Trace Id is missing

同じ標的、新たなプレイブック: 東アジアの脅威アクターは独自の手法を用いる

ダウンロード
共有
ピンクの背景に赤い円と黒のメッシュで描かれた海軍の船の抽象的なイラスト。

Microsoft は 2023 年 6 月以降、中国と北朝鮮によるサイバー作戦と影響工作の顕著な傾向をいくつか確認しています。それは、熟知した標的に労力をかけるだけでなく、より洗練された影響工作のテクニックを使って目的を達成しようとしていることを示しています。

中国のサイバー アクターは、過去 7 か月間に 3 つの標的となる分野を大まかに選択しました。

  • 1 つ目に、中国のサイバー アクターは、南太平洋の島々を広範囲に標的にしました。
  • 2 つ目に、中国の活動は、南シナ海地域の敵対勢力に対する一連のサイバー攻撃を継続しました。
  • 一方、3 つ目の中国のアクターは、米国の防衛産業基盤を侵害しました。

中国による影響工作アクターは、標的の地理的範囲を広げるというよりも、テクニックを磨き、新たなメディアで実験を行いました。中国の影響工作キャンペーンは、AI によって生成された、あるいは AI によって強化されたコンテンツに磨きをかけ続けました。こうしたキャンペーンの背後にいる影響工作アクターは、自らの戦略的ナラティブに有利な AI 生成メディアを増幅させるだけでなく、独自のビデオ、ミーム、音声コンテンツを進んで作成していることを示しています。このような戦術は、米国内の分裂を煽り、台湾、日本、韓国を含むアジア太平洋地域の亀裂を悪化させるキャンペーンに用いられてきました。このようなキャンペーンはさまざまなレベルの共鳴を起こし、一貫した対象者エンゲージメントを生み出す単一の方法は存在しませんでした。

北朝鮮のサイバー アクターは、昨年、ソフトウェアのサプライ チェーン攻撃や暗号通貨強盗を増加させ、大きな話題となりました。朝鮮半島を研究する研究者を標的にした戦略的なスピアフィッシング キャンペーンは一定の傾向を保っていましたが、北朝鮮の脅威アクターは、正規のソフトウェアをさらに多く利用して、さらに多くの被害者を危険にさらしていることがわかりました。

Gingham Typhoon、南太平洋諸島全域の政府機関、IT 機関、多国籍企業を標的に

2023 年夏、Microsoft 脅威インテリジェンスは、中国を拠点とするスパイグループ Gingham Typhoon による、ほぼすべての南太平洋島嶼国を標的とした広範な活動を確認しました。Gingham Typhoon はこの地域で最も活発な活動をしており、国際機関、政府機関、IT 部門を複雑なフィッシング キャンペーンで攻撃しています。被害者の中には、中国政府に対して声高に批判する人も含まれています。

最近の Gingham Typhoon の被害に遭った中国の外交的同盟国には、政府機関の事務局、貿易関連部門、インターネット サービス プロバイダー、運輸機関などが含まれます。

この地域における地政学的および外交的競争の激化が、こうした攻撃的サイバー活動の動機となっている可能性があります。中国は南太平洋島嶼国との戦略的パートナーシップを追求し、経済的結びつきを拡大し、 外交および安全保障協定を仲介しています。この地域における中国のサイバー スパイ活動は、経済的パートナーでさえも監視しています。

たとえば、中国のアクターは、パプアニューギニアの多国籍組織を大規模に標的としています。パプアニューギニアは長年の外交パートナーであり、パプアニューギニア政府の建物と首都の主要道路を結ぶ主要高速道路の建設などは、さまざまな一帯一路構想 (BRI) プロジェクトの恩恵を受けています。1

太平洋島嶼国における標的型サイバー脅威の頻度を示す地図。
図 1: 2023 年 6 月から 2024 年 1 月までの Gingham Typhoon による、確認されたイベント。この活動は、南太平洋の島嶼国への継続的な注力を強調しています。しかし、この標的設定の多くは継続的なもので、数年にわたるこの地域への集中を反映しています。地理的な場所とシンボルの直径は、表現上のものです。

