政府せいふがサイバー攻撃こうげきの実行じっこう者しゃとその背後はいごの国家こっか機関きかんを特定とくていして公表こうひょうすることを「パブリック・アトリビューション」と呼よぶが、これまで日本にっぽん政府せいふは、ほとんど行いっておらず、極きわめて異例いれいのことだった。

警察庁けいさつちょうと金融きんゆう庁ちょう、それに内閣ないかくサイバーセキュリティセンターは、この日ひ、連名れんめいで、暗号あんごう資産しさんの事業じぎょう者しゃなどに向むけて注意ちゅうい喚起かんきの文書ぶんしょを出だした。

政府せいふが、異例いれいの宣言せんげんを行おこなった、ハッカー集団しゅうだん「ラザルス」とは、何者なにものなのか。

セキュリティー会社かいしゃの「トレンドマイクロ」の岡本おかもと勝之かつゆきさんが指摘してきするのは、近年きんねん、ラザルスが暗号あんごう資産しさんを標的ひょうてきとしている点てんだ。

取引とりひき所しょなど、暗号あんごう資産しさんに関連かんれんする事業じぎょう者しゃに対にたいして攻撃こうげきを仕掛しかけ、巨額きょがくの通貨つうかを盗ぬすみ続つづけているという。

暗号あんごう資産しさんは、攻撃こうげき者しゃにとってメリットが大おおきい。

（トレンドマイクロ・岡本おかもと勝之かつゆきさん）

「暗号あんごう資産しさんは国くにをまたいで動うごかすことが容易よういであるし、匿名とくめい性せいが高たかいことから、追跡ついせきを免まぬかれるのも簡単かんたんだといえます。ユーザーにとって利便りべん性せいが高たかいのはもちろんですが、裏うらを返かえせば、サイバー犯罪はんざい者しゃ、ラザルスにとっても非常ひじょうに都合つごうがよいのです」

毎年まいとしのように2億おくドルを超こえる多額たがくの暗号あんごう資産しさんを奪うばっているという。

去年きょねん1年間ねんかんでは、少すくなくとも7回かいの攻撃こうげきが行おこなわれ、約やく4億おくドル相当そうとうが盗ぬすまれた。

暗号あんごう資産しさんを狙ねらったのは、ラザルスだと、チェイナリシスは見みている。

3月つきには、ブロックチェーンゲーム（NFTゲーム）「アクシー・インフィニティ」のネットワークで使つかわれる暗号あんごう資産しさんを奪うばったとされ、被害ひがい額がくはおよそ6億おく2000万まんドルに上のぼった。

そして、6月つきには、「ホライゾン・ブリッジ」という、異ことなる種類しゅるいのブロックチェーンでやりとりを可能かのうにするサービスでもハッキング被害ひがいが発生はっせい。

1億おくドル相当そうとうの流出りゅうしゅつが確認かくにんされている。

チェイナリシスの重川おもかわ隼はやぶさ飛ひさんが着目ちゃくもくするのは、盗ぬすみ取とった暗号あんごう資産しさんの「資金しきん洗浄せんじょう」が年々ねんねん巧妙こうみょう化かし、追跡ついせきが困難こんなんになっていることだという。

たとえば、保有ほゆう者しゃの情報じょうほうや送金そうきん先さきなどをわからなくする「ミキシング」と呼よばれる技術ぎじゅつを使つかうことが急増きゅうぞうしている。

一種いっしゅのマネーロンダリングのテクニックだ。

ことし、アメリカ政府せいふは、北朝鮮きたちょうせんのマネーロンダリングに利用りようされたミキシング業者ぎょうしゃに対にたいして、異例いれいの経済けいざい制裁せいさいに踏み切ふみきる事態じたいになっている。

（チェイナリシス 重川おもかわ隼はやぶさ飛ひさん）

「手口てぐちがどんどん高度こうど化かしています。以前いぜんは、盗ぬすまれた資金しきんが複数ふくすうのアドレスを転々てんてんとした後のち、そのままどこかの取引とりひき所しょに行き着いきつくケースが見みられており、分析ぶんせき技術ぎじゅつを使つかえば追跡ついせきはさほど困難こんなんではありませんでした。ところが、最近さいきんは、ミキシングなどの資金しきん経路けいろを秘匿ひとく化かする手法しゅほうを活用かつようするなどして、北朝鮮きたちょうせんの手が込てがこんできています。調査ちょうさの難易なんい度どは上のぼってしまう」

