盗まれた暗号資産を取り戻せ! ハッカーと闘う捜査機関

2023.10.25 :

世界中から巨額の暗号資産を盗み出しているとされる北朝鮮。去年1年間だけで、その額は2000億円を超えるとも言われる。

中でも、過去最大規模の被害を受けたのがベトナムのゲーム会社だ。今回、私たちは奪われた865億円の行方を追跡。

資産の一部を取り戻すことに成功したヨーロッパの捜査機関の最前線を取材した。

一夜にして奪われた865億円

川崎市の東條利弘さん(33)。システムエンジニアとして会社勤めをするかたわら、妻の裕子さんとともに捨てられるなどした猫の保護活動に取り組んでいる。

2年前、猫の保護活動費の足しにしようと、「副業」であるゲームを始めた。

『アクシー・インフィニティ』。


ブロックチェーンの技術を使った「NFTゲーム」と呼ばれるものだ。「アクシー」というモンスターを戦わせポイントを稼ぐ。そのポイントは暗号資産と交換できる。
海外ではこのゲームで生計を立てているという人が出るほどの人気を集めていた。
(東條さん)
「ゲームは好きなので、楽しいだろう思い選びました。猫の手術費や保険などいろいろとお金が必要で、共働きですが費用は結構なものになっています。多少なりとも稼げれば、より保護活動も展開できると思っていました」
「アクシー」の購入費用などあわせて60万円を投資。会社から帰宅しては毎晩のようにプレーを続けた。
当初は順調にポイントを稼ぐことができ、1日あたり1000円相当の暗号資産を得ていた計算になるという。

ところが「事件」はそのさなかに起きた。ゲームの運営会社が発表したのは、865億円分の暗号資産が何者かに奪われたというものだった。

(東條さん)
「まさか自分がやっているゲームでハッキングが起こるのは驚きでした。時間とお金をかけていますので、それがゼロというのはちょっとしんどい」
ゲーム会社の補償で東條さんの個人の資産には影響がなかったが、いまは東條さんはNFTゲームをすることはなくなったという。

責任者が明かす「真相」

被害に遭ったゲーム会社に取材を申し込み、3か月にわたる交渉の末、最高幹部のひとりから話を聞くことができた。

アレクサンダー・ラーセン氏。『アクシー・インフィニティ』をわずか数年で世界でも有数のNFTゲームに成長させた実業家だ。
(ラーセン氏)
「精神的にどれだけつらかったか、言葉では説明できないほどでした。朝起きたら、865億円のハッキングを受けたと連絡があったのです。普通なら精神崩壊してしまうでしょう」
どのように巨額の暗号資産は奪われてしまったのか。今回ラーセン氏は経緯を明かした。
イメージ
『うちで働かないか?』
きっかけは、ひとりの従業員がSNSで受け取ったあるメッセージだったという。

別の企業の採用担当だと名乗る人物が、非常に高額な報酬の仕事のオファーを行ってきたのだ。

自分に舞い込んだヘッドハンティングだと信じ込んだ従業員は、送られてきたファイルを開いてしまいウイルスに感染。結果、社内のシステムに侵入され、暗号資産が引き出された。
(ラーセン氏)
「私たちの会社には優秀なエンジニアがたくさんいて、雇いたいと思う人は常にたくさんいます。ハッカーは“とてもいい会社で働いている”と褒めた上で、『代わりにうちで働かないか?』とメッセージを送ってきました。社員は『面白いかもしれない』と思ってしまったのです。大金を盗み出すため、ハッカーはとてもクリエイティブになるのです」

「やったのは北朝鮮」

ラーセン氏が明かした攻撃の手口は、人の心理を突き巧みにだましてハッキングにつなげる「ソーシャルエンジニアリング」と呼ばれるサイバー攻撃の手法のひとつだ。
この手法を得意とするのが、北朝鮮のハッカー集団だとされる。
FBIの声明
事件を捜査したアメリカのFBIは「北朝鮮当局の下部組織とされるハッカー集団による犯行だ」とする声明を発表。そのほか、韓国政府や暗号資産の分析会社も北朝鮮による犯行だという見立てを明らかにしている。