西側諸国が軍事演習を行う中、中国の脅威アクターは南シナ海に焦点を当てる

中国を拠点とする脅威アクターは、南シナ海とその周辺における中国の経済的および軍事的利益に関連する団体を標的としてきました。これらの脅威アクターは、東南アジア諸国連合 (ASEAN) の政府機関や電気通信事業者を標的とし、日和見主義的な攻撃を仕掛けていました。中国の国家系サイバー アクターは、この地域で実施される多数の米軍訓練に関連する標的に特に関心を寄せているように思われました。2023 年 6 月、中国を拠点とする国家主導型活動グループである Raspberry Typhoon は、インドネシア、中国、米国が参加する珍しい多国間海軍演習の数週間前に、インドネシアの軍事機関や行政機関、マレーシアの海上システムを標的とすることに成功しました。

同様に、米国とフィリピンの軍事演習に関連する団体も、別の中国のサイバー アクターである Flax Typhoon の標的になりました。一方、中国を拠点とするもう 1 つの脅威アクターである Granite Typhoon は、この期間、インドネシア、マレーシア、フィリピン、カンボジア、台湾の電気通信事業者を主な標的としていました。

Microsoft が  Flax Typhoon に関するブログを公開して以来、2023 年の秋から冬にかけて、フィリピン、香港、インド、米国で Flax Typhoon の新たな標的が確認されています。2 このアクターはまた、電気通信部門を頻繁に攻撃し、多くの下流効果を引き起こしています。

アジアの最も標的とされている地域に関する Microsoft 脅威インテリジェンス データを表示した地図。
図 2: Flax Typhoon、Granite Typhoon、Raspberry Typhoon による南シナ海またはその周辺の国々を標的とした、確認されたイベント。地理的な場所とシンボルの直径は、表現上のものです。

Nylon Typhoon、世界各国の外交機関を危険にさらす

中国を拠点とする脅威アクターである Nylon Typhoon は、世界各国の外務機関を標的にした長期的な活動を続けています。2023 年 6 月から 12 月にかけて、Microsoft はブラジル、グアテマラ、コスタリカ、ペルーを含む南米の政府機関で Nylon Typhoon を確認しました。この脅威アクターはヨーロッパでも確認され、ポルトガル、フランス、スペイン、イタリア、イギリスの政府機関を危険にさらしました。ヨーロッパの標的のほとんどは政府機関でしたが、一部の IT 企業も危険にさらされました。この標的の目的はインテリジェンスの収集です。

米国の軍事関係団体や重要インフラストラクチャを標的とする中国の脅威グループ

最後に、Storm-0062 は 2023 年の秋から冬にかけて活動が急増しました。この活動の多くは、米国の国家安全保障にとって重要な航空宇宙、防衛、天然資源に関する技術エンジニアリング サービスを提供する請負業者を含む、米国の防衛関連政府機関を危険にさらすものでした。さらに、Storm-0062 は、米国内の軍事関係団体を繰り返し標的としていましたが、このグループが侵害の試みに成功したかどうかは不明です。

米国の防衛産業基盤も引き続き Volt Typhoon の標的となっています。2023 年 5 月、Microsoft は、米国の重要インフラストラクチャ組織への攻撃を、中国を拠点とする国家支援アクターである Volt Typhoon によるものだとしました。Volt Typhoon は、環境寄生型攻撃と呼ばれる手法や、ハンズオン キーボード攻撃などで組織のネットワークにアクセスしました。3これらの戦略により、Volt Typhoon は標的のネットワークへの不正アクセスを秘密裡に維持することに成功しました。2023 年 6 月から 2023 年 12 月にかけて、Volt Typhoon は引き続き重要インフラストラクチャを標的としていましたが、米国内のスモール オフィス ホーム オフィス (SOHO) のデバイスを侵害することで、リソースの開発も追求しました。

