なぜ北朝鮮のハッカーは暗号通貨を盗むのが上手いのか？

ドバイに拠点を置く仮想通貨取引所バイビットのオーナー、ベン・ゾウ氏は、2月21日は普通の日だったと振り返った。同氏は就寝前に、世界中の6000万人以上のユーザーにサービスを提供する際に行われる「典型的な操作」である、会社の口座間の資金移動を承認した。 30分後、彼は電話を受けた。 「ベン、問題がある」とCFOは声を震わせながら言った。 「ハッキングされたかもしれない…イーサリアムがすべて消えてしまった。」

独立捜査官とFBIはすぐに、おなじみの犯人である北朝鮮をその犯人として指摘した。隠者王国のハッカーは、暗号通貨業界にとって最大の脅威の一つとして浮上し、北朝鮮政権にとって重要な収入源となって、国際制裁をかわし、エリート層を統制し、ミサイルや核兵器計画に資金を提供するのに役立っている。

暗号通貨調査会社Chainalysisのデータによると、北朝鮮のハッカーは2023年に総額6億6100万ドルを盗んだ。 2024年には盗難額が倍増し、47件の盗難で総額13億4000万ドルが盗まれると予想されており、これは世界中で盗まれた暗号通貨の総額の60%以上に相当します。

ByBitの盗難は、ハッカーの高度化と野心の高まりを物語っている。1回の攻撃で、北朝鮮は取引所から15億ドル相当を盗み出したが、これは暗号通貨史上最大の盗難となった。

北朝鮮のサイバー部隊の起源

北朝鮮の攻撃は数十年にわたる取り組みの集大成だった。この国で最初のコンピュータサイエンスの学校は、少なくとも 1980 年代に遡ります。湾岸戦争は、政権が現代の戦争におけるサイバー技術の重要性を認識するのに役立った。 2016年に脱北した北朝鮮の上級外交官、テ・ヨンホ氏は、数学の才能がある生徒は特別学校に送られ、農村での毎年の強制労働を免除されていると語った。北朝鮮のサイバー部隊はもともとスパイ活動や破壊活動の手段として考えられていたが、2010年代半ばからサイバー犯罪に重点を置き始めた。金正恩氏はサイバー戦争を「万能の剣」と呼んだと言われている。

暗号攻撃とマネーロンダリング

暗号通貨の盗難には主に 2 つの段階があります。最初の段階は、ターゲット システムにハッキングすることです。これは、銀行の金庫室への地下通路を見つけるのと同じです。フィッシングメールには悪意のあるコードが挿入される可能性があります。北朝鮮の工作員はリクルーターを装い、偽の就職面接中にソフトウェア開発者を騙して感染したファイルを開かせた。もう 1 つの方法は、偽の身元を使用して外国企業のリモート IT 職に就くことです。これがアカウントにアクセスするための最初のステップとなる場合があります。 「彼らはソーシャルエンジニアリングを通じて脆弱性を見つけるのが非常に得意だ」とチェイナリシスのアンドリュー・フィアマン氏は語った。 ByBit事件では、ハッカーがデジタルウォレットソフトウェアプロバイダーで働く開発者のコ​​ンピューターに侵入した。

暗号通貨は盗まれたら、ロンダリングする必要があります。不正資金は複数のデジタルウォレットに分散され、クリーンな資金と混合され、異なる暗号通貨間で転送される。このプロセスは業界では「コインミキシング」や「チェーンホッピング」として知られている。 「彼らは、私たちがこれまで遭遇した中で最も洗練された仮想通貨ロンダリング業者だ」とブロックチェーン分析会社エリプティックのトム・ロビンソン氏は語った。最終的には、盗まれた資金を引き出す必要があります。

これを実現するのに役立つ地下組織の数は増加しており、その多くは組織犯罪と関連している。法執行機関による検問や検問により全体的な収入は減少しているが、現在はブロックチェーン情報会社TRMラボに勤務する元FBIアナリストのニック・カールセン氏は、北朝鮮は盗んだ資金の「確実に80％、おそらく90％」を受け取ることができると予想していると述べた。

