北朝鮮が「仮想通貨」を狙い撃ちする「これだけの理由」--山田敏弘

国家主体だろうが非国家主体だろうが、仮想通貨が犯罪者の格好の標的になるのは避けられない。
Bloomberg via Getty Images

また仮想通貨の取引所が襲われた。

日本が拠点の仮想通貨取引所大手「コインチェック」から、巨額の仮想通貨が盗まれたのは2018年1月26日のこと。瞬く間に約580億円相当の仮想通貨が奪われ、被害者の数は26万人にも上った。

今回の事件を簡単に説明すると、顧客から様々な種類の仮想通貨を預かっていた取引所のコインチェックが、仮想通貨の1つである「NEM(ネム)」の保管に十分なセキュリティ対策を行っていなかったために、狙い撃ちにされて何者かに多額のネムが奪われた、というものだ。現在当局がアクセス解析など捜査を行っているが、仮想通貨の取引は匿名性が高いだけに、犯人がすぐに見つかる可能性は低い。また盗まれた仮想通貨が戻ってくることもないだろう。

ある捜査関係者は筆者に、かなり匿名性の高い通信を使われたら、「その時点でよほどの事件じゃない限り捜査はお手上げになる」と漏らす。このまま、恐らくは先の見えない難しい捜査が続くことになるだろうというのが大方の見方だ。

だがこの"強奪"事件は、お隣の韓国の国家情報院が見解を示したことで、別の側面にも注目が集まっている。国家情報院は韓国国会の情報委員会でコインチェックの事件に言及し、北朝鮮のハッカーが関与した可能性がある、との見方を明らかにしたのだ。

国家情報院は、北朝鮮ハッカーによる犯行説に何ら根拠は示していない。しかしこれまでの北朝鮮のサイバー工作の動向を見る限り、北朝鮮の犯行であると指摘する"状況証拠"は揃っていると言える。そこで、北朝鮮ハッカーらによる最新のサイバー攻撃の傾向とはどういうものなのかを見ていきたい。

外貨獲得のため銀行を攻撃

北朝鮮のハッカーたちが他国に対するサイバー攻撃で初めて手応えを得たのは、2009年のことだと見られている。韓国の政府機関や金融機関などに対して、DDos攻撃(大量のデータを送りつける攻撃。2018年1月15日「『IoT』世界普及で広がるサイバー攻撃『DDos』の脅威」参照)を実施し、妨害行為を成功させたのだ。

その1件から、北朝鮮は国家として本格的にサイバー戦略に力を入れるようになっていく。貧しく孤立した北朝鮮が、コストは安く、発信源のわかりにくいサイバー攻撃に傾倒するのは当然のことだった。

その後、北朝鮮は安全保障にかかわるサイバー攻撃だけでなく、外貨を獲得する手段として、金銭目的のサイバー犯罪にも手を染めていく。特に米国や韓国の金融機関などを狙った攻撃を行っていたのだが、2015年になると世界各地にその触手を伸ばし始める。フィリピンやベトナムの銀行をはじめ、アフリカのガボンやナイジェリアといった国々の銀行をサイバー攻撃で襲うようになったのだ。

さらにはポーランドの金融監督当局のウェブサイトにマルウェア(不正なプログラム)を埋め込み、世界の金融関係者がそのサイトにアクセスするとマルウェアに感染するという、「水飲み場攻撃」と呼ばれるサイバー工作を行っていたことも確認されている。「水飲み場攻撃」とは、攻撃対象がよくアクセスするインターネットのページを不正に改ざんし、マルウェアに感染させる手口を言うのだが、米大手金融機関をはじめ、南米の中央銀行などが実際に被害に遭っている。

国家が主導する犯罪

そんな中でも特筆すべきが、バングラデシュの中央銀行から8100万ドル(約87億円)を盗み出したサイバー攻撃だろう。この捜査に協力したあるサイバーセキュリティ専門家は、筆者の取材に対して、「攻撃者は、中央銀行の関係者が使うシステムにマルウェアを送り込んで侵入しました。そして中央銀行の送金業務を監視し、それに倣って自分たちも偽の"正式な送金リクエスト"を送ることで不正にカネを奪った。しかもバングラデシュ中央銀行が休みの日を狙っており、かなり周到に準備していた。出し子(現金の引き出し役)は東アジア系で、フィリピンのカジノなどで現金を引き出していた」と語っている。

