9.北朝鮮のサイバー攻撃に変化-暗号通貨の強盗に軸足が移る
プリシラ・モリウチは、過去2年間で、北朝鮮のサイバー攻撃の方針に微妙な変化があったと感じています。元々は大手金融機関を攻撃のターゲットにすることが多かったのですが、もっと手早く少額を奪うことに軸足を移したようです。モリウチは、次のように説明しました。「彼らは金融詐欺などを小規模な金融機関や一般市民に対して行うようになりました。やっていることは、普通の犯罪組織と何ら変わりありません。」
国連の専門家委員会が今年3月に発表した報告書に記されていましたが、北朝鮮のサイバー集団にとって他国の軍事機密を盗み出すことが新たな収入確保の手段の1つになっています。そうした情報は売ることが出来ますし、自国の兵器開発に生かすことも出来ます。しかし、北朝鮮にとって最も信頼できる収入確保の手段は暗号通貨の盗難です。
暗号通貨関連の犯罪を調査する民間企業Chainalysis(チェインアナリシス)で政策責任者を務めるジェシー・スピロは、最近、北朝鮮のハッカーが暗号通貨の取引所から少なくとも17億5000万ドル相当を盗難したと私に話しました。その額だけで北朝鮮の国防予算の約10%をまかなうことができます。
北朝鮮は暗号通貨の取引所に対してハッキングを仕掛けています。ビットコインや他の暗号通貨の取引所は、通常、顧客の暗号通貨をエスクロー(第三者預託)するための口座を保持しています。そうした口座は、インターネットに接続されているため、「ホットウォレット」と呼ばれます。(接続していないコールド・ウォレットもあります。こちらはコインを保管するためのより安全な方法ですが、多少手間と費用がかかります。)北朝鮮のハッカー集団は、暗号通貨取引所の内部システムに侵入する為に、チリで試みた手法(チリでは失敗しましたが)を用います。実在する人物になりすまし、取引所で勤務している者を騙して本当の求人のよう思わせて、ウィルスに感染したメールを開かせたり、マルウェアをダウンロードさせようとします。通常、どこの暗号通貨取引所でも1人か2人の管理者のみがホットウォレットにアクセスできる暗号を知っています。北朝鮮のハッカー集団は、そうした取引所の管理者を特定し騙すことが出来れば、取引所のホットウォレットからコインを盗み出すことが可能です。
ブロックチェーン分析企業Elliptic(エリプティック)のチーフサイエンティストであるトム・ロビンソンは暗号通貨ハッキング事件を詳しく研究していますが、暗号通貨取引所は北朝鮮のハッカーにとって魅力的な標的になっていると私に言いました。というのは暗号通貨取引では、従来の銀行で現金を引き出すのと異なって、取引を取り消すことは出来ないからです。暗号通貨を盗み出されたら、取り戻すことは不可能です。暗号通貨の取引の際には、仲介業者はいませんし、規制する者もいません。ですから、暗号通貨が不正に引き出されたとしても、誰も調べてくれませんし取り返してくれるわけでもありません。暗号通貨の取引には何の規制もありません。また、匿名で取引することも可能です。また、不正なIDで作ったアカウントでも取引が為されているようです。
ロビンソンによれば、ラザルスグループは架空の人物をでっち上げて暗号通貨を奪っていました。いろんな偽名が使われたことがありますが、ワリー・ダーウィッシュという名前が使われたことは広く知られています。その架空の人物の設定は、ミシガンのセラスLLCという暗号資産を扱う企業で働いているものでした。もちろん、セラスLLCという企業も実在しないでっち上げたものでした。リンクドインや他のSNSで、ワリー・ダーウィッシュやセレスLLCという企業に紐付くアカウントが作成されていました。リンクドインを見ると、ダーウィッシュはロッテルダム応用科学大学の卒業生でロールスロイスを所有していると記されていまし、また、暗号通貨をブロックチェーンする方法を熟知しているということをほのめかしていました。今年の2月にFBIが北朝鮮にいるハッキングをした3人を容疑者として起訴しました。起訴状によれば、ラザルスグループがいくつかのマルウェアを作成しばら撒きました。そのマルウェアは暗号通貨を流出させるためのもので、名称はセレス・トレード・プロでした。
2018年の春、ラザルスグループは、ワリー・ダーウィッシュとセラスという架空の人物、企業を利用して、香港の暗号通貨取引所の1人を巧みにたぶらかして、感染したソフトウェアをダウンロードするように仕向けるのに成功しました。(その搾取事件の調査は継続されており、捜査当局は、香港の暗号通貨取引所の幹部が関与していたと推測しています。)この事件では、マルウェアのインストールから数週間以内に、北朝鮮のハッカー集団は取引所のホットウォレットから約1万800ビットコインを盗み出しました。それは当時のレートで約9,400万ドル相当の価値でしたが、現在では5億ドル以上の価値があります。
