく、北朝鮮のインターネットユーザーのプロフィールは明らかで、支配階級の信頼できるメンバーまたは家族である。

北朝鮮のエリートが世界のインターネットにアクセスする方法は、主に3つある。 最初の方法は、割り当てられた.kpを使用することです 範囲、175.45.176.0 / 22、これはまた、国内で唯一のインターネットアクセス可能なWebサイトをホストしています。 これには、co.kp、gov.kp、edu.kp などの 9 つのトップレベル ドメインと、北朝鮮のさまざまな国営メディア、旅行、教育関連サイトの約 25 のサブドメインが含まれます。

2 番目の方法は、チャイナ ネットコムによって割り当てられた範囲 210.52.109.0/24 経由です。ネットネーム「KPTC」は、国営通信会社である 韓国郵政通信株式会社の略です。3 番目の方法は、ロシアの衛星会社が提供する割り当てられた範囲 77.94.35.0/24 を経由することであり、現在レバノンの SatGate に解決されています。

Recorded Futureのタイムライン

北朝鮮の知的財産をめぐる出来事のタイムラインは、2018年3月から8月までの範囲です。

さらに、 4月に確認したように、175.45.176.0/22範囲は、チャイナユニコム(AS4837)とロシアのトランステレコム(AS20485)の両方によってルーティングされています。この範囲の 4 つのサブネットのうち (175.45.176.0/24175.45.177.0/24,175.45.178.0/24、および 175.45.179.0/24)、175.45.178.0/24のみを観測し続けました。TransTelekom を経由してルーティングされています。他の3つはチャイナユニコムによって独占的にルーティングされました。

注:これ以降、「北朝鮮のインターネット活動」や「行動」とは、北朝鮮の国内イントラネット(光明)ではなく、一部の指導者や支配層エリートのみがアクセスを許されるグローバルなインターネットの利用を指している。 このデータは、光明へのアクセスを許可された特権的な北朝鮮人、または北朝鮮にある外交機関や外国の施設へのアクセスが許可されているより大きなグループによるイントラネットの活動や行動についての洞察を提供しません。

インターネット利用の一貫性 — 2017年4月以降のパターンシフト

北朝鮮の指導者たちの日常的なインターネット利用の明確なパターンは、2017年4月以降一貫している。 通常、最も活動的な時間は、午前 8:00 から午後 8:00 または午後 9:00 までです。

毎日のインターネット利用

2018 年 3 月から 8 月までの時間単位の毎日のインターネット使用量 (平均ではありません)。

しかし、活動のピークの日は時間とともに変化しています。 2017年は、土曜日と日曜日が一貫して最も活動量の多い日でした。 特に、土曜日の夜と日曜日の早朝は、主にオンラインゲームやコンテンツストリーミングで構成されるピークがありました。 2018年の間に、このパターンは変化し、従来の平日(月曜日から金曜日)のインターネット利用は増加し、週末の利用は減少しました。 土曜日と日曜日は、コンテンツストリーミングとゲームが依然として支配的です。しかし、これは昨年観測されたよりも、毎週のインターネット利用全体に占める割合は小さくなっています。

毎日のインターネット利用

2018 年 3 月から 8 月までの時間単位および日単位 (平均ではない) の 1 日あたりのインターネット使用量。

毎日のインターネット利用

2018年3月以前からの時間別の1日あたりのインターネット使用量(平均ではありません)。

この変化の要因は不明ですが、時間の経過に伴うこの調整は、インターネットの使用が北朝鮮の指導者の日常業務の大部分を占めていることを示しています。2018年8月、北朝鮮は平壌にある新しいインターネット通信局本部の外部建設を完了した。北朝鮮技術によると、新本社の目的は明確ではないが、グローバルインターネットへのアクセスに重点を置いている可能性があるという。

新しい建物は、北朝鮮がより大きなグローバルインターネットに接続するのを促進する役割を果たしているようですが、その正確な役割は報告されていません。 それはおそらく、平壌がウェブ上に持っている一握りのサイトを提供するサーバーを保持するため、または北朝鮮と世界の他の地域との間を流れるすべてのトラフィックを監視し制御するためのゲートウェイセンターとしての意味があるのかもしれません。