攻撃侵入の手口に加え、ウイルスのプログラムなどの特徴が過去の北朝鮮のハッカーのものと一致したとする解析結果が、その見立ての背景にあると考えられる。

暗号資産を奪い返した北欧の捜査組織

今回の巨額ハッキング事件で、一躍注目を浴びた捜査機関が北欧・ノルウェーにある。
奪われた暗号資産の一部を取り戻したというのだ。

汚職やサイバー犯罪といった高度な経済犯罪などを専門に捜査する『オコクリム』。
今回オスロ市の中心部にある捜査本部の取材が特別に許された。

捜査指揮をとるマリアンヌ・ベンダー氏。検察官だ。
(ベンダー検事)
「この部屋で捜査員たちが暗号資産の動きを監視し、没収する準備をしています」
まず通されたのはコンピューターが並んだ部屋。IT企業のオフィスのようなたたずまいだ。
そもそも、事件が起きたのはベトナムのゲーム会社だ。遠く離れたノルウェーでなぜ捜査が行われているのか。

ベンダー検事らが事件を初めて把握したのは、新聞による報道だった。その後アメリカの捜査当局が攻撃の背景に北朝鮮がいることを発表。ベンダー検事は、自分たちも捜査をすべきだという思いにかられたという。
(ベンダー検事)
「北朝鮮が大金を手にするような事態は避けなければならない。これは私たちも参加しなければならない、責任を感じなければならない問題だと考えました」
事件の現場は東南アジア。当然、オコクリムには捜査権限が及ばない。
そこでベンダー検事らはある手段に出る。ホームページでノルウェー国内のゲームのユーザーに名乗り出るよう呼びかけたのだ。
(ベンダー検事)
「事件を捜査する管轄権を持つためには、ノルウェー人(の被害者)が必要だったのです。このゲームでお金を失ったノルウェー国民と直接連絡をとろうと考えました」
国内には750人ほどのユーザーがいることが判明。オコクリムは『ノルウェー国民が被害を受けた事件』として、捜査に乗り出した。

「起訴は目標にしない」

ところが、掲げた捜査方針は少し拍子抜けするものだった。
(ベンダー検事)
「調査を開始したときに誰かを訴追する目的はないとはっきり言いました。盗まれた暗号資産を追跡し没収すること。これが捜査の唯一の目的なのです」
捜査当局なのだから、最終目標は犯人を検挙することであるはず。しかし、国家が絡むサイバー攻撃の捜査は難航することは明らかだ。それよりも奪われた金を少しでも取り戻すことが大切。すべての捜査のリソースを盗まれた暗号資産の行方を追うことに集中させるという判断だった。

盗難後 “宙に浮く”暗号資産

しかし、そもそも盗まれた暗号資産を取り戻すことなどできるのか?

暗号資産を盗んだ場合、足がつかずに現金化するために「資金洗浄」を行うのが一般的だ。

ところがベンダー検事によると、今回の事件では、まだ多くの資産は「資金洗浄」の途中で止まったままだという。
現金化されることなくサイバー空間に残り続ける、いわば“宙に浮いた”暗号資産。

アメリカの暗号資産分析会社が去年発表したリポートによれば、北朝鮮が盗んだあと現金化せずにそのままにしている暗号資産は、これまでに1億7000万ドルにも及ぶという。

これは北朝鮮の典型的な「資金洗浄」のやり方だと言われている。最終的に現金化するまでの期間は年単位に及ぶこともある。

こうして時間をかけることで、捜査当局や被害者の隙をついて、気づかれることなくひっそりと現金化することを狙っている。現金化する時は足がつきやすいからだ。

現金化の直前に凍結!

