消えた“865億円”を追え！～北朝鮮・闇の資金源～

桑子 真帆キャスター：

北朝鮮の大きな資金源と見られる「暗号資産」。ハッカー集団によって奪われたとされる被害額を見てみますと、2018年以降急増。2022年には、1年間だけでおよそ2,300億円に上っています。

近年の主な被害を見ますと日本もターゲットになっていますが、中でも最大規模の被害となったのが、2022年3月、ベトナムの会社から865億円相当の暗号資産が奪われたケースです。これは、北朝鮮が2022年上半期に発射したミサイル（33発）にかかった費用をほぼまかなえる金額です。

865億円は誰がどのように奪い去ったのか。半年にわたる追跡の記録です。

川崎市の会社員、東條利弘さんです。ハッキングの被害を受けたオンラインゲームを2年前から利用していました。

世界で280万人のユーザーがいたという、このゲーム。稼いだポイントを暗号資産に交換でき、東條さんはこれまで60万円をつぎ込んできました。

しかし2022年3月、ゲーム会社が北朝鮮のハッカーに865億円相当の暗号資産を盗まれたのです。

史上最大規模の暗号資産を奪われた事件。今回3か月に渡る交渉の末、ゲーム会社の最高幹部が取材に応じました。

どのように巨額の暗号資産は奪われたのか。きっかけは、ある従業員にSNSで送られてきたメッセージでした。

採用担当者を名乗る人物から、ヘッドハンティングのオファーが届いたのです。従業員は、その人物と電話でもやりとりを重ね、高額の報酬を提示されます。そして、採用に関するあるファイルを受け取りました。

実は、ここにウイルスが仕込まれていたのです。ファイルを開いたことでウイルスに感染。社内のネットワークに侵入されました。送金に関わる5つのシステムが乗っ取られます。そして、865億円もの暗号資産を奪われたのです。

アメリカのFBIは、北朝鮮当局の下部組織であるハッカー集団による犯行だと発表。ターゲットを定めてSNSを使って接近する手口や、ウイルスの特徴が過去の北朝鮮によるものと一致したと見られています。

FBIと共に、この事件を捜査する当局が日本メディアの取材に初めて応じました。

ノルウェーの捜査機関「オコクリム」。サイバー攻撃や資金洗浄などの犯罪に特化した専門家チームです。1年にわたる捜査から、北朝鮮のハッカー集団の詳細な手口が見えてきました。

ハッカーは奪い取った暗号資産を数千に及ぶ口座に分配。そしてさまざまな種類の暗号資産に変え、追跡を阻もうとしているといいます。

さらに今、ハッカー集団が悪用しているのが「ミキサー」と呼ばれる技術です。

暗号資産には、それぞれ取引履歴が記録されています。ミキサーに複数の暗号資産を入れると取引履歴が混ざり、別の暗号資産の記録に付け変わって戻ってきます。ハッカーはこれを繰り返し、資金の流れをたどれないようにしているといいます。

なぜ、北朝鮮のハッカー集団はここまで高度な技術を持っているのか。

韓国の警察庁傘下の研究所で長年北朝鮮のサイバー攻撃を調査してきたユ・ドンヨル氏は、ハッカー集団はキム・ジョンウン総書記直属のある組織に所属しているといいます。

偵察総局でサイバー攻撃を担うのは、北朝鮮でもトップクラスの人材だといいます。

さらに、育成されたハッカーは世界各地に拠点を作っているといいます。

「偵察総局のメンバーが中東で活動していた」。そう証言する人物に話を聞くことができました。中東・クウェートで北朝鮮の代理大使を務め、2019年に脱北したリュ・ヒョヌ氏です。

クウェートでは、彼らが住んでいた場所に何度も訪れたといいます。

リュ氏が当時訪れたという場所は今もあるのか。私たちは現地で取材を行いました。リュ氏にはオンラインで案内を依頼しました。

たどり着いたのは、外国人労働者たちが集まる地域。ハッカーたちは建設労働者を装い、入国していたといいます。

リュ氏の言う2階の部屋を訪ねました。建物の管理者に話を聞いてみると。

建物の別の部屋を見せてもらうと、狭い廊下、そして小さな部屋。リュ氏の証言と似た特徴がありました。ここにいたという複数の北朝鮮の人物はハッカーだったのか。それ以上の痕跡をたどることはできませんでした。

正体不明のハッカー集団。2023年4月、彼らと深い関係にあると疑われる人物がFBIに指名手配されました。

北朝鮮籍のシム・ヒョンソプ被告。6年前に盗み出された105億円相当の暗号資産について現金化を指示していたと見られています。

起訴状に記された手口です。

シム被告は、中国籍の男ら2人に暗号資産の一部をドルに交換するよう指示。その現金で通信機器などを購入させます。これは北朝鮮政府の求めに応じたものとされています。

中東のドバイで、北朝鮮の銀行の代表だったというシム被告。リュ・ヒョヌ氏は、2017年から2年間頻繁に連絡を取り合っていたといいます。

国連による制裁で北朝鮮からの送金ができない中、シム被告は重要な役割を果たしていたといいます。

アメリカ国務省はシム被告におよそ7億円の懸賞金をかけ、その行方を追っています。

865億円が奪われた事件を捜査する、ノルウェーのオコクリム。2023年2月、新たな動きがありました。盗まれた暗号資産の一部を取り返したのです。ミキサーによって置き換えられた記録を復元できたことが鍵になったといいます。

