暗号資産(仮想通貨)関連のハッキング事件の多くは、北朝鮮のハッカー集団「ラザルス・グループ」が関与しているといわれています。2023年5月に発刊された日経新聞では、2017年から2022年までの間に、日本から7.21億ドル(約1,067億円)がハッキングにより不正に取得されたことを発表しています。
本記事では、ラザルス・グループの概要やハッキングの手口、今までに起きた事件をまとめました。過去の事件を学び、今後の暗号資産管理や取引に役立ててみてください。
この記事の構成
ラザルス・グループの概要
ラザルス・グループとは、北朝鮮の超エリート集団で構成された組織です。サイバー攻撃によりシステムを機能不全にしたり、多額の資金を不正に取得し、本国へ送金することを目的としています。
過去には暗号資産取引所や金融機関に対して数々のサイバー攻撃を行ったことで、世界的に認知度が高い一方で、全体の人数や活動実態など詳細な情報は明かされていません。
活動地は、北朝鮮ではなく隣国の中国に拠点をおいているとされています。中国で活動する理由としては、世界各国の情報へアクセスしやすいこと、約1000と非常に少ないIPアドレスしか持たない北朝鮮よりも特定を避けやすくなること、攻撃を行う相手とのコミュニケーションについて学びやすい環境であることなどが挙げられます。
超エリート層で構成されるラザルス・グループへの所属は、北朝鮮の人にとって非常に栄誉あることです。北朝鮮の人民は生まれながらに「核心階層」「動揺階層」「敵対階層」の3階層に分けられ、どこに属するかによって就ける仕事や生活環境が大きく異なります。
核心階層の半数は平壌に住み国の中枢の仕事に就けますが、動揺階層は社会システムを維持する労働者としての仕事にしか就けず、敵対階層にいたっては鉱山や山岳地帯の危険な作業を伴う現場で働かざるをえません。
基本的に一度決まった階層は変わりませんが「スポーツの国際大会で優秀な成績を残す」「音楽、ピアニスト、ダンサーとして成功する」「コンピューターの突出した技術がある」の3つの条件に当てはまる場合にのみ、抜け出すことが可能です。ラザルス・グループは、コンピューターの突出した技術があることに該当します。
しかし、厳しい競争環境を勝ち抜き革新階層を得て他国の情報にアクセスできる超エリート達は、中国で自由に生活できるわけではありません。行動のほとんどは監視されており、もし脱北を試みた場合には、北朝鮮にいる家族達に厳しい処罰が下ることになるでしょう。
こうした国による体制のもとで、ラザルス・グループは管理されています。サイバー攻撃を通じて不正に入手した資金は北朝鮮へ送金され、国費として利用されていると考えられます。
ラザルス・グループの歴史
ラザルス・グループの名前が最初に知れ渡ったのは、2014年の「ソニー・ピクチャーズ エンタテインメント」に対する大掛かりなサイバー攻撃です。しかしアメリカの調査では、少なくとも2002年から、北朝鮮政府のハッカー組織が複数存在していたことが確認されています。
2009年頃に韓国の政府機関や金融機関に対するサイバー攻撃が成功したことに味を占め、本格的にサイバー戦略に力を入れるようになりました。
2016年にはバングラデシュ中央銀行、2018年にマレーシア中央銀行など既存の金融機関への攻撃を中心としていましたが、最近では暗号資産取引所へシフトする動きが見られます。
2018年1月の暗号資産バブルの最中で発生した、コインチェックのネム流出事件もラザルス・グループの関与があるとされています。その後も数百億円規模のハッキング事件が相次いでおり、プラットフォームは今まで以上の対策が求められています。
ラザルス・グループの手口
ラザルス・グループは、フィッシングメールを通じてリンクをクリック、もしくはファイルをダウンロードさせて攻撃相手のシステムに侵入し、ハッキング行為を行う手口が一般的です。コインチェックがハッキングに遭った際にも、同様の方法で行われました。
ハッカーは攻撃相手国の文化に溶け込み、言語を深く理解し、巧妙な手口で攻撃相手に近づき、最終的に騙し目的を果たします。こうした入念な準備は情報統制を敷いている北朝鮮では困難であることも、他国に拠点を置いている一つの理由となるでしょう。
セキュリティに対する意識は向上している近年でも、ハッキング事件が後を絶たないのが現状です。個人でできる対策としては、不正なメールに添付されたリンクやファイルには触らない、フリーWifiは使わない、所有者不明のUSBを利用しない、などが挙げられます。