通常、そのような略奪にが行われた後には、続いてマネーロンダリングが為されます。その方法は非常に大胆です。ブロックチェーン分析企業エリプティックは、香港の暗号通貨取引所がハッキングされた事件で、奪われた暗号通貨がその後どうなったかを追跡しました。ロビンソンが調べた限りでは、盗まれた暗号通貨は全て北朝鮮のハッカー集団が管理するウォレットに転送され、その後数十個に分割され、さまざまなルートを経由して、別の暗号通貨取引所に送られていました。このように細かく分割して送金する方法は”ピールチェーン”として知られています。ロビンソンは私に暗号通貨の分散図を見せてくれましたが、ちょうど飛行機の座席に置いてある雑誌に掲載されているルートマップのように見えました。1つの点からいくつもの線が放射状に延びて、そうした点がたくあんあって、点と点が繋がって世界中をカバーしているのと似ていました。
ピールチェーンは、自動アラートを回避できるように設計されたものです。自動アラートは、相当量の暗号通貨の取引を自動で検索してアラートを発する仕組みです。盗まれた暗号通貨は2人の中国人(ティアン・インインとリ・ジアドン)に送られました。2人は、偽の写真と偽名を使って、米国を含む複数の暗号通貨取引所に口座を開設していました。その後、2人は暗号通貨を現金化し、中国の複数の銀行に送金しました。米財務省によると、中国のいくつかの金融機関は、北朝鮮の企業や平壌のサイバー集団が後ろにいるフロント企業にも口座を開かせています。昨年、ティアンとリの2人は米国から起訴されました。容疑は、2017年~2019年の間に北朝鮮のハッカー集団が盗んだ1億ドル以上相当の暗号通貨を複雑な手法を用いてロンダリングしたというものでした。
2019年に国連は北朝鮮によってハッキングされた数十の暗号通貨取引所を公表しました。その中には、ソウルにある取引所Bithumb(ビッサム)もありました。ビッサムは4度攻撃され、4度とも被害を受けていました。セキュリティ上に著しい脆弱性がありました。国連がハッキングされた取引所を公表して以降、犯罪で奪った収益をロンダリングするスキルが洗練られているのと同様に、サイバー攻撃の手法も洗練されつつあります。チェインアナリシスのジェシー・スピロによると、今年はこれまでに暗号通貨の搾取事件が15件発生しています。現時点ではまだ北朝鮮がいくつの案件に関与していたかは分かっていません。
スピロは、捜査当局が暗号通貨の強盗に向ける目は厳しくなりつつあると言います。たとえば、ピールチェーンに対する捜査当局の警戒も以前よりは高まっています。スピロが言うには、ブロックチェーンを追跡し分析するつもりがあれば、ピールチェーンが行われているのを見つけるのは現在では比較的簡単になっているそうです。しかし、犯行を隠すための新たな技術が次々と開発されています。マネーロンダリング専門業者は、CoinJoin(コインジョイン)というサービスを提供しています。それは、盗まれた暗号通貨とそうでない暗号通貨を混ぜ合わることによって捜査当局の追跡を困難にするものです。
北朝鮮のハッカー集団がバングラデシュ中央銀行から資金を強奪した際に、犯行は組織ぐるみで大掛かりで多人数を割いて行われたもので、それなりの期間を要していました。それに比べて暗号通貨の搾取は少人数で短期間でこなせます。また、件数を増やすことはそんなに難しいことではありません。ですので、暗号通貨の取引所が北朝鮮のサイバー攻撃の標的として好まれるようになったのは自然なことです。スピロが言うには、北朝鮮の標的が変わりつつあることに対応して、民間の調査機関や捜査当局も暗号資産の取引所へのサイバー攻撃に対して最大限の注意を払うようになっているそうです。暗号資産の取引を追跡する方法を理解することはますます重要なスキルになっています。というのは、北朝鮮のハッカー集団だけでなく、他の多くの犯罪組織が暗号資産でランサムウェアの身代金を受け取っているからです。チェインアナリシスによると、2020年にはランサムウェアを仕掛ける犯罪件数は前年より300%増となっています。
暗号通貨をロンダリングする手法が知れ渡るようになり、盗んだ暗号資産の取引を捜査当局等が見つけ易くなったとしても、そもそもの暗号資産の流出自体を防げるようにする必要があります。それはすぐには無理かもしれません。なぜなら、中国、東ヨーロッパ、東南アジアの暗号通貨取引所の規制が緩いからです。2月に3人の北朝鮮のハッカーが起訴された際の記者会見で、司法省のジョン・デマーズ次官補はそうした規制の緩い暗号資産取引所を放置することは北朝鮮を利することになると言及しました。また、以前からロシアと中国は北朝鮮の政府や企業の悪行を野放しにするどころか支援してきましたが、規制が緩い取引所はそれと同じ役割を果たしていると非難しました。