捜査の最大のポイントも、この現金化につながる動きをおさえることだ。暗号資産を現金化するには、基本的にはどこかの取引所に暗号資産が入ることになる。この瞬間を逃さず、すぐにその取引所に資産の凍結を依頼することが重要だ。

私たちが訪ねた日に開かれた捜査会議では、そのタイミングが来ていないか、宙に浮いた暗号資産の最新状況が報告されていた。
(ベンダー検事)「先週に起きたことについて報告しましょう」
(捜査員A)「先週は特別変化がなくて落ちついた一週間でした。お金の動きはありませんでした」
(ベンダー検事)「以前にも長い間なんの動きもないような時期がありましたね」

明かされる資金洗浄の実態

盗まれた暗号資産の動きを丹念に追っていくベンダー検事たち。
(ベンダー検事)
「今回の事件で、北朝鮮のハッカー集団の資金洗浄能力が非常に優れていることがわかりました。彼らは追跡する警察から逃れるために、あらゆる手を使っています。何年も前から蓄積しなければ培えない高い能力と言えるでしょう」
ハッカー集団はどのように暗号資産を移動させているのか、解析結果の一部を見せてくれた。
まずハッカーたちは、ゲーム会社から暗号資産を引き出した。その直後、数千にも及ぶ膨大な数の「口座」=アドレスに分散させた。

それぞれの口座が、誰が所有しているのかは不明だ。凍結に応じるよう依頼しようとしても、どこに働きかければいいのかはわからない。

立ちはだかる「ミキサー」

無数の所有者不明の口座に分散した暗号資産。

次の瞬間、そのほとんどがプライバシーの保護を名目に開発された「ミキサー」と呼ばれるサービスに集結した。

暗号資産にはそれぞれ取引履歴が記録されている。ミキサーに複数の暗号資産が入ると、取引履歴が混ざり別の暗号資産の記録につけ変わって戻ってくるという仕組みだ。

しかし実際は、履歴を「改ざん」したいサイバー犯罪者に悪用されている実態がある。ミキサーに通されてしまえば、追っていた暗号資産がどこにいったのかわからなくなる。
ベンダー検事は、紙幣を使って説明してくれた。

例えば50ノルウェークローネの紙幣を持っていたとする。それをほかの人たちの紙幣と混ぜ合わせたあと、取り出してみる。再び手にした紙幣はさきほどのそれとは違うものになっているだろう。

アメリカ財務省はこうした悪用に対して、今回のケースに使われた「トルネードキャッシュ」などのミキサーサービスを行っている事業者に対して制裁を科し、対策に乗り出している。
(ベンダー検事)
「北朝鮮はあらゆる手を使っています。それはパトカーが高速道路で逃走する犯人の車を追いかけているようなものです。犯人はスピードをどんどん上げ、車線を頻繁に変更し、さらに高速を降り別の道路に移っていく。私たちはそれに追いつかなければなりません」

ミキサー解読はできたのか?

いまベンダー検事たちはこの「ミキサー」の攻略に特に力を入れている。

ミキサーがどのようなルールで取引履歴を混ぜあわせ、付け替えているのか。高いサイバー技術を持つ捜査員を多数投入し、その実態を解き明かそうとしている。
実は、今回一部の暗号資産を奪い返すことに成功したのも、ミキサーの解明が鍵を握ったという。どうやって解き明かしたのか問うと…。
(ベンダー検事)
「どのようにミキサーを解除したかどうか。それは捜査上の機密ですからここで明かすことはできません。ただ、大きな労力がかかるものでした」

捜査官は常に研さんを

北朝鮮の暗号資産の資金洗浄に狙いを定めて捜査を進め、一定の成果を上げたオコクリム。

ただ、取り戻したのは盗まれた全体の1%に過ぎない。FBIも一部押収に成功しているが、それを加えても数%。ベンダー検事は、より多くの捜査機関が捜査に乗り出すことの重要性を強調している。