取り返したのは8億円相当の暗号資産。盗まれた総額の1%にとどまっています。

＜スタジオトーク＞

桑子 真帆キャスター：
きょうのゲストは、北朝鮮の制裁違反を調査してこられた古川勝久さん。科学文化部の福田陽平記者です。

まず古川さんに伺いします。北朝鮮のハッカー攻撃の全体像はどこまでつかめているのでしょうか。

古川さん：
北朝鮮にとって、これは新しい成長産業、それぐらいの規模であるといっても過言ではないと思います。
今、865億円奪取の事件の紹介がありました。この金額は、前年の北朝鮮の最大の貿易国である中国に対する輸出総額を上回る、それぐらいの規模です。
ですから、いわゆる北朝鮮版のデジタルトランスフォーメーション、サイバー攻撃がものすごい規模になっているということだと思います。

桑子：
これまでの北朝鮮の外貨稼ぎといいますと他のものだったわけですよね。偽札を作ったりとか、そこから変わってきているということですか。

古川さん：
そうですね。2017年までは北朝鮮は海外に労働者を派遣し、あるいはさまざまな輸出を行い、鉄鉱石であるとかミサイル、武器、さまざまなものを輸出してきました。
ですが、これらを安保理がすべて制裁し、禁輸品目に指名して輸出できなくなると、新しい外貨稼ぎの手段としてデジタル空間におけるサイバー攻撃、これによる外貨獲得に主軸を移したということです。

桑子：
今回ノルウェー当局が暗号資産の一部を取り返しましたが、その割合は盗まれた総額の1%にとどまるということで、何が捜査の壁になっているのか。福田さん、どうでしょうか。

福田陽平記者（科学文化部）：
そもそもサイバー空間での犯罪は国境がありません。そのため、どの国が捜査すべきか明確ではありません。
今回、ノルウェー当局は自分で国内の被害者を捜しだし、捜査の管轄権というのを得ています。こうした積極的な姿勢が大切です。
VTRに「ミキサー」というものもありましたが、北朝鮮は最新のテクノロジーを取り入れて捜査を回避しようとしています。追跡は容易ではない。追いつくのが精いっぱいという状況です。

桑子：
では、どう防いでいけばいいのか。北朝鮮のハッカーの手口を振り返りたいと思います。

北朝鮮のハッカーが接触してくる時はSNSを使うことが多いとされています。

こちらは実際に使われたと見られるSNSのプロフィールですが、大手自動車メーカーに勤務していて、ハーバード大学卒だということをうたっています。

もしくは、アメリカの大手航空宇宙企業の人事担当だということで、
どういうメッセージなのかというと「あなたのようなエリートを歓迎します わが社で働いてほしい」というラブコールを送っているわけです。

福田さん、こうした手法から読み取れることはどういうことでしょうか。

福田：
「ソーシャルエンジニアリング」と呼ばれるサイバー攻撃の手法です。

相手の心をくすぐるようなアプローチで信じ込ませ、最終的にはウイルス感染などサイバー攻撃の入り口とするようなテクニックです。
実は北朝鮮が最も得意とするものですね。相手の文化とか行動様式を熟知している必要があります。ですから、北朝鮮のハッカーはかなり研究してきていると見られます。

桑子：
古川さん、ご自身も攻撃にあったということで、どういうものだったのでしょうか。

古川さん：
2023年、北朝鮮関係者に対する執ようなサイバー攻撃キャンペーンが続いています。私の場合は調査の関係で北朝鮮のある関係会社のサイトを見ていたのですが、その時、ブラウザを乗っ取るというような攻撃を受けました。

桑子：
そのサイトにアクセスするだけで、乗っ取られてしまったと。

古川さん：
そうですね。コンピューター画面がロックされるというやつです。そこからいろんな防御策を通じても、私のアカウントに入ろうとしたり、あるいは私の銀行口座に入ろうとしたり、執ようにキャンペーンが続くんです。幸いにして2段階認証というステップを入れておいたので、なんとか防いだという状況です。

桑子：
こういった攻撃は、古川さんのような研究者だったり専門家の方が受けるものなのか、私たち一般の人々も危険だと思ったほうがいいのでしょうか。

古川さん：
まず専門家に対してはその国の政策、例えば北朝鮮政策、あるいはその関係者の情報を得る、そういう形でわれわれに対する攻撃が来ます。
加えて、北朝鮮は国家で推進している産業分野、再生エネルギーであるとか防衛関係の会社に対する攻撃も確認されていますし、さらに一般の方々に対してもランサムウエア攻撃、いわば無差別攻撃ですね。このランサムウエアによるお金の強要、こういうものを行ってますので、今のうちから一般の方々も適切な防御策を講じる重要な段階に来ています。

桑子：
サイバー対策をしっかりしないといけないということで、巧妙な手口で攻撃を仕掛けてくる北朝鮮のハッカー集団をどう食い止めればいいのか。安全保障の専門家は国際社会が足並みをそろえる必要があると指摘します。

桑子：
協調するということですが、拉致問題の解決が大きなテーマである日本ができることはどういうことでしょうか。

古川さん：
外交分野においては朝鮮半島が今、緊張が高まっています。いわば米韓と北朝鮮ですね。いわゆる通訳としての日本の役割というのは十分あると思います。
加えて、圧力に関してもまさにG7の議長国である日本が、例えばG7に組織を作り、そこが制裁違反事件、サイバー事件を捜査し、関係者に対する制裁を共同で行う。そういう組織を設立する試みを主導することはできるのではないでしょうか。

桑子：
ありがとうございます。北朝鮮の闇の資金源を断ち切ることはできるのか。姿の見えない相手との攻防は今も続いています。

盗み出された暗号資産の一部を取り返した、ノルウェーの捜査当局。今、外国の捜査機関と連携し、残りの暗号資産を押収しようと24時間態勢で追跡しています。

巨額の暗号資産が盗まれたベトナムのゲーム会社は、社員へのセキュリティー教育を徹底しています。