「“北”に865億円を奪われた」被害企業の最高幹部が語る事件のいきさつ

2023.10.25

いま、“遊びながら稼げる”と世界中で人気を集めている「NFTゲーム」。

去年3月、人気ゲームのひとつ「アクシー・インフィニティ」を舞台に事件は起きました。865億円相当の暗号資産がハッキングによって盗まれたのです。
史上最大規模となる大量の暗号資産が盗まれたこの事件。アメリカの連邦捜査局＝FBIや韓国政府は、北朝鮮のハッカー集団による犯行とみています。

今回、被害に遭ったゲーム会社の創業メンバーのひとりで、最高執行責任者を務めるアレクサンダー・ラーセン氏がNHKの取材に応じました。事件発覚からその後の対応、そしてNFTゲームの未来まで。独占インタビューで迫ります。

「Play to Earn」稼ぎながら遊べる？NFTゲーム

「遊びながら稼げる」と話題のNFTゲーム。ブロックチェーンの技術を活用し、ゲームで得たポイントを暗号資産に交換できることが大きな特徴です。

中でも、世界中で高い人気を誇ってきたのが「アクシー・インフィニティ」。「アクシー」と呼ばれるモンスターを互いに戦わせることで「トークン」を稼いでいきます。暗号資産に交換でき、現金にも換えられます。

2018年にベトナムで創業されたスタートアップ企業が開発したこのゲームは、一時、280万人以上がプレーしたともいわれ、中にはこのゲームで生計を立てる人も出たといわれています。

ところが去年３月、衝撃的なニュースが伝えられました。このゲーム会社から865億円もの暗号資産が盗まれたのです。

「朝起きたら865億円が消えていた」

今回私たちは、ゲーム会社に取材依頼を出しました。3か月にわたる交渉の結果、創業者のひとり、アレクサンダー・ラーセン氏がインタビューに応じてくれました。

わずか数年で世界でも有数のゲームに成長させたラーセンさん。事件の一報を聞いた時、あまりの出来事に大きな衝撃を受けたといいます。

精神的にどれほどつらかったか、言葉では説明できないほどでした。朝起きたら約865億円のハッキングを受けたと連絡があったのです。

私たちは長い時間をかけて会社を育ててきました。ユーザーやコミュニティーを大切にすることに重点を置いてきましたし、ユーザーが私たちをとても信頼してくれていることも知っていました。今回の事件で私たちは会社としての根幹を揺さぶられましたが、同時に「ユーザーを守るにはどうしたらいいのか」を真剣に考えなければなりませんでした。なぜならそれが私たちの最も重要な責任だからです。

莫大な損失の穴埋めに奔走

サイバー攻撃に対して完全に備えることは非常に困難です。わが社はスタートアップ企業で、理想どおりのシステムが整っていたわけではありません。だからといって言い逃れはできません。

「どうすれば知り合いの投資家から資金を調達できるか」、「ユーザーが損失を被らないよう、すでに銀行にある会社のお金をユーザーに渡す方法はあるか」など、社員一丸となって解決策を探しました。

結果的に、私たちは素早く会社としてユーザーの損失をすべてカバーすることができました。このことが評価されているからこそ、いまでも多くのユーザーが私たちのゲームをプレーし、ともに時間を過ごしてくれているのだと思います。ブロックチェーンの業界で、1つの企業がすべてのユーザーにこれほど早く返金したことは初めての出来事だと思います。私はそのことをとても誇りに思っています。

暗号資産はどうやって盗まれた？ハッカーの巧妙な手口

865億円相当もの暗号資産をハッカーはどのようにして盗み出したのか。原因を究明していくと、高度なハッキング能力だけではなく、人の心の隙をつく巧妙な手口が見えてきたといいます。

社員のひとりが非常に高額の給与で仕事のオファーを受けたのです。

ハッカーは企業の求人などに使われるSNSで採用担当者を装い、社員に接触してきました。

最初のメッセージでハッカーは、わが社で働いていることを褒めたそうです。「とてもいい会社だ」と。そして「代わりにうちで働かないか？私たちはこれとこれをやっているんだ」と言ってきました。社員はそのメッセージを見て「これはおもしろいかもしれない」と思ってしまったそうです。