この利用パターンの変化とインターネット通信局本部の完成が相まって、北朝鮮の最高指導者によるインターネット利用の専門化を意味する可能性がある。 これは、これらのリーダーが、自分の娯楽のためではなく、仕事の一部としてインターネットをより多く利用することを意味します。

運用上のセキュリティ行動が中程度

4月の分析では、北朝鮮のインターネットユーザーの間で2つの劇的な行動傾向が見られました。 1つ目は、VPN(Virtual Private Networks)、VPS(Virtual Private Servers)、TLS(Transport Layer Security)、Tor(The Onion Router)などの運用セキュリティ技術の使用が著しく増加したことです。 4月には、北朝鮮の指導者によるこれらのサービスの利用が1,200%増加したことが確認され、これは、主に保護されていないインターネット活動を行うという以前の行動から大きく逸脱していることを示しています。

それ以来、運用上のセキュリティ対策の急増は緩やかになりました。 2018年初頭、難読化されたブラウジングは、北朝鮮の指導者によるインターネット活動全体の13%を占めていました。 2018年9月までに、その割合は5%強に減少しました。 以前は、難読化されたインターネット活動の63%をVPN技術の使用が占めていました。 その後の6か月間で、北朝鮮の指導者の間でのVPNの使用は、難読化された活動のわずか50%に減少しました。 HTTPS(ポート443経由)またはセキュアブラウジングの使用は、運用上安全なブラウジングの49%に増加しました。 しかし、全体としては、VPNの使用の減少が難読化ブラウジングの減少の大部分を占めています。

北朝鮮の指導者によるVPNの使用が減少した理由は、私たちのデータではすぐには明らかではありません。一方で、一部のVPNプロトコルは計算量が多く、信頼性が低い場合があり、ほとんどは サブスクリプションと定期的な支払いが必要であり、多くはデバイス制限があるか、まだ暗号通貨を受け入れていません。一方、ほとんどのVPNサービスプロバイダーには、アプリケーションと設定が簡単な手順があります。さらに、VPN の価格はこれまでに下がっており、ユーザーは月額わずか 3 ドルで 評判の良い信頼できる VPN を利用できるようになりました。

最も可能性が高いのは、北朝鮮のインターネットユーザーが当初、外部からの刺激や要求により、より強力なインターネットプライバシーの方法論を採用したということです。 今年の4月、私たちは、この行動の変化は、北朝鮮のインターネットやメディア活動に対する国際的な注目の高まり、公式の禁止措置の新たな施行、または新たな運用上のセキュリティ要件の結果である可能性が高いと評価しました。

北朝鮮のユーザーに要件やポリシーを課したことが、インターネットセキュリティの劇的な増加とそれに続くこの緩和の最も可能性の高い原因でした。 この要件は、北朝鮮の指導者によるセキュリティ対策の急増を引き起こしたと思われますが、その後、時間、お金、アクセシビリティのコストがメリットを上回り始めると、時間の経過とともに徐々に減少しました。

2018年初頭から中国のソーシャルメディアを継続して使用

2018年初頭、北朝鮮の人々は欧米のソーシャルメディアやサービスからほぼ完全に離れ、中国のソーシャルメディアやサービスに移行しました。 この変更は、2017 年後半から 2018 年初頭までの 6 か月間に発生しました。 北朝鮮の指導者たちは、フェイスブック、インスタグラム、グーグルなどのサービスから、バイドゥ、アリババ、テンセントなどの中国人が運営するサービスに突然切り替えた。

2018年3月1日以降、欧米のソーシャルメディアやサービスからの移行は続いています。 北朝鮮の指導者たちは、欧米や中国の他のどのサービスよりも2倍以上もアリババを利用している。 アリババでのアクティビティには、ビデオやゲームのストリーミング、検索、ショッピングが含まれます。

プロバイダーの毎時アクティビティ

2018年3月1日から2018年8月28日までの8つのソーシャルネットワーキングサイト、ショッピングサイト、検索サイトでの1時間ごとのアクティビティ(実際)。 プロバイダーは、アリババ(最高)からInstagram(最低)まで、人気順にリストされています。

