記事

仮想通貨ウォーズ ネットの闇に迫るホワイトハッカーたちの戦い

2018年7月23日

580億円もの仮想通貨NEMが、不正アクセスにより大手取引所「コインチェック」から流出した事件。半年近く経つ今も、犯人は捕まっていない。しかし、ホワイトハッカーと呼ばれるITのスペシャリストたちが、ネット上で犯人の追跡を続けている。新たな犯罪に立ち向かう、ホワイトハッカーたちの3か月に及ぶ攻防に密着した。

被害額580億円! 前代未聞の仮想通貨流出事件

仮想通貨は、ネット上で電子的にやりとりされる実体のないデジタル通貨。2009年に誕生したビットコインなど、今や世界に1,500種類以上存在する。時価総額は47兆円。取引量の5割以上を占める仮想通貨大国の日本で、その1つであるNEMを狙った史上最大の事件が起きた。

始まりは今年1月、仮想通貨を売買する交換会社、コインチェックに届いた1通の偽装メールだった。犯人の罠と知らずに社員が開き、パソコンがウィルスに感染。犯人は盗んだパスワードで客が預けていたNEMを奪った。その額は史上最高の580億円相当。被害者は26万人に上った。

前代未聞の事件に対し、警視庁は100人態勢で捜査を開始。NEMの開発に関わり、普及を進める「NEM財団」も、ネット上で監視を始めた。こうした公の動きとは別に、それぞれの思いを持ち、無償で犯人を追い始めたのが、ホワイトハッカーたちだ。

追跡チームのリーダー、河崎純真、26歳。10代で日本や海外でITベンチャーを立ち上げた気鋭のプログラマーだ。これまでも、個人や企業の依頼で盗まれた仮想通貨のありかを次々と特定してきた。

photo

国や金融機関がコントロールする従来の通貨とは異なり、特定の管理者がいない仮想通貨。通貨の発行も、不正の監視もプログラムを操る一人一人が主体となって支える新たな仕組みだ。その仮想通貨により、「より平等、かつ公正な世界が実現できるのではないか」と河崎は考えている。

しかし、バブルによる価値の高騰や相次ぐハッキングなどの犯罪で、仮想通貨の実態は自らの理想と離れつつある。そうしたなか起きた今回の事件。河崎は見過ごすことができなかったという。

「今は仮想通貨の信用が今回の事件で落ちてしまったのですけど、仮想通貨の技術自体には可能性がある。追跡のモチベーションとしては、仮想通貨を誤解されないようにするためというのが非常に強くあります。」(河崎さん)

事件が起きた直後から、河崎たちは奪われたNEMの追跡を始めていた。河崎がまず注目したのは仮想通貨のアドレス。「アドレス」とは仮想通貨を貯めておく財布のようなもの。店や個人に送金するときはスマホなどで、指定されたアドレスにデータを送る。仮想通貨は、個人情報は分からないが、アドレス間の送金記録が公開されカネの動きがすべて把握できる。

河崎は盗まれたNEMの記録をたどり、「NC4」から始まるアドレスが犯人のものだと特定。犯人は奪った仮想通貨をいつか現金に替えるはず。河崎はその瞬間が勝負だと考えていた。

河崎が信頼する相棒は小副川健。大手電機メーカーでAI開発に携わる凄腕プログラマーだ。小副川が開発したプログラム「ネムスネーク」で、世界中のNEMの送金記録から犯人のアドレスに結びつくものだけを追跡し続けた。

photo

そして事件の翌日、犯人のアドレスから10個の別のアドレスにNEMが移されていることがネムスネークの追跡で判明した。

犯人は、ダミーのアドレスを複数作って、追跡をかく乱しようとしているのではないか。長期戦になるとみた河崎はプログラムを公開し、世界中に協力を呼びかけた。すると、ネット上には追跡に加わる者が次々と現れ、ホワイトハッカーによる犯人の包囲網ができあがった。

「誰でも追跡調査できるようにする。ある種の全面戦争というか、大規模な動き、調査になってくるかなというイメージです。」(河崎さん)

ところが、NC4を突き止めた5日後、犯人は盗んだNEMを無数のアドレスに拡散し始めた。2月1日に22個、1週間後には3,800、3週間後には17,000と爆発的に増えていった。これほどの作業が1人で可能なのか。本命のアドレスはいったいどれなのか。拡散は広がり続け、追跡だけで犯人を特定することが難しくなっていった。

少額の交換所取り引き 犯人の狙いは?