Microsoft の 2023 年 9 月の報告書では、中国の影響工作 (IO) アセットが生成 AI を使用して、洗練され魅力的なビジュアル コンテンツを作成し始めていることを詳しく説明しました。Microsoft 脅威インテリジェンスはこの夏を通じて、議論の的になっている国内問題を増幅し、現政権を批判する、米国を標的とした AI 生成ミームの特定を続けました。中国系の IO アクターは、1 年を通じて量と頻度を増しつつある影響工作キャンペーンにおいて、AI によって強化されたメディアや AI によって生成されたメディア (以下、"AI コンテンツ") を使い続けています。

AI が急増 (しかし揺さぶりには失敗)

AI コンテンツを使用するこれらのアクターの中で最も成果を上げているのは、Storm-1376 (通称 "Spamouflage" または "Dragonbridge" として知られる中国共産党 (CCP) 系のアクターに対する Microsoft の呼称) です。冬になると、中国共産党系のその他のアクターは、オンライン IO を増強するために、より広範な AI コンテンツを使用し始めました。これには、1 月 13 日の総統選挙と立法委員選挙を前に、台湾の政治家を特集したコンテンツが顕著に増加したことも含まれています。これは、Microsoft 脅威インテリジェンスが、外国の選挙に影響を与えようとして AI コンテンツを使用する国家主導型アクターを目撃した初めてのケースでした。

AI が生成した音声: 台湾の選挙当日、Storm-1376 は、2023 年 11 月の台湾総統選の無所属候補であった Foxconn のオーナー、Terry Gou 氏の AI 生成の疑いのある音声クリップを投稿しました。このオーディオ レコーディングでは、総統選で別の候補者を支持する Gou 氏の声が描写されていました。Gou 氏はそのような発言をしていないため、録音された Gou 氏の声は AI によって生成された可能性が高くなっています。YouTube は、このコンテンツが多くのユーザーに届く前に迅速に対処しました。これらの動画は、同じ候補者を支持する Terry Gou 氏からの偽の書簡がネット上に出回った数日後に流れました。台湾の主要なファクト チェック機関はこの書簡を否定しました。Gou 氏側も、この書簡は本物ではなく、それに対して法的措置を取るとしています。4なお、Gou 氏は、この総統選での候補者を正式に支持する表明は行っていません。
演壇で話すスーツ姿の男性。手前には中国語のテキストと音声波形のグラフィック。
図 3: Storm-1376 が公開した動画は、AI が生成した Terry Gou の音声記録を使い、あたかも彼が他の候補者を支持したかのように見せています。
AI が生成したキャスター: 中国のテクノロジ企業 ByteDance の Capcut ツールを使い、サードパーティのテクノロジ企業が生成した AI 生成ニュース キャスターは、台湾の政府高官を起用したさまざまなキャンペーンや5、ミャンマーに関するメッセージに登場しました。Storm-1376 は少なくとも 2023 年 2 月以降、このような AI 生成のニュース キャスターを利用してきましたが6、これらのキャスターを起用したコンテンツの量はここ数か月で増加しています。
軍用車両のコラージュ
図 4: Storm-1376 は北京語と英語でビデオを投稿し、米国とインドがミャンマーの騒乱に責任があると主張しました。AI が生成した同じアンカーが、これらの動画の一部で使われています。
AI によって強化された動画: カナダ政府や他の研究者が公表しているように、AI によって強化された動画では、カナダの国会議員を標的にしたキャンペーンで、カナダを拠点とする中国の反体制派の人物の肖像が使用されていました7。これらの動画は、カナダの政治家のソーシャル メディア アカウントへの嫌がらせを含むマルチプラットフォーム キャンペーンの一部に過ぎず、反体制派の人物がカナダ政府について扇動的な発言をする様子が偽って描写されていました。この反体制派に対しては、以前にも AI によって強化された同様の動画が使用されています。
机に向かって座っている人
図 5: 反体制派が宗教を侮蔑するような発言をしている、AI によるディープ フェイクの動画。カナダのキャンペーンと似たような戦術を使っていますが、これらのビデオは内容的には無関係に見えます。
AI が生成したミーム: Storm-1376 は 12 月に、民進党が政権を奪取するまで "X 日" という記載されたカウントダウンのテーマで、台湾の民主進歩党 (民進党) 総統候補であった William Lai 氏の一連の AI 生成ミームを宣伝しました。
2 つの画像を並べたグラフィック表現で、1 つは赤い × 印のある図形、もう 1 つは同じ図形で無印のものです。
図 6: AI が生成したミームは、民進党の総統候補である William Lai が台湾の「前瞻基礎建設計画」の資金を横領したと非難しています。これらのミームは簡体字 (中国では使われているが台湾では使われていない) を使い、毎日「民進党を政権から引きずりおろすためのカウントダウン」を示すシリーズの一部でした。
2023 年 12 月から 2024 年 1 月までの台湾の選挙における AI 生成コンテンツの影響を示すタイムライン インフォグラフィック。
図 7: 2024 年 1 月の台湾総統選挙と国会議員選挙に向けて登場した、AI によって生成されたコンテンツと AI によって強化されたコンテンツのタイムライン。Storm-1376 はこれらのコンテンツのいくつかを増幅させ、2 つのキャンペーンのコンテンツ作成を担当しました。