米国のサービスの大半では、北朝鮮のリーダーシップの使用が引き続き減少していますが、2018年4月以降、LinkedInの使用が増加していることが観察されました。 LinkedInでの活動量は、 2017年7月にFacebookやInstagramで観測されたレベルよりも少なかった。 ただし、LinkedInの使用は定期的であり、2018年8月にこのデータセットが終了するまで持続しました。 トラフィックレベルは、2017年の現在のLinkedInユーザーがFacebookユーザーよりもはるかに少ないことを示していますが、西洋のソーシャルネットワーキングサービスからの持続的な動きに対する興味深い対抗を表しています。

暗号通貨の搾取の増加

私たちの以前の調査では、北朝鮮の指導者たちが、限定的または比較的小規模ではあるが、ビットコインとMoneroの両方をマイニングしていることがわかりました。 この期間(2018年3月から2018年8月)では、トラフィック量とピアとの通信速度は両コインとも昨年と同じであり、ハッシュレートやビルドを決定することはできませんでした。 これらの特定の採掘の取り組みは、まだ小規模で、数台のマシンに限定されている可能性が高いと考えています。

しかし、この2018年3月から2018年8月にかけて劇的に変化したのは、北朝鮮による暗号通貨、資産担保型の「アルトコイン」、暗号通貨エコシステムの悪用です。

2018年6月、 Interstellar、Stellar、またはHOLDコインと呼ばれるアルトコインに関連付けられたいくつかのノードとの多数の接続と大量のデータ転送に気づき始めました。HOLDコインは「アルトコイン」として知られており、モネロ、イーサリアム、ライトコインなどのより確立され広く使用されているコインを含む、ビットコイン以外の暗号通貨を指します。1,000 を超えるアルトコインがあり、そのほとんどはビットコイン フレームワークのバリエーションです。

2018年初頭、HOLDコインはステーキングと呼ばれる利息と初期収益を生み出すプロセスを経ました。 ステーキングとは、ユーザーが初期数のコインをマイニングするが、一定期間はそれらを取引できないことです。 その後、コインは価値とユーザーベースを構築できるため、コイン開発者は、任意の時点で取引できるウォレットを規制することでコインの価値を制御できます。 新しいまたは未知のアルトコインのステーキングに参加することは、開発者がステーキングの時間枠を制御し、コインの価値が下落したときに多くのユーザーが投資を失う程度まで取引を制限する可能性があるため、リスクを伴う可能性があります。

2018年の間に、HOLDコインは一連の 取引所に上場および上場廃止され、2018年8月にスワップとブランド変更(新しい名前は HUZU)を受け、この出版物の時点で、HOLD投資家を高く残しています。北朝鮮のユーザーがインターステラー、ステラ、またはHOLDアルトコインに関与していたことは、低い確信度で評価しています。

編集者注:上記の段落を編集して、HOLDからHUZUへのスワップとブランド変更がレポート期間の終わりに表示されたことを明確にしました。

私たちは、北朝鮮のために行われたと高い確信を持って評価している他のブロックチェーン詐欺が少なくとも1つ発見されました。 これは、Marine Chain Platformと呼ばれるブロックチェーンアプリケーションでした。

2018年8月にいくつかの ビットコインフォーラム で、仮想通貨としてのマリンチェーンに関するビットコインの議論に出くわしました。Marine Chainは、複数のユーザーと所有者のために海上船舶のトークン化を可能にする資産担保型暗号通貨だったと思われます。他のフォーラムのユーザーは、www[.]マリンチェーン[.]イオ別のサイトのほぼ鏡像でした、www[.]船主[.]イオ。

ウェブサイトのスクリーンショット

2018年4月 のマリンチェーンのスクリーンショット[.]io と船主[.]イオフォーラム参加者によって提供されました。

ドメイン登録履歴

marine-chain[.]イオ。

マリンチェーン[.]ioは、登録以来、4つの異なるIPアドレスでホストされています。2018年4月9日から2018年5月28日まで、マリンチェーン[.]io は 104[.]25[.]81[.]109.この間、このIPアドレスはallcryptotalk[.]網2015年6月以来新しいコンテンツを投稿していないこと、およびBinary Tiltと呼ばれる詐欺的なバイナリーオプション取引会社のウェブサイト。この会社はカナダのオンタリオ州政府によって詐欺と宣言され、 数十人のユーザーが 数万ドルから数十万ドルの損失と 詐欺 の証言をこのサイトに投稿しています。

