北朝鮮でインターネットを使うのはどんな人たちなのか、何に使っているのか。今回の報告書ではデータの層別に問題があるようですが、特権階級が自分たちの欲望に動かされてアクセスしていると想像するのは難くないですね。もちろんサイバー攻撃部隊は別で、ワナクライもその仕業ですが身代金搾取で国家歳入の一部にしようと何とも許せない所業です。
Social Media and Shopping: Report Provides Potential Insights on North Korean Online Behavior
北朝鮮のインターネット利用状況を解説した報告書でわかること
AUGUST 18, 2017
発表されたばかりの研究報告が北朝鮮のインターネット事情の内側を解明している。平均的な北朝鮮国民、労働党上層部及び軍部は一般が想像するようにインターネットと無縁の生活は送っていない。ただしアクセス回数やその範囲は把握できないという。基本データが入手できないためだ。北朝鮮のオンライン活動の実態が俗説と違うと説明しているだけにこれは残念なことでデータの裏付けがあれば北朝鮮に対する見方が変わるのはまちがいない。
報告書の要旨
- 7月に報告書を出したのはInsikt GroupでマサチューセッツのRecorded Futureの研究部門だ。同社はオンライン上の危険情報を機械学習を利用して企業に提供している。報告書の下になったのは北朝鮮の国外インターネット活動を集計した Team Cymru(コンピュータセキュリティ専門の非営利団体)でInsiktの「情報収集パートナー」だという。
- 報告書ではRecorded Futureの戦略危険開発部長で米情報機関で12年の経験を有するプリシラ・モリウチが北朝鮮ユーザーはインターネットでソーシャルサービスメディアで時間を使うことが多いと指摘。とくにフェイスブックをグーグルから見て、百度やインスタグラムに多数のアクセスがある。アリババ、アマゾン、テンセント、アップルが今年4月1日から7月6日の間の集計でソーシャルネットワーキング関係でトップのサイトだ。
- 報告書では4月1日を例に163.comのメールアカウントから中国語映像サイトYoukuへ移り、新華社、人民日報のニュースを閲覧するユーザーの動きを取り上げている。
- Team Cymru はデータ収集方法を明確に説明していないが、「データ提供出典各方面」と共同作業していると以前述べていた。また同社の業務利用者以外にデータ利用を禁じているが、報告書では北朝鮮のトラフィックの識別方法の詳細を述べており、インターネットアドレスは三種類のブロックに大別されるという。
- 最初のブロックが175.45.176.0から175.45.179.255のアドレス計1,024点で北朝鮮唯一のインターネットプロバイダーStar JVに割り当てられている。同国のウェブサイトはすべてこの中にあり、同国内に居住する外国人や旅行者向けインターネットサービスを提供するKoryolink 3Gも使っている。
- 二番目のブロックは210.52.109.0から210.52.109.255までのアドレス256点で中国のアドレスだが北朝鮮の国営通信プロバイダーにChina Netcomが提供している。これはStar JV発足前からの措置で15年前の北朝鮮国内ウェブサイトがこれを利用していた。
- グループ三番目が77.94.35.0 から77.94.35.255までのアドレス256点でSatNet向けだ。これはロシアの衛星インターネットプロバイダーで現在はレバノンで使用登録されている。以前は北朝鮮が使っていたがインターネットアドレス登録データベースではその内容と食い違っており、北朝鮮のアドレスとして使われていたのか、今も使われているのか不明だ。
- モリウチの感触ではSatNetのアドレスは北朝鮮が使っていたがSatNetアドレスとStar JVアドレスへのアクセスパターンが類似していることに着目しレバノンのウェブサイト用ではないと見る。ここでも基本データがないため裏付けはない。ただしモリウチは筆者にSatNetのトラフィックのうちおよそ4割のデータで中国のChina Netcomからのアクセスは1パーセントにすぎないと語ってくれた。残りは北朝鮮のIPアドレスからであり、報告書の所見を裏付けるものとなっている。
- モリウチはこの他にも北朝鮮からインド、マレーシア、ニュージーランド、ネパール、ケニア、モザンビークの各国向けに予想外のトラフィックがあることをつきとめた。アクセス数が通常より多く、特定の現地ニュース報道サイトや官公庁サイトに集中しているという。通常は現地居住者が主にアクセスする種類のサイトだ。.
