北朝鮮の核開発を支えるサイバーテロ・グループ「APT38」(別名ラザルス)

.

政策提言委員・経済安全保障マネジメント支援機構上席研究員 藤谷昌敏

 2022年2月、国連安全保障理事会北朝鮮制裁委員会専門家パネルは、2021年の年次報告書を制裁委に提出し、「北朝鮮は、核・ミサイル開発に必要な材料や技術、ノウハウを海外から入手するため、共同研究のほか、サイバー攻撃も仕掛けている。北朝鮮はミサイル部隊を迅速に展開する能力を向上させ、海上を含む戦域で幅広い機動性を獲得し、攻撃を受けた後の報復を可能にする回復力の改善を実証した。暗号資産(仮想通貨)交換業者へのサイバー攻撃が引き続き重要な収入源である。サイバーセキュリティー企業の報告に基づき、北朝鮮は昨年1年間で約4億ドル(約461億円)を奪った。他方、北朝鮮が新型コロナウイルスの感染拡大を防ぐために国境を封鎖したことで不正貿易はほぼ停止した。北朝鮮による石炭の海上輸出は昨年下半期に増えたが、その量は比較的低い水準であり、同時期に急増した石油の不正輸入量も例年よりはるかに少なかった」と指摘した。
 この国連の報告書を裏付けるようにスウェーデンのシンクタンク、ストックホルム国際平和研究所(SIPRI)は2022年6月、「軍備管理、軍縮、国際安全保障問題に関する2022年鑑」を発表し、「ウクライナ戦争による緊張を受け、過去35年間に減少した全世界の核兵器が今後10年間は増加するだろう」と予想したほか、北朝鮮について、「昨年の報告書は北朝鮮が保有する核分裂性物質量で製造可能な核弾頭個数(40~50個)を推定したが、今年は実際に完成した核弾頭個数推定値を入れた。北朝鮮が大陸間弾道ミサイル(ICBM)に搭載して発射できる実戦用核弾頭を生産したという公式の証拠はないが、中距離弾道ミサイル用の核弾頭を少量保有した可能性がある」と明らかにし、「北朝鮮は現在20個の核弾頭と、45~55個を製造できる核分裂性物質を保有中」と推算した。SIPRIが北朝鮮の核弾頭保有数値を統計に含めたのは今回が初めてである。
 このように北朝鮮は、自国の核開発を支えるため、技術情報の窃取や資金源獲得を目的としたサイバーテロを駆使している。中でも不正な金銭獲得を目的とするハッカー集団「ラザルス」とはどのような組織なのだろうか。
 
北朝鮮によるランサムウェア攻撃
 北朝鮮は、金銭的搾取・窃取を狙ったサイバーテロの一種として、ランサムウェアによる攻撃を用いている。ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称であり、金銭窃取を狙ったコンピューターウイルスの一種である。このウイルスは、感染したパソコン内に保存しているデータを勝手に暗号化して、所有者が使えない状態にする。そして、コンピューターの画面にその制限を解除するための身代金を要求する内容の文書を表示させて、所有者を恐喝するのである。
 ランサムウェアは、2015年頃からは、多額の身代金を狙って攻撃の対象が大企業に拡大し、2017年には、ランサムウェアの一種であるワナクライ(WannaCry)が多くの民間企業と公的機関を攻撃したため、国家に対する大きな脅威となった。特に北朝鮮のハッカー集団は、このワナクライを使って、米国や日本、韓国など世界へ活動を拡大させた。
 
サイバーテロの主役「APT38」(別名Lazarus Group)とは
 「APT38」は別名ラザルス・グループ(Lazarus Group) と言い、複数のハッカーで構成されたサイバー犯罪グループで、北朝鮮人民軍偵察総局の傘下にある。2011年3月には、「10日間の雨(Ten Days of Rain)」として知られる攻撃が韓国のマスメディア、金融機関、重要インフラをターゲットにして発生した。ワイパー攻撃型ウイルス「DarkSeoul」による攻撃は、韓国のテレビ放送局3社、銀行2行をターゲットとして2013年3月まで継続し、3万2千台のコンピューターが影響を受けた。2014年、ラザルス・グループの最も有名な事件とされるソニー・ピクチャーズ・エンターテイメントへの攻撃が発生した。攻撃時にグループは平和の守護者(Guardians of Peace、GOP)と名乗り、ソニーのネットワークをハッキングして、数日間機能不全にした。この攻撃では、映画や従業員の個人情報約400人分を含む厳重な防御システム内の情報が窃取された。
 さらに2017年2月には、ラザルス・グループと複数の北朝鮮のハッカーが韓国の取引所「Bithumb」から700万ドルを盗んだ。韓国のビットコイン取引所「Youbit」は、2017年4月から12月までのサイバー攻撃で資産の17%を盗まれたことで破産を申請した。ほかにラザルス・グループはエクアドルの「Banco del Austro」から1,200万ドル、2015年にベトナムの「Tien Phong Bank」から100万ドルを盗み、2016年にはバングラデシュ銀行から8,100万ドルを盗んだ。その後2018年に至ると、韓国の暗号通貨ビットコインとモネロのユーザーへの攻撃が行われた。これらの攻撃は過去のWannaCryランサムウェアを用いた攻撃や、ソニー・ピクチャーズへの攻撃に技術的に類似しているとされた。 
 
今後、懸念されるランサムウェア攻撃の拡大
 ラザルス・グループは、その背後にあるとされる「朝鮮エキスポ(朝鮮輸出合作会社)」が欧州連合(EU)によって、制裁の対象とされた(2020年7月)ほか、米国司法省により北朝鮮偵察総局の3人が起訴された(2021年2月)ことなどにより、一定の打撃を受けたものとみられる。
 しかしながら、韓国国家情報委員会所属の与野党議員発表(2021年7月)では、北朝鮮が韓国から新型コロナウイルス感染症のワクチン及び治療薬などの技術情報を窃取しようとしていたほか、金銭の窃取を目的としたハッキング、企業を標的としたランサムウェア攻撃、韓国の要人約100人に対するフィッシングメールの送信、さらには国の重要施設とされる韓国原子力研究院や主要な防衛関連企業に加え、「人工太陽」など核融合の研究拠点となっている韓国核融合エネルギー研究院も北朝鮮の犯行とみられるサイバー攻撃を受けていたことが明るみに出ている。
 北朝鮮は、核開発を支えるだけではなく、コロナ禍で深刻な打撃を受けた経済を立て直すために強奪した資金を活用しており、今後もラザルス・グループなどによるランサムウェア攻撃がさらに活発化するのは、ほぼ間違いないことだろう。事実、韓国国家情報院は、最近の北朝鮮によるサイバー攻撃の特徴として「民間、政府、軍の全てが標的になっている」と対象が拡大しつつあることを明言している。