「Kimsuky」との関係性も指摘される「APT37」と呼ばれるグループもある。このグループは別名、「ScarCruft」「Reaper」「RedEyes」「Ricochet Chollima」などとしても知られている。
また別の「UNC2970」というグループも最近よく目にするが、アメリカや欧州のセキュリティ研究機関の関係者や、メディア組織をターゲットにしている。彼らの主な手口は、北朝鮮の攻撃でよく見られる、偽の求人情報で悪意のある文書をダウンロードさせるというものが確認されている。
日本にも潜んでいる北のハッカー
こうした北朝鮮の政府系サイバー攻撃グループは、北朝鮮の人民軍偵察総局(RGB)の「121局」に関連する組織であると分析されている。それ以外にもサイバー工作に関わっている組織として、スパイ活動も行う「110研究所」がある。110研究所は、冒頭に触れた5月23日の米OFACによる制裁の対象にもなっており、中国に拠点が2カ所(大連と瀋陽)あることが確認されている。
北朝鮮のサイバー作戦について詳しい脱北者の張世律氏は以前、筆者の取材に、北朝鮮のサイバー部隊の兵力は、高い能力をもつハッカーおよそ1800人に、工作をサポートするチームを合わせると全体で6000人以上の部隊になるという(2023年現在はその数がさらに増えていると見られる)。
日本のサイバー防衛隊の兵力は現在900人ほどで、2027年度末までに4000人に増やす予定でいる。もっとも、サイバー防衛隊は自衛隊と防衛省を守るために存在する部隊であって攻撃能力は持たないので単純比較はできないが、力の入れようが北朝鮮に遠く及ばないのは間違いない。
実は北朝鮮のサイバー攻撃は他の国のものより危険とされている。それは、北朝鮮が核開発問題による経済制裁で、世界のビジネスから切り離されていることと関係がある。サイバー攻撃というものは、一度仕掛けると、その影響が思わぬ形で現れ、自らを傷つけてしまうこともある。だが、世界のビジネスネットワークから排除されている北朝鮮は、いくら他国にサイバー攻撃を仕掛けても、自国や北朝鮮関連の企業が「返り血」を浴びることはない。だから容赦なくどこでも攻撃できるという「強み」があるのだ。
北朝鮮の政府系サイバー攻撃者たちは、過去に、ソニー・ピクチャーズエンターテイメントへの攻撃(2014年)や、ランサムウェアであるワナクライを使った攻撃(2017年)、バングラデシュ中央銀行から8100万ドルを強奪した攻撃(2018年)などがよく知られている(いずれもラザルスの犯行)。
北朝鮮のサイバー攻撃の歴史は実は古い。冷戦末期の1989年ごろにロシア人専門家らによる教育が始まったとされる。その後は中国からの支援を受けつつ、韓国軍の機密情報を盗む工作を行ってきたという。2003年と2009年には、韓国へのサイバー攻撃で大規模な妨害工作を成功させ、当時それを評価した金正恩氏がサイバー部隊の拡充を命じた。
もちろん北のサイバー攻撃の刃は日本にも向けられている。