- 調査対象となった活動の五分の一がインド関連であったのは驚くべき事実だ。報告書では北朝鮮から同国大学少なくとも七校に留学生がおり、インド国内の研究機関とも関係があるのではと推論している。
- 特徴的なのは5月17日でビットコイン関連のトラフィックが観察されている。4月から皆無だったが突然スパイク現象を示した。報告書では「ワナクライ」マルウェアによるコンピュータ攻撃が5月12日から15日にかけ続いたと指摘している。ワナクライはビットコインで支払いを求め北朝鮮のコンピュータ保安企業体の関連が言われている。
- また報告書ではVPN(仮想プライベートネットワーク)関連で西側企業少なくとも7社の利用があると指摘している。この利用にはクレジットカードが必要だが、北朝鮮が海外で手続きするのは不可能ではなく、ここでも背後に誰がいるのかという疑問が残る。
- 報告書では「あるVPNがiPadで利用されGmailアカウントのチェック、グーグルクラウドへのアクセス、フェイスブックやMSNアカウントもチェックし、成人向けコンテンツ閲覧に使われている。別のVPNやVPS(仮想プライベートサーバー)でMetasploit(セキュリティソフト)を作動させ、ビットコインで買い物をし、Twitterをチェックし、ヴィデオゲームを楽しみ、画像ストリーミングを視聴し、文書をDropboxに保存してからアマゾンを覗いている」と指摘。
要注意な点
- 今回明らかになった事項で要注意なのは何人が実際のユーザーでかつその正体が不明なことだ。報告書ではインターネット利用者を「限定的」とするが、平壌には常時数百名の外国人が居住しており、インターネットで海外サイトにつながることは多いはずだ。その場合VPNでフェイスブックやグーグルに入り163.comのメールアカウントをチェックすることは十分ありうる。
- モリウチは筆者に外国人居住者に違いないと思われるトラフィックも見つけたが、全体の中の少数に過ぎないと主張する。数量を把握するのは不可能であり、なぜなら報告書では数をとりあげておらずモリウチも実数を明らかにしていない。
- インドのトラフィックを例にあげると、インド向けの動きが増えた理由が平壌のインド大使館で退屈した外交官によるものなのか判別できない。また解析対象のデータ量も不明だし、アクセス対象のサイト数や平壌市内のインターネット利用者数の推計もわからない。
未解明部分
- 世界各地同様に北朝鮮でもフェイスブックが一番の人気サイトで、グーグル、百度他有名サイトにも相当の時間を費やしている。北朝鮮発のトラフィックが居住外国人や旅行者以外ならばわれわれと大差ない。
- 報告書では北朝鮮国内のインターネット事情の不透明な部分に考察を加えているが、観察された事象がすべて北朝鮮発と断言できない。
- 北朝鮮やインターネットに詳しい筋に報告書の件を話してみたが、全員同じ結論だった。数の点で不正確さが残る。多分外国人発信分のデータの方が多いのだろう。
- あるいは我々全員が北朝鮮のインターネット利用状況を誤解しているのかもしれない。情報がもっと必要で今回指摘されている事項には驚くべき内容が含まれているので精査が求められる。
- モリウチは利用データから得た結論に自信を持っている。アクセスがあったサイト、トラフィックのパターン、活動状況で筆者も正しいと思う。だとしてもデータをもっと解析して詳細面を把握し結論の裏付けを得たいと思うが。
- より詳しく知りたい向きはモリウチがRecorded Futureのポッドキャストに出演して詳しく説明しているので聞いてみてはどうか。
コメント
コメントを投稿
コメントをどうぞ。