タグ : ハッキング

韓国の防衛産業企業、北朝鮮のハッキングに遭う警察の調査まで被害に気づかず金正恩の指示によるものと推定 今週23日、韓国・警察庁の国家捜査本部保安捜査課は、国家サイバー危機管理団と連携して調査を開始した結果、北朝鮮のハッキング組織であるラザルス・アンダリエル・キムスキーが、1年6ヶ月前から韓国の防衛技術を盗むことを目指して共同でサイバー攻撃を行っていたことが確認されたと発表した。 警察は、北朝鮮のハッキングの流れを確認する過程で確認された情報と関連機関間のサイバー脅威情報の共有を基に、韓国の防衛産業企業10数社がハッキングの被害を受けたと伝えた。 さらに、ハッキングに使用されたIPアドレスやマルウェアを使うことでソフトウェアの脆弱性を集中的に悪用し、中継サーバーを構築する方法などを証拠に、北朝鮮のハッキング攻撃であると判断した。 韓国の軍需産業企業83社のうち、一部の被害事例では、中国の瀋陽近郊から特定のIP記録が確認され、これは2014年に韓国の原発運営会社「韓国水力原子力」が攻撃された時に使用されたIPと同じものであることが確認された。 北朝鮮のハッキング組織は主に直接的な攻撃で防衛産業企業をハッキングしたが、比較的セキュリティが弱い防衛産業協力企業から段階的に接近したことも明らかになった。 北朝鮮の手口は、協力企業をハッキングして防衛産業企業のサーバーやアカウント情報を盗み、その後、サーバーに無断で侵入してマルウェアを拡散し、情報を奪った。 警察によると、北朝鮮のハッキング組織ラザルスは、2022年11月から防衛産業企業A社の外部ネットワークサーバーに接続し、マルウェアに感染させた後、テスト目的で開放されていたネットワーク連携システムのポートを利用して社内ネットワークにまで侵入し、支配した。 その後、開発チームの社員のコンピューターや内部ネットワークのコンピューター6台から重要な機密データなどを収集し、海外のクラウドサーバーに移動した。 攻撃を受けた企業のほとんどは、警察の調査まで被害に気づかなかったため、防衛産業企業のセキュリティ管理が全体的に甘いのではないかとの指摘が出ている。 アンダリエルの場合、2022年10月頃に防衛協力企業B社などを遠隔でメンテナンスするC社のアカウント情報を調査した後、B社などのサーバーに悪性コードを投入し、防衛技術資料を盗んだ。 アンダリエルはC社の社員の個人ビジネスメールアカウント情報を把握した後、社内メールにアクセスし、キムスキーは2023年4月〜7月に防衛協力企業D社のサーバーから、メールにログインすることなく外部から送受信した大量のファイルをダウンロードできる脆弱性を悪用する手口を使った。 警察は、この調査で長期間にわたるハッキング攻撃があったことを確認したが、具体的な被害規模や犯行期間の把握は困難な状況だと伝えている。 警察は、北朝鮮が韓国の防衛技術を盗むという共通の目的を通じて、複数のハッキング組織を利用して総力戦で攻撃を行ったと説明した。その背後には、北朝鮮の金正恩国務委員長の具体的な指示があったと推定される。 一方、防衛産業企業のハッキングに関連して、北朝鮮とのコミュニケーションを取った疑いで調査される国民や、情報セキュリティ対策を怠った責任を問うなどの調査は行われていないことが明らかになった。 国家捜査本部は、調査とともに、今年1〜2月に防衛調達庁や国家情報院などと防衛産業企業を対象に合同チェックを行い、予防措置を講じた。

北の外貨獲得のコントロールタワー違法行為、薬物・ハッキング含む北朝鮮の支配資金が集まる 最近、北朝鮮が海外労働者の給与を押収し、女性従業員が受け取ったチップまで当局に献上するよう教育するなど、外貨獲得に目を光らせる様子が頻繁に見られている。 海外労働者が獲得した外貨は、その全額が北朝鮮労働党事務所と第39号室に振り込まれることは、すでに公然の事実。北朝鮮が獲得したUSドルは、いつから労働党第39号室に集まっているのか。 北朝鮮の金正恩国務委員長の支配資金を管理する労働党の第39号室は、1970年代半ばに設置されたとされる。 