北朝鮮ハッカー “闇の資金源”を追う

2023.10.25 :

核・ミサイル開発費をサイバー攻撃によって稼いでいると指摘される北朝鮮。実行部隊は、キム・ジョンウン(金正恩)総書記直属の「偵察総局」に所属するハッカーたちだという。

その実態を、半年にわたって追跡。

見えてきたのは、中東の小さなアパートだった。

北朝鮮のハッカーを追って中東に

ペルシャ湾の北端に位置する中東・クウェート。
首都クウェート市内
四国ほどの面積の国土のほとんどを砂漠が占める世界有数の原油産出国だ。

首都のクウェート市は、高層ビルが建ち並ぶ近代都市だが、日中、街に出歩いている人は少ない。

6月初旬にもかかわらず気温は40度を超え、屋外はサウナに入ったような蒸し暑さだ。
「見えますか?クウェート・タワーです」

海岸沿いにそびえる街のシンボル、クウェート・タワー。

私たちは北朝鮮の元外交官の男性とテレビ電話をつないでいた。

強い日ざしを受け輝くように光るタワーを画面越しに見た男性は「懐かしい」と顔をほころばせた。

私たちは、これから、北朝鮮のハッカーたちを追うのだ。

865億円“史上最大”の暗号資産窃盗事件

去年3月“史上最大”と言われる865億円の被害を出した暗号資産の窃盗事件が起きた。

ねらわれたのは、ベトナムのオンラインゲームの会社。
FBIの声明
アメリカのFBIは「北朝鮮当局の下部組織であるハッカー集団」による犯行だと発表。

侵入の手口やウイルスの特徴が過去の北朝鮮のものと一致したとみられている。

北朝鮮は、長年にわたり、世界中でサイバー攻撃を仕掛けてきたことが知られている。
北朝鮮に盗み出されたとされる暗号資産
特に近年は、厳しい経済制裁を受ける中「外貨獲得」の手段として暗号資産のハッキングを繰り返しているとされる。
暗号資産の主な被害
アメリカの暗号資産分析会社「チェイナリシス」によれば、去年1年間だけでも、日本円にして、およそ2300億円を奪ったという。

日本の暗号資産の取引所でも、あわせて100億円ほどの被害が出ているとみられている。

キム総書記直属の偵察総局“ハッカー=エリート”

北朝鮮のハッカー集団とは、一体何者なのか。
北朝鮮のサイバー攻撃を調査 ユ・ドンヨル(柳東烈)氏
韓国の警察庁傘下の研究所で長年北朝鮮のサイバー攻撃を調査してきたユ・ドンヨル(柳東烈)氏は、北朝鮮のハッカーは、最高指導者、キム・ジョンウン総書記直属の組織「偵察総局」に所属すると指摘する。
ユ・ドンヨル氏
「軍に所属していますが、実際は、直接、キム総書記に報告し、指示を受ける別動部隊です。サイバー工作をすべて実行する専門の部隊です」
セキュリティー会社などによれば、偵察総局傘下には「ラザルス」や「キムスキー」などと呼ばれるハッカー集団が存在するという。

ドンヨル氏によれば、北朝鮮では、中学からコンピューターについて学び、優秀な生徒は大学に進学する。

中でも、際立った成績を修めたエリートだけが、ハッカーの養成組織への「入学」が認められるという。
ユ・ドンヨル氏
「最低でも養成には20年以上をかけます。養成組織では、改めて基本的な知識を教え込んだ後、専門的な教育とともに外国語の勉強をさせるのです。サイバー工作は英語をはじめとする外国語を理解しなければ、できません」

拠点は各地に点在か?