ラザルス・グループが起こした暗号資産関連の事件
ここでは、ラザルス・グループが起こした暗号資産関連の事件を紹介します。
- 2017年7月:海外取引所ビッサム
- 2018年1月:国内取引所コインチェック
- 2021年8月:国内取引所リキッド
- 2022年3月:NFTゲーム会社スカイメイビス
各事件の概要と、発覚後にどうなったかを詳しく見ていきましょう。
2017年7月:海外取引所ビッサム
ビッサム(Bithumb)は2014年に設立された暗号資産取引所で、韓国ではもっとも取引量が多いです。韓国は暗号資産への関心度が高い国としても知られており、ビッサムは早くから国内の市場を牽引してきました。
北朝鮮と韓国は隣接する国であり、70年前に勃発した朝鮮戦争は今でも休戦状態にあります。両国の関係は決して良好とはいえません。北朝鮮は韓国に対して度々牽制する姿勢を示すだけでなく、暗号資産取引所を始め造船会社や製薬会社など、さまざまな対象にサイバー攻撃を行ってきました。
概要
ビッサムが初めてハッキング被害を受けたのは、2017年2月のことです。2017年7月にも相次いでサイバー攻撃を受け顧客のログイン情報が流出し、合計約700万ドル(約7億4,000万円)相当の暗号資産が流出しました。
2回目にハッキングされた理由として、ビッサムは「本社のサーバーではなく、従業員の1人が家庭で使用しているコンピューターがハッキングされ、個人情報が流出することになった」と述べているように、取引所としてのセキュリティ意識が低かったことがうかがえます。
当時は誰にハッキングされたかは絞りきれなかったものの、後の調査で北朝鮮が関与した可能性が高いことが判明しています。
その後
ビッサムは2019年は4月にかけて合計4回のハッキングに遭い、合計5,800万ドル(約6,100億円)の損失を出してしまいます。2018年6月に被害にあった際は、暗号資産の現物取引に用いるためのホットウォレットから流出しました。
取引所を閉鎖するような致命傷にはならなかったものの、対応が求められたビッサムは、即時コールドウォレットへ資産を移動させる対策を行います。
そうした努力もあり、2020年以降はハッキング被害は確認されていません。現在は強固なセキュリティを誇る取引所として知られており、顧客の信頼は回復しつつあります。
2018年1月:国内取引所コインチェック
コインチェックは、2012年8月に設立された取引所です。日本国内での知名度は高く、暗号資産取引初心者でも使いやすいアプリを提供していることで知られています。暗号資産取引だけでなく、コインチェックNFTというマーケットプレイスや、貸暗号資産で最大5%の配当を獲得できることに特徴があります。
コインチェックは、2017年末に一躍有名になりました。連日放映される暗号資産取引所のテレビCMや、SNSに影響を受けて参入した層が価格を押し上げ、暗号資産ブームを作り上げたともいわれています。
概要
コインチェックがハッキング被害を受けたのは、日本で最初の大きな暗号資産ブームが訪れ、その熱が引き始めた2018年1月下旬のことです。当時コインチェックで保有していた5億2630万10XEM(約580億円)が流出し、全体で約26万人が被害を受けることになりました。
ハッキングの理由について、コインチェックは「当社従業員の端末にマルウェアを感染させ、当社のネットワークに不正にアクセスをし、NEMのサーバ上で通信傍受を行いNEMの秘密鍵を窃取した」と説明しています。
この暗号資産のハッキング被害は、1件あたりの被害として当時の最高額になりました。暗号資産ブームの終焉に拍車をかける出来事となり、その後約3年間にわたり市場全体が低迷することとなります。
その後
コインチェックで被害を受けた約26万人に対しては、ハッキングされた当時のレート「1XEM=88.549円」にて現金で返金が行われました。ユーザーに対して最大限の誠意を示したと同時に、総額580億円もの補償が実現したことに驚いた人も少なくありませんでした。
コインチェックもビッサムのケースと同様に、当時ハッキング元は絞れませんでした。しかし、その後に行われた米当局や国連、韓国の国家情報院による調査で、北朝鮮による犯行の可能性が高いと判断されています。
コインチェックはハッキングを受け、マネックスグループからの出資を受けてグループ会社として再建を目指します。直近ではハッキング被害は報告されておらず、現在では取引所としての信頼は大きく回復し、事件は過去の出来事となりつつあります。
