約1000億円を銀行から盗み出した北朝鮮ハッカー集団の手口とは？

2016年、バングラデシュの中央銀行であるバングラデシュ銀行から何者かによって総額9億5100万ドル(約1141億円)が不正に送金されるという事件が起こりました。後の調査で、この事件の裏には北朝鮮のハッカー集団が存在すると推測されています。当時バングラデシュ銀行では何が起こったのか、どのようにハッカー集団が大規模な強盗を実現させたのかという詳細が明らかになっています。

When North Korean hackers almost pulled off a billion-dollar heist from Bangladesh Bank | The Daily Star
https://www.thedailystar.net/toggle/news/when-north-korean-hackers-almost-pulled-billion-dollar-heist-bangladesh-bank-2115317

How North Korea came within a million dollars of a billion dollar hack - Security News
https://www.bollyinside.com/news/how-north-korea-came-within-a-million-dollars-of-a-billion-dollar-hack

2016年2月5日(金)の20時30分ごろ、バングラデシュ銀行の10階でプリンターが故障しました。スタッフはすぐにプリンターの故障に気づきましたが、プリンターの故障自体は珍しいことではないため、あまり問題視していなかったとのこと。しかし、後々になって、この故障が約1000億円の強盗計画の最初のサインだったことが判明します。

ラザルスグループとして知られるハッカー集団は、攻撃が行われる1年前である2015年からすでにバングラデシュ銀行のコンピューターシステムに侵入していました。ラザルスグループは「Rasel Ahlam」という架空の人物を作り出して、銀行の求人に応募しており、銀行スタッフが受信メールからドキュメントをダウンロードした時にシステムがウイルスに感染したとみられています。これが2015年1月の出来事です。

そして続く5月にラザルスグループは、フィリピン最大手の銀行RCBCの「ジュピターストリート」支店に4つの口座を開設しました。口座が開設されるにあたって使われた運転免許証は偽物であり、開設者は全員同じ役職・給料であるにもかかわらず社名は別々であるなど、不自然な点はいくつもありましたが、これらが問題視されることはありませんでした。そして最初に500ドル(約5万5000円)を預金した状態で、4つの口座は保留され続けたとのこと。

ハッカーたちがシステムをハッキングしてから1年もの間、身を潜めていたことには理由があります。バングラデシュ銀行では口座から行われた全ての送金を紙に印刷するというバックアップ方法が取られており、それが10階のプリンターで行われていました。このため、プリンターで印刷が行われた瞬間に、ハッキングの事実が明らかになる可能性があるとして、プリンターを制御するソフトウェアへのハッキングが完了するまでの1年間、ハッカーたちは身を潜めていたのです。

そしてプリンターの制御が終わった2016年2月4日(木)20時頃、ハッカーたちは行動を開始。バングラデシュ銀行にある、ニューヨーク連邦準備銀行の口座ほぼ全てに相当する総額9億5100万ドルが、マニラのRCBC銀行口座に送金されました。バングラデシュでは翌日5日(金)から7日(日)までが祝日であり、マニラでは2月8日(月)は旧正月の祝日でした。このため、送金が行われた時、ニューヨークでは4日(木)の朝でしたが、事態が発覚したのは9日(火)となりました。ニューヨーク、バングラデシュ、マニラの時差を利用することで、ハッカーたちは実質5日間の空白期間を生み出すことに成功したわけです。

バングラデシュ銀行のプリンターが再起動され、送金記録が印刷された時、ニューヨーク連邦準備銀行の口座に預けられていたお金のほぼ全額が送金されたことが発覚します。しかし、バングラデシュ銀行は何が起こったのかがわからず、当初は送金されたお金は取り戻せるものだと考え、事態を公開しませんでした。しかし、サイバーセキュリティの専門家であるRakesh Asthana氏に意見を求めたところ、送金の際に銀行システム「Swift」へのアクセスが行われており、送信を取り消せないことが判明。ハッカーはSwiftをハッキングするのではなく、正規の銀行員を模倣してアクセスを行っていたとのこと。すでにフィリピンにはいくらかのお金が到着しており、取り戻すためには裁判所命令が必要だったことからバングラデシュ銀行は2月下旬に訴訟を起こしました。これにより事態が公になります。

事態を把握したニューヨーク連邦準備銀行は、銀行システムがマニラにあるRCBC銀行支店の「ジュピター」という単語に対しアラートを鳴らすよう設定。アラートが発生した全ての取引の支払いが見直されることになり、多くの送金が停止されました。しかし、いくつかの取引は通過することになります。

一方、少し時間を遡って2月5日には、RCBC銀行に開設された4つの口座が突然動き出しました。お金は口座間の送金を経て、外貨両替会社に送金され、現地通貨に交換され、銀行に再入金されました。そしてハッカーたちは一部を現金として引き出し、フィリピンにある「ソレア リゾート アンド カジノ」というカジノ施設でマネーロンダリングを開始。カジノでは現金がカジノチップに交換され、ギャンブルを経て、再び現金に交換されるため、追跡を断ち切ることができます。後に、ソレアとは別の「ミダス」というカジノの口座でニューヨーク連邦準備銀行のアラートをすり抜けた5000万ドル(約60億円)が発見され、3100万ドル(約37億2000万円)はカジノからプライベートジェットで発ったXu Weikangという人物に渡ったことが発覚しています。

バングラデシュ銀行の追跡により、盗まれた9億5100万ドルのうち多くを取り戻すことができましたが、約6500万ドル(約78億円)のゆくえはまだ分かっていないとのこと。

なお、上記の事件を起こしたハッキンググループは、世界中でコンピューターにマルウェアを感染させ身代金を要求したランサムウェア「WannaCry」事件と、ソニー・ピクチャーズの全システムをダウンさせたハッキング事件と同一犯だとみられています。