ユ・ドンヨル氏によれば、北朝鮮のハッカー拠点は、世界各地に点在しているという。
ユ・ドンヨル氏
「最初は北京。それから東南アジア、ラオスなどの国まで広げました。10人が1つのチームになって活動し、いろいろなところに拠点はあります」
ただ、こうしたハッカー拠点の場所が特定されたり、摘発が行われたりした例は、これまでに報告されていない。
ユ・ドンヨル氏
「彼らは場所を変え続けています。頻繁に拠点を移るので場所を特定することができないのです」

一体 何者か

北朝鮮の“サイバーエリート”たちが世界中で行っているというサイバー攻撃。その実態は謎に包まれている。

私たちは、ドンヨル氏のような韓国の専門家に加え、国連で調査にあたっていた専門家、アメリカのFBIの元捜査官、各国のセキュリティー会社などにも取材を広げていった。

取材をはじめて半年『“ハッカーの拠点”を訪れたことがある』と証言する人物から話を聞くことができた。

それがクウェートでテレビ電話を結んだ、北朝鮮の元外交官のリュ・ヒョヌ氏だった。

口を開いた元外交官

北朝鮮の元外交官 リュ・ヒョヌ氏
リュ氏は、ピョンヤン外国語大学でアラビア語を専攻。
その後、外務省に入り、クウェートの代理大使を務めた人物だ。

2019年、脱北した。

クウェートの大使館時代、本国から中東地域を訪れる人たちの入国管理を担っていたという。
リュ・ヒョヌ氏
「北朝鮮のパスポートを持っているすべての人は、派遣される地域に行くと、その地域の大使館に知らせるようになっています。労働者のところに行き、問題を抱えていないか、食事の質はどうかなどを調べて、党に報告しなければならなかったのです」
当時、中東には、北朝鮮から多くの建設労働者などが派遣されていて、リュ氏は、彼らの生活ぶりなどを常にチェックし、本国に報告していた。
リュ氏は、その中に、偵察総局に所属する人物もいたとする。

偵察総局の活動は、秘密裏に行われるとされているが、リュ氏は、偵察総局所属の人物から『ハッキングしている』と、直接聞いたことがあると証言した。
リュ・ヒョヌ氏
「偵察総局に所属する人物は、クウェートには8人、カタールには9人、アラブ首長国連邦には19人いました。彼らは皆、コンピューター技術の最先端を行く能力の持ち主です。『ハッキングは年をとるとできなくなる』などと、みずから口にしていました」
クウェートでは、彼らの住まいを何度も訪問したという。

8人のうち、半数はアプリの開発などを請け負って、いわゆる「IT技術者」のようにして生活費を稼ぎ、残りが、ハッキングなどの活動に従事していたとしている。
リュ・ヒョヌ氏
リュ・ヒョヌ氏
「小さな部屋に4人ずつ、二段ベッドを並べて寝泊まりしていました。応接間は、ソファーとテレビを置くだけで精いっぱいの広さでした。性能のよいノートパソコンやデスクトップを使っていました」
リュ氏によると、ほとんど外出せず、コンピューターに向き合うだけの日々を過ごしていたという。
リュ・ヒョヌ氏
「例えば、たばこが切れて、買いに行きたいとしても、報告してから出て行かなければなりません。帰宅時間も過ぎてはならないのです。彼らは働き蜂のような人たちです。何ももらえない。名誉の勲章をもらえるだけです」
リュ氏が5年前に訪れたという“ハッカーの拠点”は、今もあるのか。

モールに「フロント企業」

「もうちょっと進んで!カメラをもう少し上に向けてください。この建物です」

私たちはスマホで、現地の映像をリアルタイムでリュ氏に送りながら、調査を開始した。

リュ氏の案内で、まず目指したのは、偵察総局から派遣されてきた担当者が勤めていたという貿易会社。
市の中心部から車を走らせ、たどりついたのは、郊外のショッピングモールだった。