2021年8月:国内取引所リキッド
リキッド(Liquid)は、2014年にQUOINE株式会社によって設立された暗号資産取引所です。2022年4月に運営会社がFTX Japan株式会社に変わったことに伴い、サービス名を「Liquid by Quoine」から「Liquid by FTX」に変更しています。
そして、2022年11月に親会社のFTXが崩壊したことでサービスを停止しました。現在ではリキッドの公式ページ自体は存在していますが、新規登録はできなくなっています。
概要
リキッドがハッキング攻撃を受けたのは2021年8月のことです。当時4,500万ドル(約50億円)相当のERC-20トークン含む、合計9,400万ドル(約106億円)相当の暗号資産が流出しています。
当時はNFTやDeFiなどの新しいサービスによって、イーサリアムが盛り上がりを見せていた時期です。イーサリアムの恩恵を受けて急成長した取引所も多かった中で、セキュリティ体制が十分に整備されていないことも少なくありませんでした。
多額の資金が流出した事件となりましたが、QUOINE社は「顧客の資産に影響はない」と主張し、大規模な返金騒動には至りませんでした。
その後
リキッドはハッキングされ外部へ暗号資産が送金された事態を受けてすぐに対策を講じ、流出した資金のうち約1,613万ドル(約17億7,000万円)を凍結することに成功しました。
しかし、残りの多くはイーサリアムへと両替された後、追跡を絶つためにミキシングされました。最終的には取引所を通じて法定通貨に替えられ出金された、と報告されています。
2022年3月:NFTゲーム会社スカイメイビス
スカイメイビスは、遊んで稼げるゲームの元祖ともいえる存在の「アクシー・インフィニティ」を開発した会社です。アクシー・インフィニティとはアクシーと呼ばれるモンスターを集めて育成し、戦わせることで暗号資産SLPやAXSを稼ぐことができます。
アクシー・インフィニティは新型コロナでの巣篭もり需要も相まって、東南アジアを起点に世界的にヒットしました。世界中からNFTや暗号資産SLPやAXSを求める資金が集まり、一時は世界のゲーム会社として第5位にまで時価総額を伸ばしています。
概要
スカイメイビスがハッキングを受けたのは2022年3月のことです。被害総額は約6億1,500万ドル(約738億円)で、1件のハッキング被害としては史上最大規模となりました。
額も大きく手口も非常に巧妙です。具体的には、ヘッドハンティングを行う採用担当者を装い、SNSを通じてスカイメイビスの社員に連絡をとり、高額なオファーを提示し実際に面接まで行い完全に信用させた上で、ファイルをダウンロードさせました。最終的に、そのファイルを通じて社内への侵入を許してしまったようです。
その後
多額の流出が発覚した後、スカイメイビスはすぐに対策を講じます。結果的には、投資家の支援と銀行の預金によって、ユーザーに対しての損失をすべてカバーすることができました。
しかし、発覚したのが流出から6日後だったことや、コスト削減のためにイーサリアムをブリッジするブロックチェーンの脆弱性を突かれたことで、セキュリティ体制や技術自体を問題視する声も多く上がります。
現在スカイメイビスは、投資を受けて新しいゲームの開発にも着手しています。アクシー・インフィニティは下火になる中でも支援する投資家は多く、次のヒット作への期待が集まります。
ラザルス・グループが起こした暗号資産以外の事件
ラザルス・グループが起こした暗号資産以外の事件では、2014年の米国カリフォルニア州の「ソニー・ピクチャーズエンタテインメント」に対するサイバー攻撃が挙げられます。
北朝鮮の最高指導者を題材にした映画「ザ・インタビュー」に対する抗議と妨害の意味があるとされており、映画作品や俳優のプライベート情報などが盗まれる事態へと発展しました。
また、2016年にはバングラディッシュの中央銀行、2018年マレーシアの中央銀行のシステムがハッキングされ多額の資金が流出しました。毎年手口が巧妙化する中で、既存の金融機関もセキュリティ意識の向上が求められています。
まとめ
本記事では、ラザルス・グループが関与したとされる4つの事例を紹介してきましたが、表に出てきていないものを含めると、実際はかなりの数が存在すると考えられます。
個人で資産を守るためには、怪しいリンクやファイルには触らない、フリーWifiは使わないなどの対策が必要です。ぜひ今日から、セキュリティに配慮した暗号資産運用を行っていきましょう。
