北朝鮮のハッカー集団による仮想通貨の盗難が年々増加＆手口も悪化している

北朝鮮からのサイバー攻撃は増加の一途をたどっており、2021年は4億ドル(約460億円)規模の仮想通貨取引所や投資会社に対して少なくとも7回の攻撃が北朝鮮から行われたとのこと。北朝鮮が行ったハッキングによる被害額も40％増えたそうです。そんな北朝鮮のハッカー集団によって盗まれた仮想通貨を追跡調査した結果を、ブロックチェーンに関するデータや分析を提供する調査企業・Chainalysisが発表しています。

North Korean Hackers Have Prolific Year as Their Unlaundered Cryptocurrency Holdings Reach All-time High - Chainalysis
https://blog.chainalysis.com/reports/north-korean-hackers-have-prolific-year-as-their-total-unlaundered-cryptocurrency-holdings-reach-all-time-high/

以下のグラフは、北朝鮮によって盗まれた仮想通貨の内訳を示しています。ビットコイン(赤色)は全体の4分の1未満で、ビットコインの割合は年々減少しています。対照的に、イーサリアム(黄色)は年々増加しており、2021年に盗まれた仮想通貨の58％がイーサリアムでした。また、イーサリアムのトークン規格であるERC-20(緑)やビットコイン・イーサリアム以外の仮想通貨(青)が盗まれるケースも増えています。

このERC-20やその他の仮想通貨も盗むところが、北朝鮮のハッカー集団による手口の悪化を示しています。ERC-20やその他の仮想通貨は、分散型取引(DEX)を介してイーサリアムと交換されます。このイーサリアムは資金の流れを追跡されないように、複数の取引データを混ぜ合わせて匿名性を高める「ミキシング」が行われます。ミキシングしたイーサリアムはビットコインと交換され、このビットコインはさらにミキシングしてから新しいウォレットに送金されます。

つまり、さまざまな仮想通貨やトークンを盗んで一つにまとめることで、北朝鮮のハッキンググループは念入りに仮想通貨のロンダリングを行っているというわけです。

2021年8月19日、仮想通貨取引所であるLiquid.comは、許可されていないユーザーからLiquid.comの管理下にある仮想通貨ウォレットの一部にアクセスされ、ERC-20が大量のイーサリアムやビットコインと共に北朝鮮のハッカーグループの管理するアドレスに移動したと発表しました。このハッカーグループは盗み出したERCをイーサリアムと交換し、ミキシングを行い、ビットコインと交換し、再度ミキシング。結果として9135万ドル(約104億円)の仮想通貨がロンダリングされてアジアの仮想通貨取引所に預けられたそうです。

仮想通貨のロンダリングは攻撃者の特定を防ぐ目的があるため、北朝鮮と関係のある攻撃者が仮想通貨のミキリングを行う頻度は年々増加しているとのこと。以下の棒グラフはロンダリングで行われる作業の割合を示したもので、青緑色がミキシングを示しており、2019年以降を見ると急激にミキシングが多く行われるようになっていることがわかります。このことから、Chainalysisは「北朝鮮のハッカーグループは年を追うごとにより慎重なロンダリングを行うようになったことが示唆されています」と分析しています。

Chainalysisによれば、北朝鮮が盗んだ仮想通貨は合計で1億7000万ドル(約190億円)にも上るとのこと。北朝鮮のハッカーグループは複数ありますが、北朝鮮のハッカーが盗んだ全ての仮想通貨のおよそ3分の1にあたる5500万ドル(約63億円)分がそのうちのたった1つのグループに盗まれたそうです。

ただし、この5500万ドルは2016年に実行された攻撃によるもので、いまもロンダリングされないまま、特定のウォレットに入金されたままだとのこと。つまり、それから6年間もロンダリングされていない仮想通貨が北朝鮮で眠っていることになります。

Chainalysisは「これらのデータをあわせると、仮想通貨を利用した犯罪を大規模に支援する国家の姿が浮かび上がってきます。組織的で洗練された北朝鮮政府は、ラザルスグループやその他の犯罪シンジケートを通じ、2021年の仮想通貨業界にとって高度で永続的な脅威としての地位を確立しています。しかし、多くの仮想通貨は透明性を持ちます。ブロックチェーン分析ツールを使うことで、コンプライアンスチームや犯罪捜査官、ハッキング被害者は盗まれた資金の動きを追跡し、資産の凍結や差し押さえの機会を逃さず、悪質な行為者に犯罪の責任を取らせることができます」とコメントしました。