クローズアップ現代

毎週月曜から木曜 総合 午後10:00

Menu
2018年2月28日(水)
ハッカーvsハッカー! 仮想通貨・知られざる攻防

ハッカーvsハッカー! 仮想通貨・知られざる攻防

巨額の仮想通貨が大手交換会社から流出して1か月。いまネット上では“ホワイトハッカー”と呼ばれるプログラマーたちが、独自に犯人追跡を続け、サイバー空間を舞台に日夜激しい攻防を繰り広げている。犯人側は流出させた仮想通貨を無数の口座に分散、さらに“ダークウェブ”を使うなど次々に新たな手口を繰り出す。対するホワイトハッカーも、独自の解析プログラムを作り出し、犯人が残したわずかな痕跡を追い続ける。追う側も追われる側も、全く前例がない未知の攻防。密着取材から見えてきた犯人像とは?ハッカーVSハッカーの行方に迫る。

出演者

  • 楠正憲さん (ネットセキュリティ専門家)
  • 武田真一・鎌倉千秋 (キャスター)

ハッカーvsホワイトハッカー! 仮想通貨“580億円”を追え

都内のビルの一室で、今、前代未聞の追跡劇が繰り広げられています。集まったのは、ホワイトハッカー。IT技術のスペシャリストたちです。

ホワイトハッカー
「(これが)犯人のアドレス。これからが本当の攻防の始まり。全面戦争というか。」

彼らが追うのは、史上最大580億円相当の仮想通貨流出事件。
事件から1か月。いまだ捕まらない犯人のハッカーと、ホワイトハッカーの一進一退の攻防が続いています。手に入れた仮想通貨をサイバー空間に拡散し、追跡を振り切ろうとする犯人。次々とプログラムを開発し、犯人のかすかな足取りを追うホワイトハッカー。

ホワイトハッカー
「盗難(された仮想通貨)を可視化しています。」

ついに戦いの場は、ネットの最深部、ダークウェブと呼ばれる闇市場へ。そこで見つかったのは犯人が巨額の仮想通貨を交換したと思われる痕跡。その額とは…。
前例のないサイバー空間での攻防。最前線に密着しました。

河崎純真さん、26歳。10代でITベンチャーを立ち上げた、気鋭のプログラマーです。事件発覚直後から、ホワイトハッカーとして自ら進んで犯人の行方を追い続けてきました。
先月(1月)26日、サイバー空間で仮想通貨の交換会社コインチェックに、不正にアクセスした犯人。NEM(ネム)と呼ばれる仮想通貨580億円相当を流出させました。

河崎純真さん
「最初に、0時2分に犯人のアドレスに10NEMが送られてから、0時4分から0時10分までの間に、ほぼ全てのNEMが送られています。これで580億円相当のNEMです。ここまでは、わずか5分程度の犯行になっています。」

河崎さんは仲間と共に、流出したNEMをたどることができるプログラムをわずか2、3時間で書き上げました。
目をつけたのは、NEMの口座のアドレス。英数字の羅列で表され、銀行でいうところの口座番号に当たります。NEMはその特徴として、過去の全ての取り引き記録を、ネット上で誰でも見ることができます。名前などの個人情報までは特定できませんが、重要な手がかりとなります。
河崎さんはまず、事件発生時刻に巨額のNEMが移された、ある口座を確認。犯人のものと見られるこの口座は、NC4で始まるアドレスでした。河崎さんたちのプログラムは、このNC4を起点としたNEMの流れを全て追跡するというもの。

犯人が次々と別の口座にNEMを移していることが分かりました。河崎さんたちは、追跡プログラムをネットで公開。こうしたホワイトハッカーたちの動きにより、犯人を監視する包囲網が築かれました。

河崎純真さん
「このツールをアップグレードして、誰でも追跡調査できるようにする。ある種の全面戦争というか。」

これに対し、犯人は驚くべき行動に出ます。監視の目をくらますかのように、仮想通貨・NEMの分散を一気に加速させたのです。河崎さんたちの分析によると、2月1日の時点で22あった流出先の口座。1週間後には3,800に増え、今月(2月)20日ごろには1万7,000になっていました。こうなると、もはやどの口座が犯人のものか分かりません。NEMは、知らない相手にわずかな額でも一方的に送りつけることができます。つまり犯人は、追跡をかく乱するために、関係のない多くの人に送っている可能性があるのです。