服や雑貨、それに電化製品などを売るセレクトショップが入った日本にもあるような商業施設だ。

平日の日中だからか、人はまばらで、警備員が館内を回っているだけだ。

「そこにエレベーターがあります。2階のボタンを押して」

2階(日本では3階)に上がり、渡り廊下をわたった。
「左に曲がって、まっすぐ行ってください」

「ここからオフィスの方をみせてください。ここだと思います」


偵察総局のメンバーのまとめ役だった人物が勤めていたという貿易会社のフロア。

しかし、中をのぞくと、テナントは、今は使われていない様子だった。

ほかにも、取材を試みたが、それ以上の情報を集めることはできなかった。

ハッカーの拠点は…

「ハッカーたちが住んでいた場所は、すぐ近くだ」

案内に従ってさらに車を走らせ、外国人労働者たちが数多く集まる住宅地に入った。
砂ぼこりが舞い、いたるところにゴミが散乱している。

ベージュ色の似たような集合住宅が建ち並ぶ。

リュ氏は、声を張り上げて、ルートを示し始めた。


「違う!右です。もう一度、前にいた道に戻って入り直してください!」


小道に入ると小さな商店が視界に入ってきた。


「この商店の右を!右を見せてください!」
見上げると、そこには9階建てのアパートがたたずんでいた。

「ここに間違いありません。2階に拠点があったのは確かです」

アパートの住民は…

アパートに入った。

薄暗いエントランスには、洗濯物が干され、いすが雑然と並んでいる。
階段は、ところどころ、床のタイルが欠けている。

リュ氏が示した2階にある部屋を訪ね、呼び鈴を押した。

玄関から、小さな子どもと父親が出てきた。

東南アジア人のように見える。
「こんにちは。ここにはどれくらい住んでいますか?」
住民
「1年ちょっとです」
「この建物に北朝鮮の人は住んでいますか?」
住民
「わかりません。この建物には、いろいろな国籍の人が住んでいますから」
ほかにも複数の住人に聞いてみたが、北朝鮮の人が住んでいるという情報は得ることができなかった。

5年前までいた?

1階に降りると、玄関の窓に管理者らしい人物の連絡先が貼ってあった。

電話をしてみたが、つながらない。

途方にくれていると、エントランスにいた若い男性が、管理者を呼んできてくれた。
管理者(右)に接触
イラン出身だという管理者の男性。

北朝鮮の関係者が住んでいるのか、聞いてみた。
管理者の男性
「いえいえ、いま住んでいるのはインド、スリランカ、フィリピン人です」
それ以上は話したがらない様子だったが、質問を重ねると…。
管理者の男性
「北朝鮮の人は、数人の仲間で住んでいましたが、5年ほど前に皆出て行きました」
管理者からは、それ以上詳しく聞くことはできなかった。

その後、建物内の別の空き部屋を見せてもらうことができた。
玄関を入ると、狭い廊下と小さな部屋。

5年が経過していたが、リュ氏の証言と似た特徴があった。

決して環境がいいとは言えないこのアパートで、高度なITスキルを持つトップエリートたちが世界の企業や国家を相手にハッキングを行っていたのだろうか。

その「落差」に、北朝鮮の苦境の一端が見えた気がした。

資金洗浄のキーマン

4月下旬、北朝鮮ハッカーの、中東での活動に関する証言が得られたちょうど、その頃。

アメリカ政府が、ある北朝鮮の人物を指名手配した。
シム・ヒョンソプ被告。

アラブ首長国連邦のドバイで北朝鮮の銀行の代表を務め、ハッカーが盗み出した、およそ100億円分の暗号資産の一部について、資金洗浄に共謀した疑いが持たれている。

シム氏の素顔とは

クウェートで代理大使を務めていたリュ氏は、2017年から2年間、このシム被告と、頻繁にやりとりを重ねていたという。
リュ・ヒョヌ氏
「初めて会ったのは2017年でした。彼は自身をハジムと名乗っていました。本人には、妻子がいて、ビザの在留期間が満期になってしまうが、ドバイに居続けられるようにできないか、と頼まれました」
シム被告は、偵察総局のハッカーではなく、資金洗浄などを専門に行う人物で、国連の制裁で、大使館と本国との間で正規の送金ができなくなっていたことから、リュ氏はシム被告を介して大使館の運営費を受け取っていたと話した。
リュ・ヒョヌ氏
「大使館の運営費を公式には受け取れないのでシムを頼っていました。本国との資金のやり取り、すべての金融・銀行業務の仕事をシムが担当していました。シムは、中国にいたこともあり中国人の業者を多く知っています。ビジネスに必要な言語能力が十分で幅広いネットワークを築いていました」
シム被告の起訴状
起訴状によると、シム被告は、中国国籍の男ら2人に指示。