1972年、北朝鮮は既存の「人民民主主義憲法」を廃止し、「朝鮮民主主義人民共和国社会主義憲法」を採用し、新たに制定された「社会主義憲法」の核心を「国家主席制」に置き、金日成の一人支配体制を本格化する動きを見せた。 これまで金日成の支配資金を管理する組織はなかったが、金正日が後継者に選ばれたことで、支配資金を管理する第39号室が設立されたとされる。当時、北朝鮮全土で外貨獲得運動が行われ、国を挙げて支配資金を管理する必要性が生まれたという。 最初は「支配資金」ではなく「主席ファンド」と呼ばれていたが、金日成主席が死亡後、支配資金を管理する組織になった。 金日成主席の時代に、第39号室に流れ込んだ資金は、主席の使い放題だったと言われる。 国家予算の場合、年初に配分が完了し、北朝鮮の経済状況から予備費が不足したため、金日成の個人資金が必要になった。当時、金日成は、資金投入が必要な案件を進める際に「主席ファンドを使え」と指示したとされる。 金日成が死亡後、金正日が支配を継承し、核やミサイルの開発に必要な資金を労働党第39号室が管理したため、もはや主席ファンドではなく、支配資金と呼ばれるようになった。 金正日の支配後、労働党第39号室は大成総局と大成銀行を中心に120社以上の会社を設立し、莫大な外貨を手にした。 大成総局の場合、北朝鮮が設立した最大の会社として、洋服を製造・輸出するメーカーとして知られている。この会社の莫大な売上が第39号室に流れ込み、薬物や偽札などの違法行為から得た外貨などが第39号室に集まる。 そのため、労働党第39号室は、お金さえあれば何でもできるとのことで、悪名高い。 2006年当時、米下院情報委員会が推定した労働党第39号室の総額は、約40億USドル（約4,400億円）で、年間3～5億USドル（約330億～550億円）を獲得しているという。それから時間が経過し、労働党第39号室に流れ込んだ資金の総額は倍増したと見られる。 最近、北朝鮮がIT組織を育成し、数千の違法なギャンブルサイトを作成し、韓国系犯罪組織に販売する案件が次々と取り締まられている。 今年2月、韓国国家情報院が公表した資料によると、労働党第39号室の下部組織として、中国・丹東で活動中の「慶興情報技術交流社（以下、慶興）」は、15人の組織員が分業する形で、成人・青少年向けギャンブルサイトを立ち上げ、1人当たり月平均500USドル（約55,000円）を平壌に送っていたことが明らかになった。 同院は、慶興が金正恩の個人秘密資金を調達する第39号室の下部組織だと指摘し、彼らが中国系ITプログラマーになりすまし、IT業界関係者の経歴書を盗み、違法ギャンブルサイトの立ち上げ受注を獲得し、韓国系犯罪組織に供給したと見られるとの調査結果をまとめた。 慶興の組織員らは、サイト立ち上げごとに5,000USドル（約550,000円）、副収入として月3,000USドル（約330,000円）程度を受け取り、中国人名義の銀行口座や偽名口座、海外送金が容易な「ペイパル」サービスなどを通じて開発費を受け取り、中国銀行で現金に両替し、北朝鮮の第39号室に送金していたという。 労働党第39号室の任務は、こればかりではない。労働党第39号室が北朝鮮の金氏一族の豪華品の輸入を担当したという情報筋からの声も多い。 実際、2019年に韓国に亡命した柳賢守（リュ・ヒョンウ）元クウェート駐在北朝鮮大使代理は、「北朝鮮の第39号室の場合、金正日の時代から時計や洋酒などの豪華品の大量購入を統括した」と証言した。 柳賢守元大使代理は、元労働党第39号室長とされる全日春の娘婿であるため、その発言は、信頼性が高いと言える。 一方、統一部が2016年9月29日に公表した「2016年北朝鮮権力機構図」によると、労働党の専門組織の中で「2015年北朝鮮権力機構図」にあった第38号室が姿を消したことが明らかになった。 2008年、北朝鮮は当時の金正恩国防委員長の家庭の秘密資金と物資の管理を担当する第38号室を、労働党の資金運用を担当する第39号室と統合した後、2010年に再び引き離した。 しかし、再度第38号室を廃止し、第39号室に統合し、効率的な支配資金管理と対北朝鮮制裁の回避のために、組織一本化に取り掛かったと見られる。