北朝鮮が暗号通貨を盗むのが上手い理由

北朝鮮にはいくつかの利点がある。一つは才能です。これは直感に反するように思えるかもしれない。この国は極めて貧しく、一般の人々はインターネットどころかコンピューターさえ利用できないのだ。しかし、 「北朝鮮は最も優秀な人材を選び、彼らに何をすべきかを指示することができる」とソウルの高麗大学のキム・スンジュ氏は言う。 「彼らはサムスンで働くことになるのではないかと心配する必要はない。」 2019年の国際大学生プログラミングコンテストでは、北朝鮮の大学のチームがケンブリッジ大学、ハーバード大学、オックスフォード大学、スタンフォード大学のチームを破り、8位を獲得した。

これらの才能も活用されました。北朝鮮のハッカーは24時間体制で活動している。彼らの攻撃は異常に大胆だった。ジョージア工科大学のジェニー・ジュン氏は、ほとんどの国家関係者は外交的反発を避けようとし、「オーシャンズ11のように行動する。つまり、白い手袋をはめて、静かに侵入し、王冠の宝石を盗み、静かに立ち去るのだ」と語った。北朝鮮は「秘密を重視しない。彼らは大きな声を出すことを恐れない」。

北朝鮮は盗んだ暗号通貨で何をしているのか

北朝鮮政権にとって、国際制裁と新型コロナウイルスのパンデミックにより、すでに限られていた貿易がさらに制限される中、盗まれた暗号通貨は生命線となっている。暗号通貨の盗難は、海外での労働や違法薬物などの従来の外貨獲得手段よりも効率的な外貨獲得方法です。監視機関である国連専門家パネル（UNPE）は2023年に、サイバー窃盗が北朝鮮の外貨収入の半分を占めていると報告した。北朝鮮による昨年のデジタル窃盗の価値は、中国への輸出額の3倍以上だった。 「数百万人の労働力が達成した成果は、わずか数十人でも再現できる」とカー​​ルソン氏は語った。

これらの資金は北朝鮮政権を支えるのに役立つ。外貨は、エリート層を抑制するために贅沢品を購入するために使用されます。武器の製造にも使われます。北朝鮮の盗まれた暗号通貨の多くは、ミサイルや核兵器計画に流入したと考えられている。

今後、北朝鮮によるハッキング攻撃は増えるでしょうか？

暗号通貨の捜査官たちは、ブロックチェーン上で盗まれた資金を追跡する能力を高めている。主要な暗号通貨取引所やステーブルコイン発行者は、盗まれた資金を凍結するために法執行機関と協力することがよくあります。 2023年、米国、日本、韓国は北朝鮮のサイバー犯罪に対抗するための共同作戦を発表した。米国は北朝鮮が利用している複数の暗号通貨ミキシングサービスプロバイダーを制裁した。

しかし、当局はまだ一歩遅れをとっている。米国が北朝鮮のお気に入りのコインミキサーを制裁した後、ハッカーたちは同様のサービスを提供する他の企業に目を向けた。この問題を解決するには政府と民間部門の多国間努力が必要ですが、この協力は崩壊しつつあります。ロシアは昨年、国連で拒否権を行使し、国連サイバーセキュリティ能力委員会を廃止した。ドナルド・トランプ大統領による米国の開発援助削減の動きは、脆弱な国のサイバーセキュリティ能力の構築を目指すプログラムに打撃を与えた。

対照的に、北朝鮮はサイバー犯罪にますます多くの資源を投入している。韓国の情報機関は、北朝鮮のサイバー犯罪勢力が2022年の6,800人から昨年は8,400人に増加したと推定している。インドのシンクタンク、オブザーバー・リサーチ財団のアビシェク・シャルマ氏は、規制が緩い国々で仮想通貨産業が拡大するにつれ、北朝鮮はますます「標的にしやすい環境」を整えていると述べた。シャルマ氏は、昨年、北朝鮮がインドとインドネシアの取引所を攻撃したと指摘した。

北朝鮮がすでにAIを作戦に活用していることはよく知られている。 AI ツールは、フィッシング メールをより説得力のあるものにし、複数の言語で大規模に作成することを容易にします。また、リモートの IT ワーカーが企業に侵入しやすくなる可能性もあります。バイビットの周氏のような悪い日は今後もっと頻繁に起こるようになるだろう。