ホワイトハッカー
「拡散はどんどん広がっていくので、追跡することによって犯人を特定することは、ただ追跡するだけでは難しくなっていく。」

しかし、ホワイトハッカー側も負けてはいません。今度は、NEMの動きに一定の傾向を見い出し、犯人の特定につなげようとする人が現れました。

グローバル企業のエンジニアで、ホワイトハッカーの清水勇介さんです。

清水勇介さん
「追跡された盗難を可視化しています。それを色んな人が使うことで、犯人に近づけるきっかけになればいいなと。」

清水さんが挑むのは、取り引きの詳細を「見える化」する新たな戦略。
清水さんが開発したプログラム。丸印は1つの口座を示し、そこから延びる線はNEMが別の口座に移されたことを示します。

今回、犯人の口座から移されたNEMの流れをたどってみると、ある所で爆発的な数の枝分かれが起きていました。これは何を意味しているのか。

NEMをほかの仮想通貨や現金と交換するには、スマホなどの端末を使って1対1で行う方法と、ネット上に設けられた交換所で不特定多数の人と行う方法があります。清水さんは、枝分かれの少ない所は端末どうしのやり取りと予想。一方、多数の枝分かれが起きている所は、交換所ではないかと推測。周りの口座は流出したNEMを交換所で買った人のものと分析しました。サイバー空間に数百か所存在する交換所。清水さんは、その中から犯人が最初に使った交換所を突き止めました。アメリカの企業が運営するポロニエックスです。その後もホワイトハッカーたちの力で、次々と海外の交換所を特定。流出したNEMは、少なくとも7か国に広がっていることが分かりました。

清水勇介さん
「取引所で交換しているってことがあると、個人とひもづくので、そこで(犯人の)足がつく可能性がある。」

しかし、犯人もしたたかでした。海外の交換所を使って、追跡を逃れる巧妙な手口が浮かび上がってきたのです。
日本の交換所であれば、法律で本人確認が義務づけられているため、警察の捜査で個人を特定できる可能性があります。ところが海外では、ほとんどの国で法整備が進んでおらず、本人確認を求められないケースが多いのです。犯人の狙いについて、追跡者の間でさまざまな臆測が飛び交いました。

“いよいよ直接的な換金方法を探りに来た感がある。”(ツイッターより)

“少額を送っているのは、換金できるかどうか様子を見てるのかな。”(ツイッターより)

流出したNEMを巡る犯人とホワイトハッカーの攻防。その行方は…。

ハッカーvsホワイトハッカー! 仮想通貨“580億円”を追え

ゲスト 楠正憲さん(ネットセキュリティ専門家)

鎌倉:今回の事件は、警察による捜査と並行して、ホワイトハッカーと呼ばれる世界中のプログラマーたちが、独自に犯人包囲網を築くという前代未聞の経過をたどってきました。事件発覚直後から、ホワイトハッカーの有志たちは追跡プログラムを作成。犯人が流出させたNEMをほかの仮想通貨などに交換する動きをけん制します。ところが犯人は、NEMをさまざまな口座に分散させ続けました。その結果、流出NEMを取り引きした口座は、1万7,000以上にまで膨れ上がり、追跡が困難になったんです。しかし、今度は別のホワイトハッカーが、取り引き見える化プログラムで対抗。犯人が追跡を逃れるためか、海外の交換所を使っていたことをつかんだんです。

仮想通貨の技術やセキュリティーの専門家の楠さん。
ホワイトハッカーと呼ばれる人たちは、いわばボランティアで追跡を続けているわけだが、この動機は?

楠さん:もともと仮想通貨の世界というのは、国や企業の力を借りなくてもお金を動かしたりということを技術で可能にしていくというものです。それは、いろんなボランティアが抱えているものなので、こういった事故が起こった時には、みんなでコミュニティーとして対抗していくというような文化があるというのが1つと、もう1つは、またとない腕試しのチャンスでも。
(腕試し?)
犯人もやっぱりプログラマーである程度能力を持っている人ですから、自分のほうが賢いぞというような知恵比べのチャンスでもあるので、そこで名を上げたいというようなプログラマーもいっぱいいるだろうというふうに思います。
(ある種、技術がこれによって向上していくこともあるかもしれない?)
やはり、こういった事件を教訓に、どんどん仮想通貨自体も安全策を立てていきますし、犯人側もそれを乗り越える新しい手口を考えていくというところかと思います。

一方の犯人像は?