Storm-1376、時には陰謀論的な語り口で受動的メッセージングを継続

Storm-1376 は、175 の Web サイトと 58 の言語にまたがる影響工作を行うアクターですが、地政学的に注目されている出来事、特に米国を不利なイメージで描写したり、中国共産党の APAC 地域での利益を高めたりするような出来事の周辺で、頻繁かつ受動的なメッセージング キャンペーンを続けていました。前回のレポート (2023 年 9 月) 以降、これらのキャンペーンは、AI が生成した写真を取り込んで視聴者を欺いたり、陰謀的な内容 (特に米国政府に対するもの) を扇動したり、ローカライズされた内容で韓国などの新たな市民を標的にするなど、いくつかの重要な方法で進化しています。

1. 米国政府の "気象兵器" がハワイの山火事を引き起こしたと主張

2023 年 8 月、ハワイのマウイ島北西部の海岸で山火事が発生したとき、Storm-1376 は複数のソーシャル メディア プラットフォームで陰謀論的な物語を広めるチャンスをつかみました。これらの投稿では、米国政府が軍事用の "気象兵器" をテストするために意図的に火事を起こしたと主張されていました。Storm-1376 は、数十の Web サイトやプラットフォームに少なくとも 31 の言語で文章を投稿したほか、AI が生成した海岸沿いの道路や住宅が燃えている画像を使って、より人目を引く内容にしました。8

ドラマチックな火災のシーンに "フェイク" のスタンプが押された合成画像。
図 8: Storm-1376 は山火事の発生から数日以内に陰謀論的な内容を投稿し、火事は米国政府による "気象兵器" の実験の結果であると主張しています。これらの投稿には、AI が生成した大規模火災の写真が頻繁に添付されていました。

2. 日本の放射性処理水に対する怒りの増幅

Storm-1376 は、日本が 2023 年 8 月 24 日に処理済みの放射性処理水の太平洋への放出を開始した後、日本政府を批判する大規模で攻撃的なメッセージング キャンペーンを開始しました9。Storm-1376 のコンテンツは、この処分は安全であるという国際原子力機関 (IAEA) の科学的評価に疑念を投げかけるものでした。Storm-1376 は、さまざまなソーシャル メディアのプラットフォーム上で、日本語、韓国語、英語など多くの言語で無差別にメッセージを発信しました。中には、米国が "水の覇権" を維持するために他国を意図的に汚染していると非難する内容もありました。このキャンペーンで使用されたコンテンツには、AI 世代の特徴が見られます。

Storm-1376 は、中国国営メディア関連のソーシャル メディア インフルエンサーなど、中国のプロパガンダ エコシステム内の他のアクターが使用したコンテンツを再利用した例もあります10。Storm-1376 系列のインフルエンサーやアセットは、福島の処理水放出を批判する同一の動画を 3 本アップロードしました。このように、異なるアクターが同じコンテンツを同じように使っているように見える投稿は、メッセージの連携や方向性を示している可能性があり、2023 年を通じて増加しています。