攻撃こうげき者しゃ側がわは、まず、ターゲットに対にたいして、ビジネスパーソン向むけの交流こうりゅうサイト「LinkedIn＝リンクトイン」やメールなどを介かいして、コンタクトをとってくる。

具体ぐたい的てきには、新興しんこう企業きぎょうの多おおい暗号あんごう資産しさん関連かんれんの従業じゅうぎょう員いんに対にたいして、ベンチャーキャピタルのふりをして、接近せっきんする。

そこで、チャットを通をつうじて、ウイルスをダウンロードさせるリンクを踏ふませるなどして感染かんせんさせる。

こうして社内しゃないシステムに入り込はいりこみ、送金そうきんプログラムのコードを改かいざんするなどして、不正ふせいな送金そうきんを行おこなうのだ。

こうして、組織そしきの内部ないぶの人ひとをだまして、ウイルスに感染かんせんさせる形かたちをとって侵入しんにゅうする手法しゅほうは「ソーシャルエンジニアリング」と呼よばれるが、けっして高たかいセキュリティーの壁かべを突破とっぱするようなハッキングではないと、トレンドマイクロの岡本おかもとさんは指摘してきする。

（トレンドマイクロ 岡本おかもと勝之かつゆきさん）

「ラザルスのような標的ひょうてき型がたの攻撃こうげき者しゃが狙ねらう対象たいしょうは、ある程度あるていどのセキュリティーがしっかりしており、外そとから簡単かんたんに入いれるような弱点じゃくてんが残のこってない。そこで、どうやってそこを侵害しんがいするのか。それは、やはり、人間にんげんをだますことだ。組織そしきの内部ないぶの人ひとをだまして、ウイルスに感染かんせんさせるという形かたちをとって、侵入しんにゅうする手口てぐちのほかには、逆ぎゃくにいえば、ない」

この、人ひとをだます「ソーシャルエンジニアリング」は、日本にっぽんの暗号あんごう資産しさんが実際じっさいに攻撃こうげきされている別べつのキャンペーンも確認かくにんされている。

セキュリティー専門せんもん機関きかん「JPCERTコーディネーションセンター」などが発見はっけんした19年ねん夏なつ頃ごろから行おこなわれているキャンペーンだ。

「攻撃こうげきのキャンペーンは、いまも、延々えんえんと継続けいぞくしています。暗号あんごう資産しさんの取引とりひき事業じぎょう者しゃ、従業じゅうぎょう員いんを狙ねらっていて、最終さいしゅう的てきには、秘密ひみつ鍵かぎを盗ぬすんで、不正ふせいな送金そうきんやウォレットの強奪ごうだつをもくろんでいると思おもわれます」。

その際さいに、「ロッキードマーチン」といった大手おおて有名ゆうめい企業きぎょうの人事じんじ担当たんとう者しゃをかたった。

有名ゆうめい企業きぎょうのアカウントを悪用あくようすることで「夢ゆめの仕事しごと」をちらつかせ、接近せっきんする。

チャットツールで送おくられたそのファイルを開ひらき、気付きづかぬ間まに、ウイルスに感染かんせんしてしまったという。

ウイルスは、主おもに情報じょうほう収集しゅうしゅう目的もくてきとみられている。

防衛ぼうえいに関かかわる機密きみつ情報じょうほうが、知しらぬ間まに盗ぬすまれていたことになる。

実際じっさいの被害ひがいがどこまであったのかなど、詳くわしいことは公表こうひょうされていないが、この攻撃こうげきキャンペーンは、いまも継続けいぞく中ちゅうだという。

そして、国内こくないの暗号あんごう資産しさんの取引とりひき所しょでは、ラザルスの関与かんよは明あきらかになっていないが、ハッキングが相次あいついでいる。

金融きんゆう庁ちょうによれば、18年ねんには「テックビューロー」が67億おく円えん相当そうとうの資産しさんを盗ぬすまれたほか、翌年よくねんは「ビットポイント」で35億おく円えん相当そうとうの資産しさんが盗ぬすまれるなど、被害ひがいがあった。

「彼かれらはとにかくお金おかねが必要ひつようなのです。北朝鮮きたちょうせん政府せいふは、世界中せかいじゅうから課かされている経済けいざい制裁せいさいのために、商しょう取引とりひきで金きんを生み出うみだす能力のうりょくを失うしなっています。経済けいざいや軍事ぐんじを支ささえるために、政府せいふは、ラザルスに暗号あんごう資産しさんを盗ぬすませています」