2月、ホワイトハッカーによる追跡チームに、強力な助っ人が加わった。インド系グローバル企業のITコンサルタント、清水勇介だ。清水が開発したのは、NEMの動きを可視化するプログラム。丸印1つ1つがアドレス、そこから伸びる線は、NEMが別のアドレスに移されたことを意味する。盗まれたNEMの流れをたどっていくと、あるところで急激な枝分かれが起きていた。

ネット上で仮想通貨の売買ができる交換所は、コインチェックなど日本ではおよそ30社、世界には200以上が存在するとされる。清水は、急激な枝分かれが起きているところは交換所、周りはNEMを買った人だと推定。犯人が交換所で現金化を始めた証拠ではないかと考えた。

photo

交換所で仮想通貨を現金化する場合、原則として本人確認が必要になる。これが何かの手がかりになる可能性が高いと清水は考え、交換所とみられるアドレスを、他のホワイトハッカーたちとともに照合。その結果、アメリカやニュージーランドなど、少なくとも世界5か国、8つの交換所の特定に成功した。ところが、換金されたNEMは、いずれもわずか数千円だった。

海外の交換所では、少額の交換には本人確認の必要がないことが多い。ネット上を飛び交うさまざまな憶測。ホワイトハッカーたちは犯人の狙いをはかりかねていた。

Cheenaが追うネット世界の闇 「ダークウェブ」

追跡劇に、さらに1人の天才ハッカーが参戦した。Cheenaというハンドルネームの20歳の男性。ネットの闇を暴くことが生きがいで、世間を騒がせた海賊版「漫画サイト」の運営者も特定した。

photo

Cheenaが注目したのは、NEMのメッセージ機能。NEMは送金時に、一緒にメッセージを送ることができる。犯人がときおり送金相手にメッセージを送っていることに気づいたCheenaは、犯人からのメッセージを一覧で表示するプログラムを開発した。

暗号化されていない数少ない犯人からのメッセージにあったのは、「NEM15%オフ」の文字。犯人は盗んだNEMの安売りを持ちかけていたのだ。そして、Cheenaはそこに示されたウェブサイトのアドレスを見て驚いた。

アドレスの末尾に、そのサイトが「ダークウェブ」にあることを示す「onion(オニオン)」の文字があったからだ。通常の方法では見ることすらできないネット世界の闇の領域、ダークウェブ。複数のコンピューターを経由していて、発信源の特定はほぼ不可能。そのため、近年は、器や麻薬、個人情報の売買といった闇取引の温床となっている。

Cheenaがそのサイトを開いてみると、犯人は自ら交換所を立ち上げていたことが分かった。狙いは現金化ではなくビットコインなど別の仮想通貨への交換。交換が成立すれば、犯人が新たに手に入れる仮想通貨のアドレスはNEMとは別物で、それ以上追跡できなくなる。

ダークウェブで自ら立ち上げた交換所なら、本人確認もいらず、誰が交換に応じたかも分からない。そこで、一気に資金洗浄をはかろうとしたのだ。

「ダークウェブは、使用するユーザー側も、そのサイトの運営者側も匿名性がかなり高くなってしまうので、足取りを追うのは難しいんじゃないかと思います。」(Cheenaさん)

犯人が盗んだ580億円のNEMは、ダークウェブに交換所ができてから徐々に減り始めた。交換に応じる者が現れたのだ。だが、交換が進まない時期があるなど、犯人は資金洗浄に手こずっているようだった。

そこには、NEM財団の関わりがあった。財団は世界の交換所に取り引きに応じないよう呼びかけていた。ダークウェブで犯人からNEMを入手した人たちが、交換所で現金化できなければ、犯人との取り引きに応じる人が減り、資金洗浄も止まると考えたのだ。犯人の次の一手を、ホワイトハッカーたちは注視していた。

財団の追跡中止で犯人の資金洗浄が完了

犯人はいったい何者なのか。ネット上では北朝鮮説や内部犯行説など、さまざまな憶測が飛び交っていた。

追跡を始めて2か月。NEM財団が追跡をやめるという衝撃的なニュースが飛び込んできた。ネット上には失望の声があふれ、事態は大きく動いた。

世界の交換所は一斉に盗まれたNEMの受け入れを再開。ホワイトハッカーたちの目の前で、ダークウェブでの交換が一気に進んでいった。発表があった1日だけで、盗まれたNEMの5分の1、およそ100億円分が交換。その後わずか2日間で犯人による資金洗浄が完了してしまった。

photo

なぜ、NEM財団は追跡をやめたのか。財団は事件の幕引きをはかることで、仮想通貨の価値を守ろうとしたのではないか。ホワイトハッカーの清水は、そう分析した。実際、事件後にNEMの取り引き価格は3分の1に落ち込んでいたからだ。

「私の見立てでは、NEMの価値が下がってしまうことを恐れたのではないかと。“盗難NEM”の受け取りを拒否する人が増えると、(NEMの価値が)下がってしまう。」(清水さん)

580億円分のNEMの資金洗浄に成功した犯人。しかし河崎たちは、あきらめていなかった。ある日、河崎はある人物に会っていた。その人物は、マウントゴックス(事件)の犯人を特定したチームの1人、スウェーデン人のホワイトハッカー、キム・ニルソン氏だ。