今回取材を許可してくれた理由も「日本にも捜査に乗り出してほしい」という思いがあったからだと話した。

日本も去年警察庁が初のサイバー捜査の専門部署を立ち上げ、力を入れ始めている。しかし、オコクリムのような目に見える大きな成果を上げているとは言いづらい。
(ベンダー検事)
「日本がこの問題に焦点をあて始めたことは非常によいことです。いま多くの国が能力を高めていますが、他国と手を取り合い信頼関係を作っていくことが重要だと思います」
どうすれば高い捜査力を持つチームをつくれるのか。
そう尋ねるとベンダー検事は、かつては自身も法律の専門家に過ぎず、暗号資産に関しては素人同然だったと語った。
(ベンダー検事)
「そもそも検察官に暗号資産についてトレーニングを受ける機会はありません。ほかの捜査員とともに、自分で暗号資産追跡の資格を取るなど訓練を重ねました。捜査の責任者である私が事件をきちんと理解していなければ、法廷で説明できません」
ベンダー検事は数年かけて多くの専門書を読みあさったり、暗号資産分析会社の専門家のレクチャーを受けたりと研さんを続けた。これまでの法律、捜査の知識と組み合わせることで、いまではサイバー犯罪の捜査指揮をとれるようにまでなった。
ベンダー検事は、この日開かれた捜査員向けの勉強会に招いてくれた。
(講師)
「みなさんは弁護士や捜査官などそれぞれ違う仕事をしていますが、きょうの講義は役に立つと思います」
講義は暗号資産の基本的な知識はもちろん、ミキサーをはじめとした最新の技術に関する解説も行われ、かなり実践的な内容だった。

オコクリムでは捜査員のレベルに応じてこうした勉強会を開くなど、常にスキルを高める環境整備に努めている。

「それは不自然だ」

地元メディア以外ではカメラ撮影の取材を受けたのは初めてだったというオコクリム。取材で印象的だった出来事がある。

勉強会を撮影する前にベンダー検事が「私はどこにいればいいですか?」と聞いてきた。

私たちは「捜査のボスらしく、見守っていてくだされば結構です」と答えた。

すると、ベンダー検事は首を振った。

「私はボスではありません。私たちの組織に上下関係はなくフラットなのです。そのようなことはとても不自然になる」。

オコクリムに集まる捜査員たちは多種多様だ。ベンダー氏のような検察官の隣には警察官がいた。サイバーセキュリティーのエンジニアのバックグランドを持つ捜査員もいた。そしてなぜか女性が多く、時に和気あいあいとした雰囲気で捜査にあたっていた。捜査機関というよりもスタートアップ企業の現場を取材しているのではという錯覚を覚えた。

日本の25分の1ほどの人口しかないノルウェー。捜査本部もカフェなどが入るビルの一画に過ぎず、規模は大きいとはいえない。
捜査機密に関わるため、常にベンダー検事や担当者が同行する形での取材になったが、驚いたのは「外部に出しても問題ないものはすべて惜しみなく公開する」という姿勢だった。

国家が関わるサイバー犯罪に対して国境を越えて立ち向かっているという自負、そして奪われた暗号資産は必ず取り戻せるという信念、サイバー捜査の可能性をひとりでも多くの人に知ってもらいたいという強い思いが感じられた。

(2023年7月3日「クローズアップ現代」などで放送)

ご意見・情報をお寄せください

科学文化部記者

福田陽平

神奈川県茅ヶ崎市出身。2013年入局。岡山、札幌局を経て科学文化部。専門分野はIT・サイバーセキュリティーと文化・芸術(美術・アート)。地方局時代には、アニメーション監督・高畑勲さんや脚本家・倉本聰さんといったクリエイターなどを取材。岡山では、ハンセン病の元患者、札幌ではアイヌ、LGBTの当事者など、マイノリティーをテーマとした取材も継続している。学生時代に観た是枝裕和氏のドキュメンタリーに衝撃を受け、善悪の単純な二元論で、物事を捉えるのではなく、その「間」を深く取材し、多面的に報道することを目指している。趣味は映画鑑賞、美術館巡り、ひとり海外旅行、読書(小説)。学生時代に吹奏楽部、映画サークルに所属し、いまも年間150本は映画を観る、完全な「文化系」。日課は、契約する7つの動画配信サービスを横断し、映画・ドラマをひたすらチェックすること。悩みは、新たにどの動画配信サービスに入るべきか。

福田陽平記者の記事一覧へ

記事の内容は作成当時のものです

SPECIAL一覧に戻る