連日れんじつ、日本にっぽんなどに向むけて発射はっしゃされているミサイルにかかる資金しきんも、ハッキングで得えた金銭きんせんが原資げんしとなっている可能かのう性せいがあるのか、問とうと、ヘンリー氏しは、大おおきく頭あたまを縦たてに振ふった。

（クラウドストライク ショーン・ヘンリーさん）

「可能かのう性せいが明あきらかにあるといえるでしょう。国家こっかが背景はいけいにある攻撃こうげき者しゃグループは、中国ちゅうごくやロシアでも、その存在そんざいが指摘してきされていますが、情報じょうほう収集しゅうしゅうが主おもな目的もくてきです。ところが、北朝鮮きたちょうせんはそれだけはない。いまや、経済けいざい的てきな利益りえきを得えるために（サイバー空間くうかんで）犯罪はんざい的てきな手段しゅだんに手てを染そめているのです」

身柄みがらは拘束こうそくできていないため、指名しめい手配てはい中ちゅうとなっている。

起訴きそされた内容ないようは、14年ねんの「ソニー・ピクチャーズ エンタテインメント」や16年ねんのバングラデシュの中央ちゅうおう銀行ぎんこうなどへのサイバー攻撃こうげきだ。

このうち、2度ど続つづけて起訴きそされたパク被告ひこくは、北朝鮮きたちょうせん政府せいふに雇やとわれたプログラマーだとしている。

起訴きそ状じょうによると、パク被告ひこくは、北朝鮮きたちょうせんの大学だいがくで教育きょういくを受うけ、複数ふくすうのプログラミング言語げんごに堪能かんのうで、さまざまなシステムのソフトウェアやセキュリティーの開発かいはつ経験けいけんがあるという。

アメリカの捜査そうさでは、少すくなくとも2002年ねんから、北朝鮮きたちょうせん政府せいふの偵察ていさつ局きょく傘下さんかのハッカー組織そしきの1つ「Lab 110」と提携ていけいしている企業きぎょうで勤務きんむしてきた。

いわば、北朝鮮きたちょうせん当局とうきょくのフロント企業きぎょうの従業じゅうぎょう員いんだったのだ。

アメリカ司法省しほうしょうは、パク被告ひこくのメールアドレスやSNSのアカウントが、一連いちれんのサイバー攻撃こうげきに使つかわれたSNSアカウントや端末たんまつなどと、つながりがあることを捜査そうさで発見はっけんし、いずれも、パク被告ひこくが、犯行はんこうに関与かんよしたとしている。

顔かお写真しゃしんも公開こうかいされているが、実際じっさいに身柄みがらを拘束こうそくされたという情報じょうほうは明あきらかになっていない。

JPCERTコーディネーションセンターの佐々木ささきさんは、これまで各国かっこくの捜査そうさ機関きかんやセキュリティー会社かいしゃの分析ぶんせきを考慮こうりょすると、パク被告ひこくの役割やくわりは、コンピューターウイルスの開発かいはつ担当たんとうだった可能かのう性せいがあると指摘してきする。

（JPCERT/CC 佐々木ささき勇人はやとさん）

「これをヒントにして考かんがえると、ラザルスには、バックオフィス＝後方こうほう支援しえんチームがいるのではないでしょうか。このチームが、マルウェア開発かいはつなどを行おこない、複数ふくすうのサブグループは、提供ていきょうされたツールを使つかっているかもしれません」

実際じっさいに、異ことなるサブグループであっても、一部いちぶに、使つかう攻撃こうげきツールなどが重複じゅうふくするケースも見みつかっているという。

（JPCERT/CC 佐々木ささき勇人はやとさん）

「ここまでの体制たいせいを整ととのえ、しかも10年ねん以上いじょう、体系たいけいだって活動かつどうするというのは、これはもう民間みんかん企業きぎょうの下請したうけレベルではないと考かんがえていいのではないか」

10月つき中旬ちゅうじゅん、金融きんゆう庁ちょうは、暗号あんごう資産しさんの事業じぎょう者しゃや、銀行ぎんこう、証券しょうけん会社かいしゃなどの金融きんゆう機関きかんを対象たいしょうに、サイバー攻撃こうげきへの対応たいおうを学まなぶ訓練くんれんを実施じっし。