マリンチェーンのウェブサイトは解決されなくなりましたが、マリンチェーンプラットフォームという会社によって運営されていました。LinkedIn ページを除けば、同社はオンラインでの存在感が最小限で、顧客の声もなく、スタッフもほとんどいませんでした。Marine ChainのLinkedInページは、2017年5月から「海事業界のブロックチェーンスペシャリスト」であり、Marine Chain PlatformのCEOのアドバイザーを務めていると主張するTony Walkerという人物の代名詞でした。

2018年10月1日、LinkedInでMarine Chain Platformを検索すると、 HyoMyong Choiという別のアドバイザーも見つかりました。チェ氏は、韓国の仮想通貨投資家、ICOのアドバイザー、エンジェル投資家として自らを名乗った。彼はまた、InnoShore, LLCという別の会社の最高執行責任者(COO)を兼任していると名乗っています。

LinkedInプロフィール

2018年10月1日からのチェ・ヒョミョンのLinkedInプロフィール。

LinkedInプロフィール

2018年10月15日からのチェ・ヒョミョンのLinkedInプロフィール。 このスクリーンショットでは、Choi 氏は Marine Chain Platform と InnoShore, LLC の両方のエクスペリエンスを削除しています。

ウォーカー氏とチョイ氏は、シンガポール国立大学に通っていたと主張しており、同じ推薦者を多数持っている。 チョイ氏はエイドリアン・オン(Adrian Ong)としても知られており、それは彼の(おそらく偽の)Facebookページによって証明されている。 このアカウントは2018年3月に作成され、プロフィール写真は、韓国の学生が米国と英国の大学に通うのを支援する韓国企業の従業員から盗まれました。

Facebookページ

チェ・ヒョミョン、またはエイドリアン・オンのFacebookページ(被害者のプライバシー保護のため顔を黒く塗りつぶしています)。

チョイ(オン氏)の友人は2人しかおらず、どちらも東南アジアにいて、大きなソーシャルネットワークを持っていました。 この2つのアカウント以外に、チェ氏(またはオン氏)は他のオンラインプレゼンスを持っていません。

私たちが追跡できたもう一人のマリン・チェーン・プラットフォームの著名な従業員は、キャプテン・ジョナサン・フン・カー・ケオンというCEOでした。彼のLinkedInプロフィールによると、大尉。フーンは何十年もの間シンガポールの海事産業で活躍してきました。彼は現在、LinkedInのプロフィールにMarine Chainでの自分の立場を明記していませんが、過去1年間に数多くのイベントで講演し、Marine Chainでの自分の立場やmarine-chain [.] ioの創設者としての立場を繰り返し引用しています。

フォーラムのスクリーンショット

Foong氏が2018年4月に海運業界とブロックチェーンについて参加したフォーラムのスクリーンショットで、marine-chainのCEOとしての彼の肩書きが記載されています。イオ。

キャプテンを作るもの。フォン氏は、平均的な仮想通貨やブロックチェーンの詐欺師と一線を画しているのは、少なくとも2013年から北朝鮮の制裁回避活動を支援してきたシンガポール企業と関係があることだ。2015年に北朝鮮に特化した政策研究サイト 38North.org が発表した調査では、Capt.フォン氏は、「北朝鮮に代わって違法行為を促進し、国連認可のエンティティと取引している」シンガポールの企業に勤務したり、助言したりしたことが 2回 特定されている。

会社の大尉。Foongが働いてきたのは、 北朝鮮船の便宜旗として頻繁に使用されていた3か国の国旗登録の操作でした

大尉。 Foongは、北朝鮮が国際的な制裁を回避するのを支援する世界中のイネーブラーのネットワークの一部です。 これらのMarine Chain Platformへの接続は、この広大で違法なネットワークが暗号通貨やブロックチェーン技術を利用して金正恩政権の資金を調達した初めてのものです。

大まかに言えば、この種の仮想通貨詐欺は、長 年韓国を悩ませ てきた脱 北者によって説明 された低レベルの金融犯罪のテンプレートに当てはまり、国際社会が追跡し始めたばかりです。これは、長年にわたって暗号通貨の世界に深く根付いてきたアクターのグループにとっても、国際制裁の影響に対抗するために新たな資金源の革新を余儀なくされているネットワークにとっても、自然なステップです。