ハッカーは社員と面談まで行いました。生身の人間がいたということです。

そして最終的にはファイルを送ってきて、返信するように求めてきました。そのファイルを通じて、(ハッカーによる)社内のアクセスを許してしまったのです。大金が絡むとハッカーはとてもクリエイティブになるのです。

「誰もが攻撃されると想定し、危機に備えよ」

ラーセンさんの会社では今回の事件を教訓に、システム面のセキュリティー強化と社員ひとりひとりの意識改革に取り組みました。

サイバー攻撃を止めることはほとんど不可能です。ですから、社員の誰もがいつでも攻撃される可能性があると想定しなければなりません。仮に従業員のひとりがだまされて権限が奪われてしまったとしても、攻撃者がアクセスできないよう制限しなければならないのです。

これは、サイバーセキュリティの分野ではどんなネットワークも安全ではないという前提に立つ「ゼロトラスト」と呼ばれる原則です。これに従い、わが社では「誰でも悪意のある人物になりうる＝誰も信用しない」ことを前提として、社内システムのインフラを完全に整えつつあります。いまではわが社の社員は全員、サイバー攻撃に対抗するシステムがインストールされた業務用パソコンを使っています。

しかしそれだけではなく、ひとりひとりの心構えも重要であると私は考えています。「自分がいつでも狙われる可能性がある」という自覚を持つよう、全員を訓練しなければなりません。そのために会社として社員にさまざまなトレーニングのコースを提供しています。また、社員がみずから取り組むマーケットやビジネス、それに取り巻くすべてのものについて、その重要性をきちんと理解しているかどうかにかかっているのだと思います。

いま、NFTの労働市場では優秀なエンジニアの人気が高まり、人材の獲得競争が起こっています。今回の事件のハッカーはこういった状況を利用しました。
私はこの業界で活動するすべての人へのアドバイスとして、「自分たちも攻撃されるリスクを理解すべき」と伝えたいです。

「人はゲームを通じて新しいテクノロジーに出会う」NFTゲームの未来を見据えて

突然見舞われた、会社の資産を盗まれるという危機。難局を乗り切ったいま、ラーセン氏はこの業界の未来を見据えています。

私が描くビジョンは、Web3という新技術の最先端を行く、世代を超えた会社を作ることです。

将来、NFTゲームをプレーして得たポイントを暗号資産や通貨と交換し、直接お店で使うことが当たり前になると信じています。

人類が新しい技術に出会う方法がゲームであるというのはよくあることです。
携帯電話の黎（れい）明期、人々が携帯電話を手に入れたのは、開発されたばかりの初期のゲームをプレーするためでした。
新しい技術というのは往々にしてこのようなケースに当てはまります。だからこそ、私たちはいまモバイルファーストのゲームを作っているスタジオとの提携に非常に力を入れているのです。インドやパキスタン、フィリピンといった新興国をターゲットにしています。

実はそれに加えて、日本のスタジオとの提携も視野に入れています。
日本でNFTゲームに関心を寄せている人々は、「どのようにユーザーに力を与えるのか」を理解したいのです。NFTゲームと通常のゲームの根本的な違いは「プレーヤーにいかに利益を還元するか」を考えることだと私は考えています。これまでのゲームは、消費者からお金を取ることばかりを目的としてきました。しかしNFTゲームでは、プレーヤーにいかに還元するかが重要です。その過程でプレーヤーがブランドを信頼し、プレーしてくれることで収益を上げることができるのです。

私たちは、マリオのような唯一無二のキャラクターを創造した日本のゲーム会社を心から尊敬しています。強いキャラクターを中心にプラットフォームを構築し、その後さまざまなタイプのキャラクターを追加していきました。
私たちも同じように、「アクシー」というキャラクターを「私たちのマリオ」として育てたい。それが夢です。

（2023年7月3日「クローズアップ現代」などで放送）