2018年末、北朝鮮は強盗を実行した。秘密国家の名の下にハッカーたちが侵入し、2億5000万ドル(1億9500万ポンド)以上の仮想通貨を盗み出した。窃盗がどこで行われたのかは謎に包まれているが、ハッカーたちが資金を北朝鮮国内に持ち込むために用いた精巧な計画が、今や明らかになり始めている。
この強盗事件の中心人物は、中国国籍の田銀銀(ティエン・インイン)と李家東(リー・ジアドン)の2人だった。FBI、国土安全保障省、内国歳入庁(IRS)による捜査の後、2人は米国政府から、この犯罪行為への関与の疑いで起訴された。2人が法廷に引き渡される可能性は低いだろう。引き渡しを受けることも、引き渡しを認めている国に自由に渡航することも、米国を訪問することもできないからだ。しかし、今回の起訴は、法執行機関や情報機関が敵対国家のオンライン行動を公に非難する取り組みの新たな事例となる。
2人は、数百の口座間で1億ドル以上の仮想通貨を流通させる精巧なマネーロンダリング計画を実行したとして告発されており、その過程で混乱の痕跡を残した。この計画では、北朝鮮のインフラを利用して8,823枚のApple iTunesギフトカードを1,448,694ドルで購入し、偽の身元を作成し、高度な取引ネットワークを構築した。
米国政府は、2人をマネーロンダリングの共謀と無認可の送金事業の運営の罪で起訴した。また、2億5000万ドルのハッキングがどのように行われたかについての詳細(PDF)も公表した。この暗号資産取引所へのハッキングは、北朝鮮の関与が疑われている4件のハッキングのうちの1つであり、最近では国連もハッキングの容疑を指摘している。そのうちの1社であるYoubitは、ハッキング後に破産申請を行った。
すべてはマルウェアから始まりました。2018年半ば、ハッキングされた仮想通貨取引所の従業員が、潜在顧客にメールを送信していました。このやり取りの中で、取引所のインフラに侵入するマルウェアがダウンロードされ、取引所へのリモートアクセスと、仮想通貨ウォレットを管理する秘密鍵へのアクセスが可能になりました。その結果、約2億5000万ドルが流出する大混乱が起こりました。米国の裁判所文書によると、流出したビットコイン(BTC)は10,777.94枚(推定9400万ドル)、イーサリアム(ETH)は218,790枚(1億3100万ドル相当)、そしてその他5つの仮想通貨(ドージコイン、リップル、ライトコイン、イーサリアムクラシック)がそれぞれ異なる金額で流出しました。
一方、北朝鮮では、共謀者がハッキングされた暗号資産取引所に関する情報を探していた。裁判所の文書によると、彼らは「ハッキング」「Gmailハッカー拡張機能」「フィッシングキャンペーンの実施方法」、そしておそらく決定的な「大量のETHをBTCに交換する方法」について調査していた。文書には、暗号資産取引所のハッキングに関与したとみられる「北朝鮮の共謀者」が、米朝軍と金正恩の関係についても調査していたと記されている。
暗号資産の移動は比較的匿名性が高いものの(法執行機関は個人の特定を目的として行動パターンを分析する第三者機関を利用している)、1万ビットコイン、あるいは数十万単位の暗号資産を移動させると記録が残ります。重要なのは、ブロックチェーンがすべてを記憶することです。米国は、北朝鮮の共謀者たちが活動を隠すためにピールチェーンを利用したと主張しています。
この手法は理論上は単純だが、実際には複雑だ。多額の仮想通貨を保有する一つの口座から、少額の仮想通貨を別の口座に送金する。このプロセスは、仮想通貨が数百もの口座を経由して移動し、追跡が困難になるまで繰り返される。「BTCの追跡を難読化し、監視を弱めるため、北朝鮮の共謀者たちは、4つの異なる取引所への「ピールチェーン」と呼ばれる新しいBTCアドレスを使った数百件の自動取引を実行した」と米国政府は述べている。
北朝鮮の共謀者たちは、活動を隠蔽するもう一つの手段として、盗んだ仮想通貨を新たな会社設立に充てたとされている。彼らは、ダウンロード可能な仮想通貨取引ソフトウェアを提供するCelas LLCというドメインと会社に、12ヶ月分のビジネスメールサービスを購入した。しかし、2018年にサイバーセキュリティ企業がファイルを検査したところ、別の事実が判明した。そこには個人情報を吸い上げるマルウェアが含まれていたのだ。彼らは、人々にソフトウェアをダウンロードさせようと、数千通ものフィッシングメールを送信した。