北朝鮮の海外進出:詳細が明らかになる

これまでの研究では、世界中の国々における北朝鮮の物理的および仮想的な存在を特定するためのヒューリスティックを開発しました。そのヒューリスティックには、これらの国との間の北朝鮮のインターネット活動の平均以上のレベルだけでなく、ニュースアウトレット、地区または市政府、地元の教育機関など、多くの地元のリソースの閲覧と使用も含まれていました。

この手法により、インド、中国、ネパール、ケニア、モザンビーク、インドネシア、タイ、バングラデシュなど、北朝鮮人が物理的に居住している、または居住している8つの国を特定することができました。 この最新の期間(2018年3月から2018年8月)では、これら8か国が関与する北朝鮮のインターネット活動を再調査し、中国とインドのデータの信頼性を高めました。

中国

北朝鮮の指導者がアリババ、バイドゥ、テンセントなどが提供する中国のインターネットサービスを広範囲に利用しているため、中国国内の北朝鮮人と思われる人々のインターネット活動を抽出することは複雑になっている。 これまで、Recorded Futureは、北朝鮮の人々を受け入れている可能性のある地域や、利用されている地元の資源について、ほとんど洞察を持っていなかった。

ローカルレベルでは、ヒューリスティックデータのサブセットとして、北京、上海、瀋陽地域だけでなく、南昌、武漢、広州にも関与する大量の活動を発見しました。これらの都市や地域の中には、中国で活動する北朝鮮人にとって 伝統的な北東 部の拠点と考えられていた場所の外にあるものもある。

また、これまで不明瞭だった中国の学術界における北朝鮮人に関する新たな手がかりも発見しました。 以下は、現在、または以前に受け入れた北朝鮮の学生、教師、またはパートナーを中程度の信頼度で評価した中国の大学のリストです。

インド

この期間中、インドが関与した北朝鮮の活動の行動パターンは変わらなかったが、いくつかの追加の詳細を特定することができた。インドの活動の多くは、いくつかの 経済特区 (SEZ)、特にノイダとコーチンの経済特区に関係していました。

ローカルレベルでは、ヒューリスティックデータのサブセットとして、デリー、バンガロール、コルカタ、ハイデラバードで大量の活動を発見しました。 インド気象局と国立リモートセンシングセンターが関与する不審なトラフィックが再び観測されましたが、悪意を判断することはできませんでした。

これらの国のほとんどにとって、このヒューリスティックは、既知の北朝鮮の違法な資金調達または物流ネットワークと密接に関係していました。非営利団体 C4ADS が北朝鮮の違法な資金調達ネットワークについて実施した調査は、その好例である。8月、C4ADSは、北朝鮮の海外強制労働を国別、レストランや製品など部門別に紹介した報告書を発表した。北朝鮮の不正資金調達ネットワークとインターネット活動が繰り返されるこの繰り返しは、なぜロシアが私たちの行動ヒューリスティックに合わないのかを再検討するきっかけとなりました。

ロシア

量的には、ロシアが関与する活動は、中国やインドが関与する北朝鮮のインターネット活動のほんの一部に過ぎない(約0.05 たとえば、中国からのボリュームの割合)。 サービス面では、北朝鮮の人々はロシアのサービスを利用しており、定期的に mail.ru を訪れ、Yandexをたまにしか利用していなかった。 都市レベルでは、主にソチ、モスクワ地方、ウラジオストクで小規模な活動が行われました。

この期間(2018年3月から2018年8月)にロシアにいた北朝鮮人の種類は、私たちが特定した他の多くの国とは異なっていた可能性があります。ロシアにいる北朝鮮労働者 の多く は肉体労働者であり、多くの場合、「奴隷のような」または「非人道的な」条件で収容され、働いている。これは、情報経済の労働者であり、世界中の顧客ベース向けにモバイルゲーム、アプリ、ボット、その他のIT製品を構築する中国などの他国の一部の北朝鮮労働者とは対照的です。中国にも確かに肉 体労働者 が多数 いるが、ロシアには北朝鮮の熟練労働者が少ない可能性がある。この種の情報経済の仕事は、搾取的な肉体労働とは異なるインターネットの指紋を作成し、物理的な存在とインターネット活動の間の不一致を明らかにする可能性があります。