盗まれた暗号資産をドルに交換させていた。

さらに、北朝鮮政府のために通信機器などを購入させていたという。

ドバイの活動は

私たちはアメリカの指名手配やリュ氏の証言を元に、シム被告に関する情報を求めて、ドバイでも取材した。
世界でも有数の金融都市、ドバイ。

シム被告が拠点を置いていたとみられる中心部の一角には、大型のモスクやビルとともに、高層マンションが建ち並び、近くにはアジア料理のレストランもあった。
「北朝鮮の人がいるという情報があるが何か知っているか」
「1~2年は見ていません」
なかなか有力な情報は得ることができない中、リュ氏が証言したシム被告と会合を行ったという中心部の外資系ホテルの北朝鮮レストランにも向かったが、レストランは、すでになくなっていた。
北朝鮮レストランは中国料理店になっていた
同様に、リュ氏が個室で会合を持ったという有名な北朝鮮レストランもすでに閉店。

中国料理店に姿を変えていた。

国家的なサイバー犯罪の実態解明の難しさ

世界中にまたがるという北朝鮮のハッカーの拠点と資金洗浄ネットワーク。

私たちは半年以上にわたって各国の専門家や捜査当局や元捜査官、脱北者などに取材を行ってきた。

とりわけ、ハッカー集団の拠点や人物に関する情報に焦点を絞って取材したが、ほとんど具体的な情報は得られなかった。

多くの人は「特定は不可能」だと助言し、そもそも「犯人の起訴を目的としていない」と明言した捜査機関もあった。

サイバー空間では、攻撃元を隠蔽することは容易であり、逆に言うと、攻撃者に直接つながる証拠を集めるのは、極めて難しい。

また、ハッカー集団が拠点を置いている可能性がある国々の中には、北朝鮮と関わりがあるとされる権威主義的な国家もあり、その実態の解明は容易ではない。
国連の専門家パネル 元メンバー 竹内舞子氏
国連の専門家パネルのメンバーとして北朝鮮への制裁状況を監視していた竹内舞子氏は、この国家的な犯罪に対処するためは、各国の国際協調が欠かせないと指摘する。
竹内舞子氏
「いかに各国の捜査当局が共同して、この問題に当たれるか、です。正直なところ、いまはなかなか各国が同時に歩調を合わせることができにくい国際情勢だと思います。北朝鮮が核・ミサイル開発を続けるための資金源にねらわれていることに、各国の意識を向けなければなりません」
今回の取材では、ハッカー集団の一端さえ明らかにしたとは言えないが、中東での取材で、わずかばかり見えて来たのは、ハッカーやその犯罪を支える人物たちは、国を代表する屈指の頭脳を持つエリートである一方で、異国の地で、決して恵まれたとは言えない環境に身を置き、サイバー攻撃に手を染めている実態だった。

引き続き、ハッカー集団の実像に迫るべく、取材を続けていきたい。

(2023年7月3日「クローズアップ現代」などで放送)

ご意見・情報をお寄せください

科学文化部記者

福田陽平

神奈川県茅ヶ崎市出身。2013年入局。岡山、札幌局を経て科学文化部。専門分野はIT・サイバーセキュリティーと文化・芸術(美術・アート)。地方局時代には、アニメーション監督・高畑勲さんや脚本家・倉本聰さんといったクリエイターなどを取材。岡山では、ハンセン病の元患者、札幌ではアイヌ、LGBTの当事者など、マイノリティーをテーマとした取材も継続している。学生時代に観た是枝裕和氏のドキュメンタリーに衝撃を受け、善悪の単純な二元論で、物事を捉えるのではなく、その「間」を深く取材し、多面的に報道することを目指している。趣味は映画鑑賞、美術館巡り、ひとり海外旅行、読書(小説)。学生時代に吹奏楽部、映画サークルに所属し、いまも年間150本は映画を観る、完全な「文化系」。日課は、契約する7つの動画配信サービスを横断し、映画・ドラマをひたすらチェックすること。悩みは、新たにどの動画配信サービスに入るべきか。

福田陽平記者の記事一覧へ

記事の内容は作成当時のものです

SPECIAL一覧に戻る