国家が主導して実施するこうした経済的サイバー犯罪は、それまで前例がなかった。北朝鮮は、サイバー攻撃で奪ったカネを国家運営に回していたと見られているが、今更ながら、とんでもない犯罪国家だと言えよう。

しかしその後、大胆に銀行を狙う北朝鮮の犯行が大きく報じられるようになると、世界の金融機関も警戒心を強めるようになった。また時を同じくして、金正恩(キム・ジョンウン)朝鮮労働党委員長が国家存続の命綱であると位置づける核・ミサイル開発が進展を見せ、核実験やミサイル発射実験といった挑発行為が活発化する。その結果、米国主導で対北朝鮮経済制裁がどんどん強化されてきたのは、ご存知の通りである。

韓国在住の北朝鮮問題専門家は、「とりわけ、国外にある銀行の口座凍結などが効いているようだ」と指摘する。さらにこの人物は、その頃から北朝鮮には新たな外貨の獲得方法が必要になったとも言う。

韓国で続出した被害

そんな状況の中で、金銭目的の北朝鮮ハッカーによる新たな傾向が確認され始める。仮想通貨を標的にするようになっていくのだ。

現在はセキュリティ会社に勤める元ホワイトハウス関係者は最近、筆者に「世界の金融機関を狙った最初の波から、仮想通貨を狙う第2の波(セカンドウェーブ)が到来したという認識だ。北朝鮮にとって、仮想通貨を狙うのは理にかなっている。制裁で経済活動が封じられていても、仮想通貨なら匿名で"買い物"ができる。盗んだ仮想通貨を現金にできなかったとしても、支払いには使える。つまり制裁を逃れることが可能になるのだ」と語っている。

また最近、北朝鮮の平壌科学技術大学などは、仮想通貨に精通している外国人専門家たちを招聘していると言われ、2013年頃から仮想通貨の研究を始めたとの見方も出ている。

この「セカンドウェーブ」と言われる、北朝鮮が仮想通貨を狙う動きは、2017年から韓国を相手に顕在化する。まず4月に、韓国の仮想通貨取引所である「Yapizon(ヤピゾン)」がハッキング被害を受け、160億ウォン(約16億円)が盗まれる事件が発生。この攻撃は北朝鮮の仕業だと見られている。

北朝鮮の仮想通貨への攻撃は続いた。6月には、韓国の大手仮想通貨取引所「Bithumb(ビットサム)」からユーザーのパスワードなど会員情報3万6000人分がサイバー攻撃で盗まれ、約650万ドル(約7億円)が奪われている。さらに9月には、仮想通貨取引所「Coinis(コインイズ)」が21億ウォン(約2億円)を盗まれた。

12月には、4月にサイバー攻撃を受けて名称を変更していた「Youbit(ユービット=元ヤピゾン)」が、同取引所の所有する仮想通貨の17%に当たる約170億ウォン(約17億円)を奪取され、同取引所は破産した。

また2017年には、英国の仮想通貨取引所も狙われている。存在しない偽の幹部募集の応募要項をダウンロードさせて、マルウェアに感染させようとしたものだった。

これらの攻撃は、ほとんどが北朝鮮による犯行だと韓国当局は結論付けている。

北朝鮮による仮想通貨への攻撃手口は、取引所に勤務する特定のターゲットに偽メールを送りつける「スピア・フィッシング攻撃」や、「水飲み場攻撃」などが基本で、これらによってユーザーのIDやパスワードを盗み出す。また取引所の関係者を装い、電話で認証コードを聞き出すという手口もあった。さらには、取引所などに就職目的の願書を送ったり、税務関係のファイルを送るなどしてハッキングを行ったケースも報告されている。

「マイニング」でも入手?

仮想通貨をめぐっては、2017年5月に新たな動きも確認されている。

2017年5月と言えば、サイバーセキュリティ関係者にとっては、世界を震撼させたランサムウェア「WannaCry(ワナクライ)」が確認された時期と記憶されている。5月12~15日にわたって拡散したワナクライは、仮想通貨で「身代金」を払うよう求めた犯行で、後に、米英政府をはじめ大手セキュリティ企業などから「北朝鮮による犯行である」と発表されている。

そのワナクライが猛威を振るった直後の5月17日、北朝鮮のユーザーが初めて仮想通貨ビットコインの「マイニング」を開始したことが確認されているのである。

仮想通貨では、送金など過去の取引を記録した取引帳簿がユーザーに共有されており、ユーザーの取引はユーザー同士で認証し合うことになっている。このシステムは「ブロックチェーン」と呼ばれている。さらに仮想通貨では、このやり取りの認証を行って帳簿に記録することで新しい仮想通貨が生み出され、手間を惜しまず協力した認証者には、見返りとして仮想通貨が付与される。これが「マイニング」と呼ばれるプロセスだが、マイニングは膨大な計算量が必要になり、コンピュータの能力の大半を費やさなければならない。