したがって、行動ヒューリスティックを通じて特定した国は、サービス経済または情報経済で北朝鮮の労働者を受け入れている可能性が高いと評価します。これらの労働者は依然として 収入の大部分を自国に送金していますが、日常業務にはインターネット アクセスが必要であったり、顧客と接しているため、抑圧の少ない環境で生活している可能性があります。

今後の展望

過去1年半にわたり、北朝鮮に関する私たちの調査は、北朝鮮の最高幹部のデジタルライフへの比類のない窓を提供してきました。私たちは、米朝関係におけるユニークな時期のリーダーシップ活動を追跡し、分析してきました。「最大圧力」キャンペーンの期間、ミサイル発射と実験活動が最も多かった期間、そして米国と北朝鮮の指導者の間で 史上初の首脳会談 が行われた。

この調査シリーズの核心は、北朝鮮の最高指導者がいかに適応力があり、革新的であるかを示していることです。 彼らは、新しいサービスやテクノロジーが役立つときはすぐに受け入れ、そうでないときはそれらを捨てます。 金正恩政権は、インターネットを利用し、搾取するためのユニークなモデルを開発しました - それは犯罪シンジケートのように運営されている国家です。

特に、金正恩政権は、暗号通貨、さまざまな銀行間送金システム、「ギグエコノミー」の多元化、オンラインゲームなどを利用(および活用)することにより、収益創出と制裁回避のための強力なツールとしてインターネットを育ててきました。 彼らはこれを、何十年にもわたる密輸ネットワークと、腐敗した外交官、大使館、領事館のシステムと組み合わせてきた。

この物理的と仮想的な融合が北朝鮮の成功を可能にし、国際的な規制当局と執行者を混乱させています。 北朝鮮がインターネットから得た価値に正確なドルの数字を割り当てることは決して不可能かもしれないが、その重要性を過小評価することはできない。

国際的には、各国は北朝鮮のインターネット活動のグローバル化した性質と脅威に取り組み始めたばかりです。特に米国は、北朝鮮のオペレーターであるパク・ジンヒョク氏を 刑事告訴 し、他の多くの事業者を巻き込んだ。これは優れた第一歩であり、インターネット作戦を宣伝するさらなる行動、非伝統的な外交パートナーへの働きかけ、北朝鮮のインターネットを利用した制裁回避を弱めるためのより柔軟でダイナミックなメカニズムでフォローアップする必要がある。

これは、北朝鮮の指導者によるインターネットセキュリティと匿名化サービスの使用、およびドメインプライバシーと大規模なホスティングサービスの急増という2つの傾向の結果として、私たちの洞察が限られていたため、北朝鮮のリーダーシップのインターネット活動に関する最後の定期レポートでもあります。

第一に、北朝鮮の支配層エリートがインターネットセキュリティ手続きを縮小したにもかかわらず、北朝鮮の人々とすべてのインターネットユーザーの両方にとって、広範な傾向が強まっている。 つまり、北朝鮮のインターネット閲覧を追跡し、新たな洞察を明らかにすることは、時間の経過とともに難しくなる一方です。

次に、大規模なテクノロジー企業は、DNSからコンテンツ配信、クラウドサービスなど、ますます幅広いサービスを顧客に提供しています。 ネットワークの観点からは、一般的なDigitalOcean、Cloudflare、またはGoDaddyの登録の背後にある最終コンテンツを見極めることは非常に困難です。 ポートやプロトコルでさえ、提供するデータ量は限られており、多くの場合、DigitalOceanボックスで終了するIPは何も明らかにしません。

私たちは引き続き北朝鮮のIP範囲を監視し、重要な発見やイベントについてアドホックに報告します。

ネットワーク防御に関する推奨事項

Recorded Futureは、組織がネットワーク上での潜在的な北朝鮮の活動を特定する際に、以下の対策を講じることを推奨しています。

注:前述のポートは、特定の暗号通貨に設定されたデフォルトのポートです。 暗号通貨マイニングソフトウェアがデフォルトのポートを上書きするように変更された可能性があります。 さらに、他のサービスも、エンタープライズ設定に基づいてリストされたポートで動作するように構成されている場合があるため、リストされたポートのネットワークトラフィックのIDSおよび/またはIPSアラートは誤検出を引き起こす可能性があります。

さらに、組織には、次の一般的な情報セキュリティのベストプラクティスガイドラインに従うことをお勧めします。