「コインチェック流出、犯人はロシア系か」 朝日新聞スクープは本当なのか

「コインチェック流出、犯人はロシア系か」 朝日新聞スクープは本当なのか

 6月17日、朝日新聞がサイバーセキュリティに関する興味深い記事を配信した。

 その記事は「コインチェック事件、北朝鮮説に疑問符 ロシア系関与か」というタイトルで、2018年1月に約580億円相当の仮想通貨「NEM」を盗まれた仮想通貨交換業者コインチェックの事件についての内容だ。

 これまで国連の北朝鮮制裁委員会専門家パネルやセキュリティ専門家らが、コインチェックへのサイバー攻撃は北朝鮮の仕業であると指摘してきた。北朝鮮ハッカーの動向をチェックしている韓国の国家情報院も、事件発生後すぐに北朝鮮の犯行である可能性を指摘している。

 朝日新聞の記事によると、コインチェックへの攻撃は北朝鮮ではなく「ロシア系」による仕業の可能性があるという。記事にはこう書かれている。「ロシア系のハッカーとの関連が指摘されているウイルスが、コインチェック社員のパソコンから検出されたことが関係者の話で分かった。この事件は北朝鮮とのつながりに注目が集まったが、専門家は『未知のハッカー集団による犯行の可能性がある』としている」

 この話に説得力のある根拠があれば世界的なスクープだと言っていい。言うまでもなく、仮想通貨は世界的に注目されている新しい通貨だ。いくつもの仮想通貨を取り扱っていたコインチェックの事件は、日本で発生した事件だけに、世界のどの報道機関よりも日本の報道機関に深く検証できるアドバンテージがある。

 多数の記者を各方面に抱える朝日新聞の記事だけに、その影響力は強い。そこでこの記事について、筆者のこれまでの取材から考察してみたい。

●「ロシア系の犯行」と結び付けるのは危険

 まずこの記事では、ロシアや東欧で使われているウイルスがコインチェックの社員のPCから発見されたと報じている。「mokes(モークス)」と「netwire(ネットワイヤ)」というウイルスだという。この情報は、サイバーセキュリティの世界ではスクープだと言っていい。

 ただロシアなどで使われているからといって、ロシア系の犯行と結び付けるのは危険だ。というのも、最近のサイバー攻撃の傾向として、まず攻撃元を特定されないように他国のサイバー攻撃ツール(マルウェアなど)を使ったり、わざとマルウェアなどに偽の情報を含めてごまかすといった手法が広く使われているからだ。

 ロシアのハッカーたちは、技術力に定評がある。しかも自分たちが開発しているサイバー攻撃ツールを、地下にあるダーク(闇)ウェブで中国のハッカーに売りさばいていることが確認されている。ダークウェブなどを監視している専門家らの話を総合すると、そうしたツールを購入しているのは、中国のハッカーだったり、北朝鮮のハッカーだったりする。もちろん彼らは政府にもつながっており、予算を受け取っているケースもある。

 もっとも、購入する必要すらない場合もある。サイバー攻撃のツールは今、ダークウェブでレンタルまでできてしまうからだ。

 『文藝春秋』7月号で、筆者はCIA(米中央情報局)の元CISO(最高情報セキュリティ責任者)であるロバート・ビッグマン氏と、サイバーディフェンス研究所・上級分析官の名和利男氏と鼎談(ていだん)しているが、そこでもビッグマン氏は、「北朝鮮のハッカーたちは、第三者になりすまして攻撃するフォルス・フラッグ工作も行っている」と指摘している。ロシア関係者から手に入れた攻撃ツールなども使っている可能性は高い。

 さらにこんな話もある。2017年に発生したランサムウェア(身代金要求型ウイルス)のワナクライは、世界150カ国で30万台のコンピュータを襲った。この攻撃は、米英などが深く捜査した上で、北朝鮮によるサイバー攻撃だと結論付けられている。このランサムウェア攻撃では、実は米国のNSA(国家安全保障局)のサイバー攻撃軍団から盗まれたマルウェア(不正なプログラム)が使われていた。

 つまり、米国が誇るハッキング軍団が他国を攻撃するために開発して使っていたサイバー攻撃ツールが、何者かによって盗まれ(または持ち出され)、インターネット上で暴露された。北朝鮮はそれを使って、世界中に攻撃を行った。米国のツールだから攻撃者が米国系のハッカーである、ということにはならない。

●やはり北朝鮮系のハッカーが絡んでいる?