「フィッシング攻撃を支援するため、北朝鮮の共謀者たちは様々なメールプラグインを利用した」と起訴状は述べている。これらのプラグインには、IPアドレスやブラウザの詳細を含む開封確認メッセージを確認するツール、プロフェッショナルな署名を作成できるツール、そして文章を「完璧な英語」に仕上げると謳う編集ツールなどが含まれていた。
Celas LLCの信憑性を高めるため、製品開発に携わっているとされるスタッフの偽のInstagram、Twitter、LinkedIn、Facebookアカウントが作成されました。架空の従業員の一人であるワリー・ダーウィッシュ氏は、ロッテルダム大学の学位を取得しているとさえ記載されていました。
北朝鮮と関係のある人物が偽の仮想通貨企業を設立するのは今回が初めてではない。昨年、我々は同国と関連のあるスタートアップ企業、Marin Chainの詳細を報じた。同社は海運業界に関連のある代替仮想通貨を提供すると主張していた。当時、安全保障関係者は、同国のエリートハッカー集団APT38が10億ドル以上を窃取し、国の財政を支援したと報じていた。北朝鮮は核兵器開発を継続しているため、厳しい経済・貿易制裁を受けている。「安全保障アナリストは一致して、APT38が窃取した資金(北朝鮮のGDPのかなりの割合に相当)が、北朝鮮のミサイルおよび核開発計画に流用されていると評価している」と、当時ある情報筋は述べている。
しかし、暗号資産取引所をめぐるハッキングとマネーロンダリングにおいてミスが発生し、最終的に事件の解明につながりました。「VPNサービスを利用してアドレスを隠していたにもかかわらず、法執行機関はログインを北朝鮮国内のIPアドレスまで遡ることができた」と当局者は述べています。
暗号通貨は驚くべき技術的進歩を体現しています。ビットコインが世界の金融システムの真の代替、あるいは補助となるには、まだ道のりは長いでしょう。
盗まれた10,777ビットコインのうち、10,500ビットコイン以上が4つの仮想通貨取引所に預け入れられました。北朝鮮と関係のある人物は、仮想通貨取引所の登録手続きにおける身元確認を回避しようとしました。法的文書に掲載されていた写真を見ると、確認画像が巧妙にフォトショップで加工されていたことがわかります。白いTシャツを着た同じ人物(上)に、取引所に提出される前に別の顔がフォトショップで加工されていました。
ティアン氏とリー氏は、マネーロンダリングへの関与を隠蔽するため、偽名を使用していた。米国政府は、両名とも「政府発行の身分証明書番号と中国の電話番号」を持つ中国国籍であるとしている。
使用されたユーザー名のうち2つは「snowsjohn」と「khaleesi」でした。2018年7月から2019年4月の間に、彼らは1億081万2842.54ドルの仮想通貨取引を処理し、これは仮想通貨取引所における2億5000万ドルの強奪事件に繋がっていました。米国政府は起訴状の中で、「ティエン・インインとリー・ジアドンは、こうした仮想通貨を法定通貨に換金し、手数料を徴収して顧客に送金していた」と述べています。2人は盗んだ仮想通貨を従来の法定通貨に換金し、資金移動を隠蔽する手段としてiTunesギフトカードも購入していました。2人が作成した仮想通貨アカウントが現実世界の銀行にリンクされていたことで、2人の身元が明らかになりました。また、2人は互いに仮想通貨を送金していました。
「北朝鮮の関与者を狙った仮想通貨取引所へのハッキングとそれに関連するマネーロンダリングは、国際金融システムの安全と健全性に対する重大な脅威だ」と、ティモシー・シア米連邦検事は起訴状提出時に述べた。「今回の起訴は、法執行機関がパートナーシップと協力を通じて国内外で違法行為を摘発し、違法行為の責任者を訴追し、たとえ仮想通貨の形であっても違法資金を押収することを改めて認識させるものだ」
この記事はもともとWIRED UKに掲載されたものです。
WIREDのその他の素晴らしい記事
- UFO目撃がアメリカ人の執着となった経緯
- 藻類キャビアはいかが?火星への旅で何を食べる?
- 気が狂わずに在宅勤務する方法
- 主よ、スタートアップ生活から私たちを救ってください
- オンラインアカウントを安全に共有する方法
- 👁 本格的なチャレンジに挑戦してみませんか?AIにD&Dの遊び方を教えましょう。さらに、最新のAIニュースもお届けします
- 🏃🏽♀️ 健康になるための最高のツールをお探しですか?ギアチームが選んだ最高のフィットネストラッカー、ランニングギア(シューズとソックスを含む)、最高のヘッドフォンをご覧ください
