なぜ閉鎖国家・北朝鮮から世界一危険なハッカー集団「ラザルス」が誕生したのか?
<FBIも指名手配する北朝鮮発のハッカー集団はどこに拠点を作り、どのように世界の犯罪ネットワークとつながり、サイバーテロを仕掛けているのか。WEBアステイオンより>【須藤龍也(朝日新聞編集委員・サイバーセキュリティ担当専門記者)】
「サイバーセキュリティ担当専門記者」私の名刺の肩書きには、こう書いてある。 サイバーセキュリティとは、インターネットやコンピューターをサイバー攻撃の脅威から守ることを総称する言葉だ。私の仕事は脅威を可視化し、社会課題として世の中に伝えていくことにある。 【画像】『ラザルス:世界最強の北朝鮮ハッカー・グループ』 そこから見える最も身近な脅威と言えるのは、IDやパスワード、金銭を盗み取ろうと日々暗躍するサイバー犯罪集団だ。フィッシングメールはその代表的な手口と言える。 サイバー犯罪集団は、多くの人たちがパスワードを使い回している実態を熟知している。誕生日や名前など規則性のある文字の組み合わせを使いたがることも知っている。そこで私たちができることはただ一つ、「パスワードを使いまわさない」ことだ。 政府や企業など重要組織のパソコンやネットワークに侵入し、機密情報を盗み取る「サイバースパイ」も横行している。 戦争においてもサイバー攻撃は重要な手段と化してしまった。ウクライナ侵攻をめぐり、ロシアがウクライナ国内の通信会社や変電所、物流会社のコンピューターをマヒさせるサイバー攻撃を行なったと報じられた。コンピューターウイルスが社会インフラにダメージを与える「サイバー兵器」と化している。 人々の「暮らし」から国家の「安全保障」まで、サイバーセキュリティを通じて触れた世界は、どこも脅威にあふれている。 実はそこで、関係者が見落としがちになる視点がある。サイバー攻撃には、必ず「ひと」(ハッカー)が介在しているということだ。 私たちが目の当たりにできるのは、攻撃によって引き起こされた事象にとどまる。どうしても手口や技術に関心が行きがちだ。技術オタクばかりを育てようとする日本のサイバーセキュリティ人材教育の課題に通じるものがある。 攻撃の先兵であるコンピューターウイルスとはいわば、ハッカーの「御用聞き」。ハッカーの指示を待ち、忠実に実行する存在でしかない。 サイバー攻撃の背後に時折、ハッカーの意思の断片が見え隠れする時がある。そこを掘り下げ、攻撃者の特定と意図を浮き彫りにする必要がある。「アトリビューション」という。 深淵より浮かび上がったハッカーの姿を見た時、いつも驚かされる。それは、社会を知り尽くしているとしか思えない行動変容だ。 そんなハッカーの実態を浮き彫りにした一冊の本がある。英国の著名なテクノロジージャーナリスト、ジェフ・ホワイト氏の著作『ラザルス:世界最強の北朝鮮ハッカー・グループ』(2023年、草思社、原題はLazarus Heist)だ。 「北朝鮮」とは、あの北朝鮮だ。世界から孤立した独裁国家、経済が破綻状態で食糧不足にあえぐあの国に、国家が育成するエリートハッカーがいる。 突拍子もない話に聞こえるが、世界で最も危険な集団と欧米各国から名指しされ、FBI(米連邦捜査局)の最重要指名手配リストに「ラザルス」の名前が載る。 日本も2022年10月、政府がラザルスを名指しし注意を呼びかけ、同年12月には金融庁が北朝鮮に所在する集団として、資金凍結の制裁対象に加える異例の措置をとった。 その実態を紐解くと、各国が警戒するには十分たりうる存在であることがわかる。米国ハリウッドの映画スタジオへのハッキングに始まり、国際送金ネットワークから何千万ドルもの資金を盗み出す。英国の医療機関にウイルスを仕掛けて身代金を奪い取ろうと画策したこともある。 これらはコンピューターのハッキングだけで成し得たものではない。世界の犯罪ネットワークがつながり、北朝鮮ハッカーの盗み取った資金洗浄に手を貸しているという。本書には、マカオのギャンブラーや日本の中古車輸出商社まで登場する。 その狙いは、経済制裁に苦しむ中での外貨獲得にあると西側諸国はみている。こうして得た資金はミサイルの資金源にもなっていると国連の報告書が指摘する。 不思議でならないのは、あの閉鎖国家で「世界で最も危険」と言われるハッカーの活動がなぜ、できるのかということだ。 それは、北朝鮮ハッカーが国境を越え、中国に拠点を置いていると考えられるからだ。その一つとして本書が指摘するのは、大連にある北朝鮮系のソフトウェア開発会社だ。EU(欧州連合)が資金凍結など制裁対象に指定している。 国外に拠点を置く理由はいくつか考えられる。インターネットと実質切り離された北朝鮮から、サイバー攻撃を仕掛けることは難しいという技術的な事情だ。もう一つ、閉鎖国家の中にいては、海外の事情やその国の文化、コミュニティを知ることができないといった地政学的な側面も感じられる。 私が過去に取材した北朝鮮ハッカー絡みの事案からも、それはうかがえる。標的とする国や組織を事前に調べ、相手とのコミュニケーションの方法を学びとらないと成立しない手法を組み合わせている。 例えば、北朝鮮問題を研究する米シンクタンクの担当者のもとに、日本の通信社の記者を名乗る偽の質問メールが届いたと、2022年12月にロイター通信が報じた。私が取材で手に入れたメールには、実在する特派員の署名があり、質問内容もこなれていた。 北朝鮮ハッカーによる西側諸国の北朝鮮政策に関する情報収集の一環とみられている。 北朝鮮ハッカーは2017年ごろから暗号資産交換所へのハッキングを始めるようになる。この年末から翌年初めにかけて価値が急騰するバブル状態だった。暗号資産の価値にいち早く目をつけていたことになる。 新たなテクノロジーによる社会のデジタル化は一方で、サイバーテロにつながる様々な弱点を生み出す。北朝鮮ハッカーはそこに「蟻の一穴」を見つけ出し、リアル社会の犯罪ネットワークなどと連携しながら、サイバー攻撃を成功させている。 本書のプロローグにはこうある。 「北朝鮮が関係するとされるサイバー攻撃を知ることは、現代の犯罪世界を理解することでもある」
須藤龍也(朝日新聞編集委員・サイバーセキュリティ担当専門記者)