人を風刺したイラストと、ゴジラを描いた動画のスクリーンショットと、ソーシャル メディアへの投稿を合成した画像
図 9: AI が生成した福島原発の処理水処理に批判的なミームや画像。左は中国の IO の秘密資産、中央は中国政府関係者。中国の国営メディアに所属するインフルエンサーも、処分に対して批判的な政府寄りのメッセージを増幅させました (右)。

3. 韓国の不和を煽る

福島の処理水放出に関連し、Storm-1376 は日本政府に批判的な内容だけでなく、韓国を標的に、韓国で起きている廃棄処分に対する抗議活動を増幅させるような、韓国のローカライズされたコンテンツに総力を挙げて取り組んでいました。このキャンペーンには、Kakao Story、Tistory、Velog.io などの韓国のソーシャル メディア サイトを含む、複数のプラットフォームや Web サイトにわたる数百の韓国語での投稿が含まれていました。11

この標的を絞ったキャンペーンの一環として、Storm-1376 は共に民主党の代表で、2022 年の大統領選に落選したイ・ジェミョン氏 (이재명、李在明) のコメントや行動を積極的に増幅させました。イ・ジェミョン氏は日本の動きを "汚染水テロ" であり、"第二次太平洋戦争" に等しいと批判しました。彼はまた、韓国の現政権が日本の決定を "援護する共犯者" であると非難し、抗議のために 24 日間にわたるハンガー ストライキを開始しました。12

環境汚染と海洋生物への影響を取り上げた 4 コマ漫画。
図 10: 韓国のブログ プラットフォーム「Tistory」の韓国語ミームが、福島の処理水処理に関する不和を増幅させています。

4. ケンタッキー州脱線事故

2023 年 11 月の感謝祭休暇中に、ケンタッキー州ロックカッスル郡で溶融硫黄を積んだ列車が脱線しました。脱線事故から約 1 週間後、Storm-1376 は脱線事故を増幅させ、反米政府の陰謀論を広め、米国有権者の政治的分裂を浮き彫りにするソーシャル メディア キャンペーンを展開し、最終的に米国政府への不信と幻滅を煽りました。Storm-1376 は視聴者に対し、米国政府が脱線を引き起こし、"意図的に何かを隠している" のではないか、と考えるよう促しました。13一部のメッセージでは、脱線事故を 9.11 や真珠湾の隠蔽説になぞらえたものさえありました。14

中国の IO ソックパペットが米国の政治トピックに目標を見定める

Microsoft の 2023 年 9 月の報告書では、中国共産党系のソーシャル メディア アカウントが、さまざまな政治分野の米国人を装い、本物のユーザーからのコメントに反応することで、米国の有権者へのなりすましを開始していることを取り上げました。15 2022 年の米国中間選挙に影響を与えようとするこうした取り組みは、中国の IO では初めて確認されました。

Microsoft Threat Analysis Center (MTAC) は、中国共産党によって運営されていると中程度の信頼性で評価できるソックパペット アカウントの、小規模ながら着実な増加を確認しています。X (旧 Twitter) では、これらのアカウントは 2012 年か 2013 年の早い時期に作成されましたが、現在のペルソナで投稿を始めたのは 2023 年の初めです。つまり、これらのアカウントが最近取得されたか、再利用されたことを示唆しています。これらのソックパペットは、オリジナルで制作された動画、ミーム、インフォグラフィック、および他の著名な政治アカウントからリサイクルされたコンテンツの両方を投稿しています。これらのアカウントは、米国の薬物使用、移民政策、人種間の対立など、米国の国内問題についての投稿にほぼ限定されていますが、福島の処理水放出や中国の反体制派など、中国にとって関心のある話題についてコメントすることもあります。