マウントゴックス事件は、4年前、日本に拠点を置く当時世界最大だった交換所から500億円近いビットコインが失われた事件だ。ニルソン氏がまず指摘したのは、複雑な取引記録のどこかに資金が集められる場所があるということ。さらにハッカーは、自己顕示欲が強い者も多く、犯人の痕跡が見つかることもあるという。ニルソン氏は、ハンドルネームを手がかりに調査を続け、マウントゴックス事件から2年後にある掲示板に犯行グループの1人が実名を残していたのを見つけた。

「重要なのは、どんな犯人でも必ず間違いを犯すということです。それを見逃さず調査を続ければ道は開けます。」(ニルソンさん)

NEM盗難は組織的な犯罪か?

手に入れたNEMを、ビットコインと交換してきた犯人。応じた人には、自らのアドレスを伝え、そこにビットコインを送るよう指示していた。Cheenaは、交換に応じた人から犯人のアドレスを入手できれば、追跡を続けられると考えた。

ツイッターで、「誰が盗難NEMを買ったのか」とつぶやいたところ、1人の人物が犯人のビットコインのアドレスを渡すことに応じた。

この人物が犯人と交換したのはごく少額のビットコイン。「資金洗浄に加担するふりをして、実はホワイトハッカーの追跡に協力するために動いていた」という。

Cheenaは、手に入れた犯人のアドレスをたどってみた。しかし、ビットコインの全体の取り引き量はNEMの100倍と膨大だ。そこでCheenaは、ビットコインの解析を手がけるアメリカの会社に、犯人のアドレスをたどってほしいと依頼。その結果分かったのは、驚くべき事実だった。

Cheenaが手に入れたアドレスから資金の流れを追っていくと、1か月以上かけてあるアドレスに行き着いていた。そこには20億円ものビットコインが集約されていた。さらにその流入経路をさかのぼってみると、新たに3つ、巨額のビットコインが集まるアドレスが見つかった。しかもその額はまったく同じ20億円。

photo

分析チームは、高度な資金洗浄の技術を使った、組織的な犯罪だと指摘。巨額のカネを均等に山分けする犯行グループの姿が浮かび上がった。ようやく見つかった、犯人の痕跡。Cheenaはこの会社と協力し、さらに追跡を続けることにした。

そして4月末、新たな事実が飛び込んできた。Cheenaが協力を依頼したアメリカの企業が、山分けをしていた4つのアドレスに関わる送金記録を詳細に分析していくと、1つの場所にたどり着いた。

「ここに1,000ビットコイン(12億円)が集められています。このカネを隠すために高度な分散化が行われていたんです。」(ブロックシアー 最高技術責任者 ダニー・ヤンさん)

カネの出どころは、アメリカの大手交換会社。ここで巨額のカネが取り引きされたとすれば、何らかの個人情報が残されている可能性が高い。ついにたどり着いた犯人につながる手がかり。情報はすぐに捜査当局にも伝えられた。

犯人を追い続けるホワイトハッカーたち

史上最高額の仮想通貨が盗まれた事件から3か月。交換会社コインチェックは、顧客の損失を補償したのち、証券会社の傘下に入り事業を再開している。一方国際社会は、仮想通貨規制の強化に向け動き始めている。

そして、ホワイトハッカーたちも、犯人の追跡の手を緩めてはいない。

清水は大手交換会社に犯人との攻防から生まれたプログラムを提案。いつまた襲ってくるか分からない犯人に備え、準備を進めている。

追跡チームのリーダー、河崎はどこかに犯人が残した決定的な証拠はないか、検証を続けている。

「人間はミスを犯すものなので、どこかで引っかかって見つかる。それが半年なのか、1年後なのか。戦いはまだ続きます。」(河崎さん)

そしてネットの最深部に潜り込み、闇を暴き続けようとするCheenaは、NEMのメッセージ機能を使って直接、犯人との接触を試みていた。なぜ、コインチェックを狙ったのか。

photo

「一連の事件がパフォーマンス的な側面もあって、話を持ちかけたらそれに答えてくれそうな感じがした。」(Cheenaさん)

580億円もの仮想通貨を盗み出した犯人は、今、どこで、何をしているのか。ハッカーだけがアクセスできる闇の掲示板には、今も新たな書き込みが見つかっている。

「コインチェックに続く第2の標的は決まった。期待してくれ。」(掲示板より)

この記事は、2018年5月12日に放送した 「NHKスペシャル 仮想通貨ウォーズ ~盗まれた580億円を追え!~」 を基に制作しています。
この番組はで配信中です

あわせて読みたい

ハッカーvsハッカー! 仮想通貨・知られざる攻防

ハッカーvsハッカー! 仮想通貨・知られざる攻防

2018年2月28日
クローズアップ現代+

新着記事