オンラインで各地かくちとつなぎ全国ぜんこくおよそ160の機関きかんが参加さんかした。

金融きんゆう庁ちょうの担当たんとう者しゃは、危機きき感かんをあらわにした。

「国内こくない外がいで大だい規模きぼなサイバー攻撃こうげきが発生はっせいし、手口てぐちが巧妙こうみょう化かしている。今回こんかいの訓練くんれんで金融きんゆう機関きかん全体ぜんたいの対応たいおう能力のうりょくの向上こうじょうを図はかりたい」

1週間しゅうかんにわたる訓練くんれんは、非ひ公開こうかいで行おこなわれたが、実際じっさいにサイバー攻撃こうげきを受うけたという想定そうていで、初動しょどう対応たいおうや復旧ふっきゅうの手順てじゅんなどを確認かくにんした。

暗号あんごう資産しさん業者ぎょうしゃを対象たいしょうにした訓練くんれんでは「情報じょうほう漏ろうえいをきっかけに資産しさんが流出りゅうしゅつした」という具体ぐたい的てきなシナリオを元もとに、さまざまな状況じょうきょうに対応たいおうする方法ほうほうを学まなんだという。

ただ、業界ぎょうかい全体ぜんたいが対策たいさく強化きょうかに乗り出のりだしていくのは、まだ課題かだいも多おおい。

金融きんゆう業界ぎょうかいで発生はっせいしたサイバー攻撃こうげきの事例じれいは、金融きんゆう庁ちょうや業界ぎょうかい団体だんたい「金融きんゆう情報じょうほうシステムセンター＝FISC」で情報じょうほう共有きょうゆうするという仕組しくみを整ととのえている。

ところが、とりわけ、暗号あんごう資産しさんのようなベンチャーも多おおい業界ぎょうかいでは、業界ぎょうかい団体だんたいに加盟かめいしていない小規模しょうきぼな事業じぎょう者しゃも多おおい。

被害ひがいの事例じれいを共有きょうゆうすることが、なにより、次つぎの被害ひがいへの対策たいさくにつながる。

金融きんゆう庁ちょうは「次つぎに狙ねらわれるのは中小ちゅうしょう事業じぎょう者しゃ」だとして、注意ちゅうい喚起かんきに力ちからを入いれることにしている。

そして、やはり「ソーシャルエンジニアリング」への備そなえが重要じゅうようだ。

人間にんげんの心理しんりを突ついた攻撃こうげきの手口てぐちについて、従業じゅうぎょう員いんにしっかりと理解りかいをしてもらう啓発けいはつが大切たいせつだ。

カスペルスキーの石丸いしまる傑すぐるさんが強調きょうちょうするのはメールやチャットといったコミュニケーションツールへの意識いしきだ。

「メールやチャットには並々なみなみならぬ注意ちゅういを払はらう必要ひつようがあります。もちろん不審ふしんな添付てんぷファイルを開ひらかないのは、当たり前あたりまえですが、それ以外いがいにも、明あきらかに送おくり元もとが同僚どうりょうや取引とりひき先さきだったとしても、本当ほんとうにファイルを開ひらいていいのか。直接ちょくせつ確認かくにんする。できれば、そもそも開ひらかない仕組しくみを今後こんご整備せいびしていく必要ひつよう性せいがあります」

石丸いしまるさんによると、ぜい弱ぜいじゃく性せいをついた攻撃こうげきでは、ファイルを単たんに開ひらいただけでウイルスに感染かんせんするケースもある。

さらに踏み込ふみこんだ対策たいさくとして、社内しゃないのネットワークにアクセスできる権限けんげんを誰だれにどこまで与あたえるか、きちんと管理かんりできるよう強化きょうかしていくこともあげている。

いつのまにか不審ふしんなアカウントがつくられていないか、常つねに監視かんしすることも重要じゅうようだ。

アクセス権限けんげんを奪うばった上うえ、ウイルス対策たいさくソフトを勝手かってにオフにする手口てぐちもある。

ソフトをオフにしたら、アラートを鳴ならす仕組しくみを整備せいびするなど、できるかぎり、きめ細きめこまかな対策たいさくが求もとめれる。

私わたしたちの日常にちじょうが脅おびやかされるまでになっている北朝鮮きたちょうせんの動どう勢ぜい。

目めに見みえないサイバー空間くうかんでも、日々ひび、私わたしたちの「資産しさん」を狙ねらった攻撃こうげきが行おこなわれていることを、決けっして忘わすれてはいけない。