戦争と紛争、麻薬問題、人種問題関係などのスクリーンショット。
図 11: 夏から秋にかけて、中国のソックパペットやペルソナは、米国の政治問題や時事問題について議論する際、しばしば魅力的なビジュアル (時には生成 AI によって強化されたもの) を使って投稿していました。
これらのアカウントは、政治的な動機に基づくインフォグラフィックや動画とともに、与えられたトピックに賛成かどうかをフォロワーに尋ねることが多くなっています。これらのアカウントの中には、さまざまな大統領候補について投稿し、支持するかどうかのコメントをフォロワーに求めているものもあります。この戦術は、さらなるエンゲージメントを求めるため、あるいは米国人の米国政治に対する見方についての分析情報を得るためのものである可能性があります。このようなアカウントが増えることで、米国内の主要な投票者層に関するインテリジェンスの収集が強化される可能性があります。
分割画像の比較: 左は空母から離陸する軍用ジェット機、右は壁の後ろに座る人々のグループ
図 12: 中国のソックパペットが X 上で他のユーザーから政治的トピックに関する意見を募っています

北朝鮮のサイバー アクターは 2023 年、暗号通貨で数億ドルを盗み、ソフトウェアのサプライ チェーン攻撃を行い、国家安全保障上の敵対者を標的にしました。彼らの作戦は北朝鮮政府 (特にその兵器関連プログラム) に利益をもたらし、米国、韓国、日本に関するインテリジェンスを収集しています。16

サイバー脅威の最も標的とされている分野と国を示すインフォグラフィック。
図 13: Microsoft 脅威インテリジェンスの国家主導型攻撃の通知データに基づく、2023 年 6 月から 2024 年 1 月にかけて北朝鮮が最も標的とした分野と国。

北朝鮮のサイバー アクターは、記録的な量の暗号通貨を略奪し、国家に収入をもたらす

国連は、北朝鮮のサイバー アクターが 2017 年以降、暗号通貨で 30 億米国ドル以上を盗んだと推定しています17。2023 年だけで、総額 6 億米国ドルから 10 億米国ドルの強奪が発生しています。これらの盗まれた資金は、北朝鮮の核およびミサイル プログラムの半分以上をまかない、制裁にもかかわらず北朝鮮の兵器拡散と実験を可能にしていると言われています18。北朝鮮は昨年、数多くのミサイル発射実験と軍事訓練を実施し、2023 年 11 月 21 日には軍事偵察衛星の宇宙への打ち上げにも成功しました。19

Microsoft が追跡している 3 つの脅威アクター (Jade Sleet、Sapphire Sleet、Citrine Sleet) は、2023 年 6 月以降、暗号通貨を標的とした攻撃を最も集中的に行っています。Jade Sleet は大規模な暗号通貨窃盗を行い、Sapphire Sleet は小規模ながらも頻繁に暗号通貨窃盗を行いました。Microsoft は、2023 年 6 月上旬にエストニアを拠点とする暗号通貨会社から少なくとも 3,500 万米国ドルを窃取したのは Jade Sleet によるものだとしています。Microsoft はまた、シンガポールを拠点とする暗号通貨プラットフォームから 1 億 2,500 万米国ドル以上が盗まれた事件についても、その 1 か月後に Jade Sleet によるものだとしています。Jade Sleet は 2023 年 8 月にオンライン暗号通貨カジノを危険にさらし始めました。

Sapphire Sleet は一貫して、暗号通貨、ベンチャー キャピタル、その他の金融組織の幹部や開発者を含む多数の従業員を侵害しました。Sapphire Sleet はまた、攻撃者ドメインへのリンクを含む偽の仮想会議招待状を送ったり、偽の求人募集サイトを登録したりするなどの新しいテクニックを開発しました。Citrine Sleet は、2023 年 3 月の 3CX サプライ チェーン攻撃に続き、トルコを拠点とする下流部門の暗号通貨およびデジタル資産会社を侵害しました。被害者は、サプライ チェーンの侵害にリンクされた脆弱なバージョンの 3CX アプリケーションをホストしていました。

