最近の複数のサイバーセキュリティ会社による主張では、北朝鮮のサイバーアクターとWannaCryランサムウェア攻撃の潜在的な関連性が報告されています。初期フェーズに作成されたマルウェアの亜種における乱数関数を呼び出すコードの類似性が判断の根拠になっています。このコードの類似性はGoogleの研究者によって最初に発見され、他の複数のセキュリティ会社によって迅速に取り上げられました。このコードの類似性に異議を唱えることはありませんが、特に、その朝鮮民主主義人民共和国 (Democratic People’s Republic of Korea :DPRK)のサンプルと同じくらい古くから使われているツールからコードを再利用することは一般的なことです。

さらに、最初のサンプルで再利用されたコードは汎用な関数呼び出しであり、それをDPRKのコーディングプラクティスに関連付ける特別なインジケータはありません。コードの削除（2017年3月以降のWannaCryのサンプルで確認された）は、帰属(attribution)を難読化するためではなく、機能的にそうせざるを得なかった可能性があります。 さらなる分析によって、コードがどのように作成されたのか、誰がそれを作成したのかをより深く理解することができるでしょう。

北朝鮮が行ったのでしょうか？

簡単に答えてしまうと、「そうではなさそうです。」

北朝鮮の過去のサイバーキャンペーンや慣習的な軍事・外交政策のなかで、この型に適合するものはありません。国の特性、外交政策、戦略的メッセージを見ていくと、平壌がこのキャンペーンを指示した可能性は大幅に下がるでしょう。

国の特性

朝鮮民主主義人民共和国（DPRK）は、自立（主体）の哲学を遵守しています。この理念は1955年のDPRKの最初の指導者である金日成（キム・イルソン）によって始まり、以来、国家主義として守られてきました。 (高麗大學校亞細亞問題硏究所(1970)、Journal of Asiatic Studies. 13 (3-4): 63)

この自立は、北朝鮮の人生のあらゆる側面、政治経済学、教育と防衛にまで及びます。 1990年代末、金正日総書記はこの哲学をインターネットに適用し、サイバープログラムを構築しました。「主体」と北朝鮮の挑発サイクルの両方にサイバー能力を組み込んだことは、オペレーションの形に大きな影響を与えました。2000年代初頭にかけて、北朝鮮のサイバーアクターは、サイバー能力のカスタムのプログラムを作り上げました。その他の国家レベルの既知のアクターとは異なり、DPRKのプログラムでは、コモディティマルウェアや汎用ツールを使用されません。

すべてのツールを独自に開発したことで、ネットワークを防衛する側にとって、DPRKのプログラムは独自の課題となりました。

その一方で、アクターがネットワークをエクスプロイトするために、必要以上に高度なツールを使用することを意味していて、侵入が行われていることを確認することがはるかに難しくなります。別の観点では、完全にカスタマイズされたツールキットを使用すると、侵入活動との紐付けてアクターの全体的な能力やターゲットをより完全に把握することが容易になります。

この組織固有のマルウェア開発において、マルウェアのC&C通信での高度な暗号の利用、 ネットワークトラフィックと融合するためにTLSを偽装する能力、マルウェアに自己破棄機能とファイルの削除を追加する能力が作り出されました。

この一連の機能によって、DPRKのアクターは、ネットワークの防衛が困難な高度なネットワークオペレーションを行えるようになりました。しかし、サイバーセキュリティ研究者は、これらの高度な機能があることによって、韓国のコンピュータに対するDPRKによる攻撃と、2009年7月4日の韓国と米国のWebサイトに対するDDoSとドライブ削除の攻撃を関連付けることができました。 4 5 6 7 8

DPRKの「サイバー・エグゼクティブ・ブランチ」であるLazarus グループは、さまざまな攻撃において同じTTPを持つことがあります。これらのツールは、必要な機能に比べてオーバースペックであり、被害者のネットワークを侵害するためのゼロデイの脆弱性（韓国のハングルプログラムの複数の重要な脆弱性）と組み合わせて使用されています。

Lazarusは、マルウェアをさらに保護するために、ジャンクコードを挿入してリバースエンジニアリングをより困難にします。また、時期的に早い段階から、通常のTLSトラフィックと混在するように、443番ポートでカスタムの暗号化トラフィックを送信していました。

DPRKは活発的に諜報活動を行っており、悪名高いオペレーションでは、すべからくネットワークへの攻撃が含まれています。北朝鮮のアクターたちは、2009年以来の破壊的な攻撃において、同様のアプローチを使用しています。

Lazarusは、RATを使用してネットワークにアクセスし、ホストを列挙し、マスターブートレコード削除ツールを配備してホストマシンを破壊します。このプロセスで使用されたマルウェアは、2009年以降ほとんど変わっていませんが、その後も引き続き成功しています。 2013年のDarkSeoul攻撃や、2014年のソニー・ピクチャーズ・エンターテイメントの攻撃の悪評があったにもかかわらず、 2016年のSWIFT侵入事件においても、アジア各地の銀行のネットワーク内に、同じアクターによって、同じツールが配置されました。そして、単一のオペレーションで8000万ドル近い被害が発生しました。

外交政策

北朝鮮は現在、朝鮮戦争の終結以来、 最も直接的な武力衝突の脅威に直面しています。朝鮮半島の緊張は2017年の初めから急速に高まっており、北朝鮮の伝統的な支持者である中国は徐々に北朝鮮から遠ざかっています。これによって、ロシアが北朝鮮の強力な隣人でありサポーターになっています。 4月の終わりに、ロシアは北朝鮮のミサイル発射を非難する国連決議を阻止し、米国による潜在的な一方的な行動を公に放棄しました。