楠さん:最初の数日の動きがあまりなかったんですよね。恐らくこういうのって、時間がたてばたつほど周りの対策が進むので、最初の数日って非常に換金する上では大きなチャンスだったと思うんですけれども、その時点では、非常に動きが小さかったので、単独犯なり、非常に少人数のグループだったんじゃないかというふうに考えました。しかしながら、2月の途中から一気に換金が進んでまして、そこは非常に組織的になってきているので、ひょっとして途中で流出したNEMの持ち主が変わっているのかなという印象は受けています。
(組織的な動きになった可能性もある?)
換金の途中で、かなり組織的な動き、たくさんの人がやらなければできないような動きに変わってきたということがいえると思います。

鎌倉:ホワイトハッカーと犯人。一進一退の攻防戦は、次のステージへ入っています。犯人が、ついにNEMを換金し始めたのかもしれないという動きが見つかったんです。

ハッカーvsホワイトハッカー! 仮想通貨“闇ウェブ”の攻防

正体を現さない犯人の新たな動きを察知したホワイトハッカーがいます。

「Cheenaさんですか?」

20代のCheena(チーナ)さん。子どものころから磨いてきたプログラムの技術を生かし、犯人の追跡に参加しています。
Cheenaさんが注目したのは、NEMのメッセージ機能。実は、NEMは送金する時に、一緒にメッセージを送ることができます。Cheenaさんは、犯人が時折、送金相手にメッセージを送っていることに気付いたのです。

Cheenaさん
「犯人自らが出す情報ってすごい貴重。手がかりの一つとなる。」

Cheenaさんは、犯人が送ったメッセージを一覧で表示するプログラムを開発し、分析を進めました。ほとんどのメッセージは暗号化され、内容を読むことはできませんでした。ところが…。

Cheenaさん
「これですね。」

暗号化されていないメッセージを見つけたのです。それは、34文字の英数字の羅列。調べてみると、DASHと呼ばれる別の仮想通貨の口座を示すものでした。
NEMなど多くの仮想通貨では、誰から誰に送金したのか、その記録を全て見ることができます。しかしDASHは、その送り先が分からないようになっていて、追跡できない特殊な仮想通貨なのです。Cheenaさんは、犯人が自らの足取りを隠すため、DASHへの交換を画策したのではないかと見ています。

Cheenaさん
「DASHによる資金洗浄をたくらんでいるんじゃないか。犯人もいろいろな換金方法を手探りで探しているような状態。」

事件発生から12日後の今月7日。ホワイトハッカーたちが最も恐れていた事態が起きました。
この日、Cheenaさんは犯人の新たなメッセージを見つけました。そこには、NEMを15%引きで売るという言葉と、あるウェブサイトへの案内が示されていました。

末尾にある「onion」という文字。そのサイトが、ダークウェブにあることを示すサインです。
ダークウェブは、もともとアメリカ軍が開発したとされ、高度に暗号化されていて、通常の方法では開けません。そのため近年は、武器や麻薬個人情報の売買といった違法な取り引きが頻繁に行われています。
今回、Cheenaさんの協力の下、特殊な方法で、犯人が示したダークウェブを開いてみました。現れたのは、犯人が作ったと思われる、闇の交換所。

NEMとほかの仮想通貨との交換を呼びかけていたのです。ネットの最深部、ダークウェブに逃げ込み、NEMを相場より安く売りさばこうとする犯人。NEMの交換は一気に進み、流出した額の4分の1に当たる150億円相当が、これまでに交換されたと見られています。

ハッカーvsホワイトハッカー! 消えた仮想通貨の行方は?

鎌倉:犯人が潜り込んだのは、サイバー空間の奥深くに存在する、ダークウェブ。通常の方法ではアクセスできないこの場所で、犯人がNEMを割安で交換すると呼びかけ、それに応じる人たちが現れたと見られています。こうして犯人からNEMを手に入れた人たちは、今度は通常のサイバー空間にある中国やイギリスの交換所を通じて、別の仮想通貨などに交換。この結果、流出した580億円相当のうち、4分の1に当たる150億円相当のNEMが、すでに交換されてしまったと見られているんです。これに対して、先週までに中国やイギリスの交換所が、流出したNEMの取り引きを停止。それに伴って、ダークウェブでの取り引き量も減ったと見られています。実は、NEMの普及を進めているNEM財団は、各国の交換所に対して取り引き停止を依頼していたんです。

仮想通貨“580億円”の行方 消えたNEM推進団体に問う

先週、NEM財団のナンバーツー、ジェフ・マクドナルド氏が来日。

NHKの単独インタビューに答えました。交換所への呼びかけは一定の成果があったものの、交換を止め切れてはいないと認めました。

NEM財団 ジェフ・マクドナルド副代表
「コインチェックがハッキングされたことは、とても残念に思っています。犯人が交換所で、すでにNEMの交換に成功したことは把握しています。犯人が使おうとした交換所の多くは、取引を凍結してくれましたが、全ての交換所の対応が間に合ったわけではありません。しかし現在は、犯人がNEMを動かすのは難しくなっています。私たちは犯人の勝利を阻止するため、全力を尽くしていますし、今もその戦いは続いているのです。」

ハッカーvsホワイトハッカー! 消えた仮想通貨の行方は?