スピアフィッシングやソフトウェア サプライ チェーン攻撃で IT 部門を脅かす北朝鮮のサイバー アクター

北朝鮮の脅威アクターは、IT 企業に対するソフトウェア サプライ チェーン攻撃も実施し、その結果、下流の顧客へのアクセスも手に入れました。Jade Sleet は、ソーシャル エンジニアリングによるスピアフィッシング キャンペーンで GitHub リポジトリと武器化された npm パッケージを使用し、暗号通貨やテクノロジ組織の従業員を標的にしました。20 攻撃者は開発者やリクルーターになりすまし、ターゲットに GitHub リポジトリでの共同作業を呼びかけ、悪意のある npm パッケージを含むそのコンテンツをクローンして実行するよう働きかけました。Diamond Sleet は、2023 年 8 月にドイツを拠点とする IT 企業のサプライ チェーン侵害を行い、2023 年 11 月には台湾を拠点とする IT 企業のアプリケーションを武器化してサプライ チェーン攻撃を行いました。Diamond Sleet と Onyx Sleet はいずれも、2023 年 10 月に TeamCity CVE-2023- 42793 の脆弱性を悪用し、攻撃者がリモート コード実行攻撃を行い、サーバーの管理者権限を取得できるようにしました。Diamond Sleet は、このテクニックを使用して、米国および英国、デンマーク、アイルランド、ドイツを含むヨーロッパ諸国のさまざまな業界で数百人の被害者を侵害しました。Onyx Sleet は、同じ脆弱性を悪用して、オーストラリアのソフトウェア プロバイダーやノルウェーの政府機関など、少なくとも 10 の被害者を侵害、侵害後のツールを使用して追加のペイロードを実行しました。

北朝鮮のサイバー アクター、米国、韓国、およびその同盟国を標的に

北朝鮮の脅威アクターは、自国の国家安全保障上の敵対者を標的にしていました。このサイバー活動は、米国、韓国、日本の 3 国間の同盟に対抗するという北朝鮮の地政学的目的を例証するものでした。3 か国の首脳は 2023 年 8 月のキャンプ デービッド首脳会談で、このパートナーシップを強固なものにしました21。Ruby Sleet と Onyx Sleet は継続して、米国と韓国の航空宇宙および防衛組織を標的としています。Emerald Sleet は、政府、シンクタンク/NGO、メディア、教育機関などの外交官や朝鮮半島の専門家を標的にした偵察とスピアフィッシング キャンペーンを継続して行いました。Pearl Sleet は、2023 年 6 月、脱北者や北朝鮮の人権問題に焦点を当てた活動家と関わっている韓国の団体を標的にした作戦を継続して行いました。Microsoft は、これらの活動の背後にある動機はインテリジェンスの収集であると評価しています。

北朝鮮のアクターが正規ソフトウェアにバックドアを実装

北朝鮮の脅威アクターは、既存のソフトウェアの脆弱性を利用して、正規ソフトウェアにバックドアを仕込むことも行っていました。2023 年前半、Diamond Sleet は、武器化した VNC マルウェアを頻繁に使用して被害者を侵害しました。また、Diamond Sleet は、2023 年 7 月に武器化された PDF リーダー マルウェアの使用を再開しており、この手法については、Microsoft 脅威インテリジェンスが 2022 年 9 月のブログ投稿で分析しています22 。また、Ruby Sleet が、2023 年 12 月に韓国の電子文書プログラムのバックドア付きインストーラーを使用していたと思われます。

北朝鮮は AI ツールを活用して悪意のあるサイバー活動を可能にする

北朝鮮の脅威アクターは AI の時代に適応しつつあります。彼らは、AI 大規模言語モデル (LLM) を搭載したツールを使用して、作戦をより効率的かつ効果的にすることを学んでいます。たとえば、Microsoft と OpenAI は、Emerald Sleet が朝鮮半島の専門家をターゲットにしたスピアフィッシング キャンペーンを強化するために LLM を利用していることを確認しています23 。Emerald Sleet は LLM を使用して脆弱性を調査し、北朝鮮に焦点を当てた組織や専門家の偵察を行っています。Emerald Sleet はまた、LLM を使用して、技術的な問題のトラブルシューティング、基本的なスクリプティング タスクの実施、スピアフィッシング メッセージのコンテンツ作成を行っていました。Microsoft は OpenAI と提携し、Emerald Sleet に関連するアカウントと資産を無効にしました。

