第36回 深刻な被害?北朝鮮からのサイバー攻撃

前回、ロシアのウクライナ侵攻に伴うサイバー攻撃、特に日本への余波について解説しました。今回は隣国(あまり意識されませんが、ロシアも)北朝鮮からのサイバー攻撃です。最近では特に北朝鮮のサイバー攻撃が話題になります。新聞紙上で、『国連安全保障理事会は、公表した年次報告書において、北朝鮮がサイバー攻撃を行って、海外から暗号資産(仮想通貨)や極超音速ミサイルの開発技術を盗み取った』と報道されました。本当に北朝鮮がサイバー攻撃を頻繁に行っているのでしょうか。そもそも先進各国を押しのけて、高いサイバー攻撃能力を備えているのでしょうか?

まず最初に、北朝鮮あるいはその関連組織がサイバー攻撃を一切行っておらず、サイバー攻撃によって資金供与を受けていないとは決して言っていません。確実な証拠があるわけではなく、国連の報告書だからと言って、北朝鮮という国家が関わっている可能性について指摘しているだけなのです。

毎年、北朝鮮制裁委員会の専門家パネルがまとめたと言われる年次報告書が国連から公表されています。サイバー攻撃案件では確証があるわけではありません。その可能性が指摘されているだけです。日本では、これらのサイバー攻撃に関しては北朝鮮を含む、ロシアや中国といった、いわゆる西側諸国に相対する国家の犯行と報道されることが多いようです。しかし明確な証拠はほとんどないのです。「証拠」としてよく取り上げられる例として、サイバー攻撃で用いられるマルウェア(コンピューターウイルス)やダークウェッブにおいて、ロシアを含む東欧圏で用いられるキリル文字やハングルが用いられていることが挙げられます。最近流行しているランサムウェアの一部では、東欧圏で利用される文字コードが検出された場合、機能しないように設計されていることもその証左と言われています。つまりそれらのことから親ロシア国、そして北朝鮮の強い関与が疑われるだけなのです。極論すれば、ほとんどのマルウェアやダークウェッブが英語で記述されていることから英語圏、特に米国が関与していると主張するぐらいの非常に弱い理由です。また深読みすれば、マルウェアがキリル文字やハングルの使用、それに東欧圏で無効化される等の証拠を残すことはそれらの国の関与を偽装させることが目的と考えられなくもありません。

暗号資産(仮想通貨)に関しても同様です。暗号資産(仮想通貨)取引が大きくなってからのこの数年、北朝鮮が主に暗号資産取引所への不正アクセスを行って多額の資産を搾取したと報告されています。しかしながら最終的に北朝鮮にその資産が流れたという証拠はありません。不正アクセスを行ったこと自体の証拠を確定させることが困難なうえに、さらに暗号資産となると最終的にどこへ渡ったかを調査することも難しいのです。世界全体で暗号資産の不正アクセスによる搾取が年間数千億円以上と言われている現在、その一部が北朝鮮に流れているという、経済制裁下での予想も多分に入っています。

必ずしもロシアや中国、それに北朝鮮が日本や欧米に対して、マルウェア感染や暗号資産搾取を含むサイバー攻撃を行っているわけではないのです。日本や欧米がロシアや中国、それに北朝鮮を含む国々に対してサイバー攻撃を行っていないという証拠もありません。日本がいかにサイバー攻撃の対象となっているか、あるいは昨年の東京オリパラに対してどの程度のサイバー攻撃があったかという証拠として、国立研究開発法人情報通信研究機構のnicterと呼ばれるシステムの映像がテレビや新聞等で取り上げられます。これは日本国内に設置されたダークネットと呼ばれる観測地点(IPアドレス)にどれだけパケットが届くかをリアルタイムに表示、調査しています。現実社会で言えば、この観測地点は「空き家」のようなものであり、その空き家に入ろうとするものがいれば、それは住居侵入等の不正行為にあたります。パケットというのはインターネットの通信であり、そのIPアドレスに向けて通信があれば、それは不正アクセス、つまりサイバー攻撃になるのです。それをリアルタイムで表示しています。

ncter画面(国立研究開発法人情報通信研究機構webより)

ncter画面(国立研究開発法人情報通信研究機構webより)
https://www.nicter.jp/atlas