さらに、このマイニング作業にはかなりの消費電力も必要になる。現在、ビットコインのマイニングで使われている消費電力を合計すると、アイルランド1国の電力消費量に相当すると報じられているほどなのだ。

言うまでもなく、北朝鮮には十分な電力はない。ただでさえ電力が窮している独裁国家で、個人がマイニングのために電力消費を続けることは考えにくい。そんなことからも、政府主導でマイニングが行われていることは間違いないと言っていい。

最初にマイニングが確認された日から、北朝鮮のユーザーによるマイニングに関連する活動は急増した。その数は、1日に数百件になると報告されており、そこからも仮想通貨を獲得していると見られている。

現在、1度のマイニングで得られるビットコインは12.5BTC(ビットコイン)。昨年後半に高値を付けた際の1ビットコイン=200万円で計算すると、2500万円ほどが1度のマイニングで手に入ることになる。ただ、どれほどのマイニングを北朝鮮が成功させているのかは不明だ。また別の仮想通貨でもマイニングを行っているとも報じられている。

インドが重要な拠点

では、北朝鮮のサイバー攻撃は誰が担っているのか。当サイトでも過去に書いた通り(2017年6月7日「世界震撼『ランサムウェア』の背後で蠢く『米朝サイバー部隊』の実態」)、朝鮮人民軍偵察総局の121局がサイバー攻撃を行っている。人員は1600人ほどのハッカーと、作戦を支える4000人ほどの職員がかかわっている。

これまでは中国を主な拠点としてきた北朝鮮のサイバー部隊は、最近ではその拠点の多くを移動させている。現在、北朝鮮のネット活動の発信源は、多くがインドやネパール、マレーシア、インドネシア、タイ、ケニアなどに移っている。その中でもインドが重要な拠点となっており、北朝鮮によるサイバー攻撃の5分の1はインドから行われているという指摘もある。また日本にも、攻撃の中継点として使うプロキシ(代理サーバー)などを設置しているとも聞く。

ともあれ、2017年に入ってから、制裁で追い詰められつつある北朝鮮が、仮想通貨に狙いを定めた工作に力を入れていることは確かである。そして日本でも、コインチェックへの攻撃が現実に起きた。

こう見ると、今回、日本のコインチェックを襲ったサイバー攻撃は、2017年4月から始まった一連の流れにつながっている、と考えることができる。そういう状況証拠も、韓国・国家情報院がコインチェック事件に北朝鮮ハッカーの犯行説を唱えた背景にあることは間違いないだろう。韓国当局も、コインチェック問題は捜査対象にしているという。

もちろんこうした傾向から、北朝鮮の仕業に見せているまったく別の犯行グループが関与している可能性も消し去るわけにはいかない。

だがいずれにしても確かなことは、今後、仮想通貨の注目や人気がさらに高まり、価値がまた高騰していくようになれば、国家主体だろうが非国家主体だろうが、仮想通貨が犯罪者の格好の標的になるのは避けられないということだ。

仮想通貨では、強盗に遭ってしまったらもはやどうすることもできないのである。北朝鮮の犯行だったと確定されても、誰も何もできないのが実情だ。私たちができることは、サイバー攻撃に対する今以上のセキュリティ対策を一刻も早く行うことしかないのである。

山田敏弘 ジャーナリスト、ノンフィクション作家、翻訳家。講談社、ロイター通信社、ニューズウィーク日本版などを経て、米マサチューセッツ工科大学(MIT)のフルブライト研究員として国際情勢やサイバー安全保障の研究・取材活動に従事。帰国後の2016年からフリーとして、国際情勢全般、サイバー安全保障、テロリズム、米政治・外交・カルチャーなどについて取材し、連載など多数。テレビやラジオでも解説を行う。訳書に『黒いワールドカップ』(講談社)など、著書に『モンスター 暗躍する次のアルカイダ』(中央公論新社)、『ハリウッド検視ファイル トーマス野口の遺言』(新潮社)、『ゼロデイ 米中露サイバー戦争が世界を破壊する』(文芸春秋)など多数ある。

(2018年2月14日
より転載)
関連記事

注目記事