北朝鮮のハッキング組織が韓国国内の防衛産業企業などをハッキングし、重要な技術資料を盗み出したことが確認された。ソウル警察庁安保捜査支援課は米連邦捜査局（ＦＢＩ）と共同捜査を行った結果、北朝鮮のハッキング組織「アンダリエル（Ａｎｄａｒｉｅｌ）」が昨年中旬から国内の防衛産業企業・研究所・製薬企業・大企業子会社など１４の機関のサーバーをハッキングし、レーザー対空武器など重要な技術資料やサーバーＩＤ・パスワードなどを盗んだと４日、明らかにした。警察によると、盗まれた機密資料は計１．２テラバイト（ＴＢ）規模で、フルＨＤ級映画２３０本分量という。

アンダリエルは、身元不明の加入者にもサーバーを賃貸する韓国レンタルサーバー会社を利用して企業情報に接近したことが分かった。警察がハッキング事実を通知した当時、ほとんどの企業は被害を認知していない状態だった。企業の信頼低下を懸念して警察に被害を届けなかったところもあった。警察関係者は「まだ捜査が進行中であり、具体的なハッキング手法は公開するのは難しい」とし「盗まれた技術の活用までは確認できていない」と話した。

アンダリエルは軍事情報に特化したハッキング組織だ。２０１９年に米財務省が「ラザルスグループ」「ブルーノロフ」と共に北朝鮮政府の支援を受ける３大ハッキング組織として特別制裁対象に含めたことで存在が初めて知られた。今回もＦＢＩがアンダリエルの韓国サイバー攻撃跡を先に発見し、今年初めにソウル警察庁と共同捜査を進めて犯行が明らかになった。警察関係者は「ＦＢＩは国内企業に対する捜査権がなく、国内捜査機関はグーグルなど海外企業から協力を受けるのが難しいため強力は必須」と説明した。


北朝鮮の犯行と特定できる手掛かりはＩＰアドレス追跡過程で出てきた。ハッカーが使用したグーグルの電子メールアカウントを調べた結果、ＩＰアドレスの所在が「朝鮮民主主義人民共和国平壌柳京洞（ピョンヤン・リュギョンドン）」と確認されたからだ。昨年１２月から今年３月まで計８３回接続した痕跡があった。柳京洞は北朝鮮最高層ビルの柳京ホテルや柳京鄭周永（チョン・ジュヨン）体育館などがあり、平壌市内の名所に挙げられる地域。平壌情報センターと国際通信などもある。

警察はアンダリエルが過去に確保した犯罪収益金の一部が北朝鮮に流れた状況も追加で捕捉した。アンダリエルはコンピューターシステムをまひさせる悪性プログラムのランサムウェアに感染させた後、再使用の代価として身代金（ランサム）を要求し、２０２１年から今年４月まで国内企業３社から４億７０００万ウォン（約５３００万円）相当のビットコインを受けた。警察は国内外の取引所の取引内訳を分析して資金の流れを追跡した結果、このお金の一部が国内に居住する外国人女性Ａの口座を経て北朝鮮に流れた状況を捕捉した。

警察によれば、約６３万中国元（約１３００万円）が２０２１年と２２年の２回にわたり中国遼寧省所在のＫ銀行のＡの口座に送金された。その後、このお金は中朝国境地域にあるＫ銀行支店で出金された。警察は韓国に居住中のＡをアンダリエルの共犯とみて、今年７月、情報通信網法違反容疑を適用して立件した。警察はＡの口座・携帯電話・住居地などを家宅捜索して確保した５万件のファイルを調べ、Ａとアンダリエルの関連性を確認中だ。ただ、Ａは「過去に香港所在の両替会社の職員として勤務した当時、会社の要請で口座を提供したことがあるだけ」とし、容疑を否認している。

警察関係者は「Ａと犯行に使用された国内レンタルサーバー会社など関連者に対する捜査を続ける一方、追加被害事例および類似ハッキングの可能性についても綿密にチェックする予定」と明らかにした。