WannaCry攻撃では中国とロシアが最も影響を受けていますが、両国での海賊版OSの数に考慮すれば、その感染パターンは簡単に予測可能です。北朝鮮と同盟関係にある2つの最も近い地域に対して不当に攻撃することは、北朝鮮にとって重要なリスクとなると考えられるでしょう。特に、簡単なコードの変更で、ランダム化機能から両国のネットワークを除外することができたでしょう。

問題をより複雑にするため、これまで知られている大半の北朝鮮のサイバー活動では中国を経由しておいます。また、北朝鮮の唯一のインターネットアクセスは中国とロシアを通過しています。中国の領土で活動する北朝鮮のサイバーアクターを特定し拘禁することができる中国の能力は、北朝鮮のプログラムの能力を奪う可能性があります。これらの2カ国に対してこの規模の攻撃を開始すると、ネットワーク接続性と訓練された人材の立場の両方の観点で、北朝鮮がサイバー能力を失う重要なリスクを引き起こすでしょう。

最後に、韓国、日本、米国における比較的低い侵害率は、平壌で承認されたすべての攻撃と対照的です 。この規模の攻撃を行って、北朝鮮最大の敵に危害を与えないということは、このキャンペーンを計画した誰かのため実行された根拠になるでしょう。平壌のキャンペーンでは最大の敵を攻撃するという目標からすると、米国、韓国、日本に対して成功する可能性の低いマルウェアを設計することはおそらく無いでしょう。

韓国は高度な技術力を持ち、北朝鮮の脅威に非常に敏感です。DPRKはこの点を認識しており、そのような大きな敵に対してこのような低い成功率を持つ攻撃は実施しません。おそらく、攻撃者は、これらの国で行われているパッチ適用ポリシーを過小評価していた可能性があります。そのため感染率が低いのは単なる設計によるものではなく、ミッションの失敗によるものです。北朝鮮がこのような攻撃スタイルを実行する場合、 韓国のネットワークに対する成功を少なくとも確実にするために、おそらく複数のエクスプロイトを使用するでしょう。

戦略的メッセージング

北朝鮮は物語をコントロールし、国際的な見出しをつかむことに優れています。エスカレーションのサイクルを作成し、譲歩を得る、または、国内の聴衆に意思を示すために、プレッシャーをかける能力は、間違いなく比類のないものです。このような挑発、レトリック(修辞法)、そして最終的な段階的な収縮のパターンは、従来の軍事活動、核、サイバー空間で同様の パターンで実行されています。

従来および核の領域において、北朝鮮はミサイル・テストを使用して意志を示し、米国にシグナルを送り、抑止力を拡大しています。北朝鮮は5月14日、グアムの米軍施設の攻撃する能力を持つ中距離弾道ミサイルをテストしました。このテストでは、米国に到着し、核兵器を運ぶ能力を備えたミサイルに使用できる再突入体のストレステストも実施されました。

他のニュースにあるように、このテストは成功し、世界中の主要な国際的なヘッドラインとなっていたでしょう。このイベントは、北朝鮮のメディアにとって最高の成果であり、少なくとも1週間分のプロパガンダに使用されていたはずです。その代わりに、ワームのニュースによって覆われていました。核とミサイル計画の国家的な重要性を考えると、平壌はミサイル計画による最大の成果を下げる可能性のあるようなサイバー攻撃を意図的に実行することはないでしょう。

サイバーの領域においては、北朝鮮でも、攻撃に関連する戦略的メッセージがよく伝わるようにするための標準的なオペレーションの手順が作成されていいます。破壊的攻撃を行う際の目標は、帰属(Attribution)を仮定はできるが、証明まではできないことです。北朝鮮が行ったと知られている破壊的な攻撃のすべての事例では、攻撃の成功がクレジットされるような非常に似た形と言葉をもつ偽の「ハックティビスト」集団が作成されました。

北朝鮮は、戦略的なメッセージや報復としてサイバー攻撃を利用しています。メッセージの受信者にとってメッセージの送信者が不明であると、 明確なメッセージングキャンペーンを実行することができません。そのため、北朝鮮軍の「可能性」を明らかになるように、自身の攻撃を薄く覆うようになりました。WannaCry攻撃においては、特大のメッセージや責任の主張はありません。北朝鮮によるあらゆる行動に欠かせないメッセージングの要素が欠けているのです。

通貨生成しようしてうまくいかなかったと考えるとどうでしょうか？政府のために通貨を手に入れるという指令として、冒険的なDPRKのハッカーがこのマルウェアを雑に仕上げて、その結末を十分に評価することなく、マルウェアを解放する可能性があります。その可能性はありますが、いくつかの理由で起こりそうにありません。

1. これが通貨生成のための策略である場合、彼らは利用している亜種から自分のコードを削除していないでしょう。バングラデシュの事件で特定されたように、北朝鮮のアクターは、一般的にコードについて心配していません。

2. 通貨の生成であった目標であるならば、財務上のサポートをするインフラはより堅牢であり、支払いメカニズムをより使いやすいものにするために一層努力したでしょう。また支払いが行われたのにファイルが復号されなかったという噂が拡散されないようにすることでしょう。

3.ワームの広がりを制御することに懸念があったのであれば、「kill switch」ドメインを登録していたはずです。この見落としは、初期の攻撃が未熟であったことを表しており、もしDPRKのアクターがこの攻撃を行ったのであれば、通常のグループのレベルでは活動していなかったことを意味しています。

※このブログは、2017年5月18日に投稿された抄訳になります。

原文はこちら