中国は 10 月に中華人民共和国建国 75 周年を迎えます。また、北朝鮮は引き続き、重要な高度兵器開発を推し進めていくと思われます。一方、インド、韓国、米国では、国民が投票に向かう中、中国のサイバー アクターや影響工作アクター、そしてある程度の北朝鮮のサイバー アクターが、これらの選挙をターゲットとして活動することが予想されます。

中国は少なくとも、これらの注目度の高い選挙で自分たちの立場を有利にするような、AI が生成したコンテンツを作成し、増幅させるでしょう。このようなコンテンツが対象者に与える影響力はまだ低いものの、ミーム、動画、音声を増強する中国の試みは今後も続く可能性があり、将来的にその効果が証明される可能性もあります。中国のサイバー アクターは長い間、米国の政治機関の偵察を行ってきましたが、Microsoft は、影響工作アクターが米国人と交流して関係性を深め、米国の政治に対する見方を調査する可能性があることに備えています。

最後に、北朝鮮が新たな政府政策に着手し、野心的な兵器実験計画を推進する中、防衛部門を標的とした暗号通貨強盗やサプライ チェーン攻撃がますます巧妙化し、政権への資金流入と新たな軍事能力の開発を促進する役割を果たすことが予想されます。

  1. [1]

    archive.is/0Vdez

  2. [2]
  3. [3]
  4. [4]
    錯誤】網傳「台灣阿銘的公開信」?集中投給特定陣營?非郭台銘發出"、2024 年 1 月 1 日、mygopen.com/2024/01/letter.html “【假借冠名】網傳「  
    台灣阿銘的公開信」?"、2024 年 1 月 11 日、tfc-taiwan.org.tw/articles/10143
  5. [5]
  6. [6]
  7. [7]

    "PRC の "Spamouflage" キャンペーンがカナダ国会議員数十人をターゲットに偽情報キャンペーンを展開している可能性が高い、2023 年 10 月、

  8. [8]
  9. [9]

    2011 年の福島第一原子力発電所事故による処理水処理を日本が決定したことに対し、国際的な憤りを引き出すことを目的とした中国政府の継続的なプロパガンダ キャンペーンについて、複数の情報源が文書に記録しています。こちらをご覧ください: 中国の偽情報が福島の処理水放出への怒りを煽る"、2023 年 8 月 31 日"、 "中国のプロパガンダと秘密のオンライン キャンペーンに狙われる日本"、2023 年 6 月 8 日

  10. [10]
  11. [11]

    web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/

  12. [12]
  13. [13]

    archive.is/2pyle

  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
サイバー影響工作 国家主導型攻撃 国家主導型攻撃に関するレポート ソーシャル エンジニアリング 脅威アクター

関連記事

広範さと実効性において深刻化が進む、東アジア発のデジタル脅威

東アジアの脅威情勢は変化しています。中国はサイバー工作と影響工作 (IO) の両方を広範に展開しており、北朝鮮はサイバー脅威アクターの手法をますます巧妙化させています。こうした状況下で台頭しつつある新たなトレンドを探ります。
詳細情報

信頼の経済からの罠: ソーシャル エンジニアリング詐欺

デジタル情勢の変化に伴い、信頼が通貨にも脆弱性にもなっている状況について解説します。サイバー攻撃者がよく使うソーシャル エンジニアリング詐欺の手口を知り、人間の性質を巧みに利用したソーシャル エンジニアリングの脅威を特定して攻略する方法をご確認ください。
詳細情報

イラン、ハマス支援でサイバー対応型影響工作を急拡大

ハマスを支援するイランのイスラエルでのサイバー対応型影響工作の詳細をご覧ください。戦争のさまざまな局面で作戦がどのように進展したかを確認し、イランが最も好む 4 つの重要な影響工作の戦術、技術、手順 (TTP) を検証しましょう。
詳細情報

Microsoft Security をフォロー