「犯人が勝利しないよう、全力を尽くす」とNEM財団は言っているが、こうした対応をどう見る?

楠さん:流出したNEMを見分けるための印をつけるという対応も早かったですし、取引所に対しても早い段階で取り引き停止を呼びかけるという意味では、非常にこれまでの事件と比べて、迅速な対応だったというふうに感じています。

鎌倉:ここで最新情報なんですけれども、追跡を続けている人によりますと、今日(28日)1日で新たに1億6,000万円相当のNEMがカナダなどの交換所に持ち込まれたということです。

NEM財団が取り引きの停止を呼びかけているにも関わらず、流出したNEMが取り引きされ続けているのは、なぜ?

楠さん:やはり取引所も複雑なプログラムで動いていますから、要請を受けたからすぐに止めるということはできるわけではなくて、それはプログラムを書き換えて、テストをしてという時間が必要になってきますので、どうしても取引所によって対応のタイミングというのは、ばらつきが出てくるだろうというふうに思います。

一方で、ダークウェブで流出したNEMの交換に応じている人々がいるが、どういう人たちなのか?

楠さん:これはたぶん2パターンあると考えていまして、安い値段でNEMを仕入れて、まだ対応ができていない取引所で売りさばくことで1割ちょっとの利ざやを稼ごうとしている人たちが1つと、もう1つはやはりホワイトハッカーも、NEMがビットコインやライトコインに交換された動きというのを追跡していこうとすると、その交換所がどういう動きをするのかということを、きちっと分析をしなきゃいけないので、そのために送って、実際に戻ってくるNEMがどれぐらいのタイムラグがあるのかとか、そういったことを調べている可能性があるかと思います。

今後、犯人が捕まる可能性は?

楠さん:これまで、いろんな流出事件が交換業者を巡って起こっていますけれども、なかなか簡単には犯人逮捕に至っていないケースが多いということで、大きく分けて2つ。1つは、不正侵入の口からたどっていくという方法と、もう1つは、流出先から得られる情報、この2つだと思うんですけれども、前者に関しては、当然、足がつかないように海外の踏み台とかを介して侵入するケースが多いですし、国によっては、捜査機関の協力を得にくいということもありますので、かなり難航するんじゃないかというふうに感じています。
(後者の場合は?)
後者に関しては、大体犯人グループが複数である場合というのは、大金を手にすると、どっかで仲間割れする可能性とかも有り得ると思うので、そうすると、時間の中で犯人が分かる可能性っていうのはある程度はあるかもしれない。

鎌倉:この事件、今後、どう展開していくんでしょうか。警視庁は一昨日(26日)捜査本部を設置。捜査員およそ100人態勢で、コインチェックから提供を受けた通信記録の解析など、流出の全容解明を目指しています。また、コインチェックの顧客の一部が、預けたまま引き出せない状態になっている仮想通貨の返還や、取り引き停止に伴う損害を賠償するよう求める訴えを起こしています。

今後、ホワイトハッカーが取り得る手段は?

楠さん:過去の例でいいますと、ダークウェブ上のサイトであっても、結果的に運営者を見つけて、捕まえた例というのもありますので、そういった、誰が今のNEMの交換所を運営しているのかということを、追跡するというのは1つありえますし、あるいは、NEMからビットコイン、ライトコインになったあとのものに関しても、追跡をしていくことによって、犯人に近づいていくという方法も考えられるというふうに思います。

仮想通貨の取引所のセキュリティーはどう確保する?

楠さん:今、業界団体が今後、統合へ向けて議論をしているという話もありますけれども、やはり事件を受けて、仮想通貨の関係者だけではなくて、広くセキュリティーの専門家も議論に入った形で今、取引所のセキュリティーがどうあるべきかということを議論し始めたところですので、業界と連携して、できるだけ早く取引所としてどれだけの安全性を担保すべきかというところを決めていく時期が来ているというふうに思います。

サイバー空間を舞台に繰り広げられる犯人とホワイトハッカーの攻防。この前代未聞の追跡劇、仮想通貨の未来を占う上でも、世界が固唾をのんで注目しています。私たちも引き続き追いかけていきたいと思います。