 その一方で、北朝鮮は、以前は自分たちが犯人であることがバレても全然構わないと考えていたとビッグマン氏は言う。サイバー攻撃の犯人だとされても誰も逮捕されることはないし、罪を償うこともないと考えていたからだ。サイバー攻撃では攻撃者を突き止めるのが難しいということを逆手にとって、やりたい放題だった。

 だが、その強気ぶりが変わったきっかけとされるのが、14年の米ソニー・ピクチャーズに対するサイバー攻撃だった。この攻撃は、北朝鮮の指導者を暗殺するという映画『インタビュー』の公開をめぐって、北朝鮮がソニー・ピクチャーズに大規模なサイバー攻撃を行ったケースだ。未公開映画や内部書類、電子メールなどが盗まれ、3500万ドル以上の損失となった。

 米国は、この攻撃が北朝鮮の犯行であると断定。当時話を聞いた米情報関係者は、「あそこまでオバマがはっきりと言うくらいだから間違いない」と漏らしていた。実は、攻撃そのものをNSAのハッカーたちが事前に察し、攻撃の監視までしていたとされる。そして攻撃を受けた後、北朝鮮のインターネットを遮断するサイバー攻撃を実施している。

 当時のバラク・オバマ大統領は、このハッキング行為を理由に、北朝鮮の団体と個人に対して制裁を科す大統領令に署名している。つまり北朝鮮は、自分たちがやっていることがバレて、それでも派手に攻撃を続けていれば、経済制裁を受ける可能性があると分かったのである。そんなことから、先進国などに対してフォルス・フラッグ工作を強化するようになったと見る専門家らもいる。

 そうした背景もあって、コインチェックへの攻撃には、やはり北朝鮮系のハッカーが絡んでいると欧米の情報関係者は見ているようだ。言うまでもなく、どんなツールが使われたのかなども踏まえた上での話である。

●サイバー攻撃の兆候をつかむ

 現在、サイバーセキュリティの世界は、攻撃が起きてから対処するのではなく、その事前の兆候をつかんで監視や措置を行おうという方向に向かっている。脅威インテリジェンス(攻撃の兆候を監視するセキュリティ)という分野が日本も含めた世界中で急成長しているのはその証左だ。

 脅威インテリジェンスでは、セキュリティ企業はダークウェブやアプリなど、普通ではアクセスできないコミュニティーなどを中心に、ありとあらゆるソースからハッカーやサイバー攻撃のインテリジェンスを集める。そうした情報を分析することで、これから起きる可能性がある攻撃とそれに対する対処法を知ることができる。国の情報・捜査関係機関も、民間のサイバーセキュリティ企業もそんな対策に乗り出している。

 事実、すでに述べた、17年に発生したワナクライでは、発生の2カ月前にはダークウェブで兆候を察知し、クライアントに注意喚起していた民間企業もあるくらいだ。このように、国家系ハッカーによるサイバー攻撃でも、情報機関などのハッカーらが情報をつかんでいることもある。

 もちろん、コインチェックへの攻撃が事前に把握されていたということではない。ただ国外のセキュリティ関係者に取材をしていると、仮想通貨取引所は今もハッカーなどから狙われていると何度となく耳にする。そんな兆候があるというのだ。コインチェックのような事件が再び起きないよう、警戒しておく必要がありそうだ。

 とはいえ、サイバー空間での国家系ハッカーらによる活動はなかなか実態が見えにくい。だが、サイバー攻撃が絡む事件や策略は間違いなく行われている。それを探るために、世界の軍や情報機関が多額の予算をかけて捜査や情報収集、スパイ工作などを繰り広げているのである。そして、民間のサイバーセキュリティ企業でも、サイバー空間で画策される攻撃の計画や兆候を、脅威インテリジェンスなどの複雑なテクノロジーを駆使して探っている。

 もちろん今回の朝日新聞による記事は重要な情報であり、貴重な分析であるといえる。こうした検証は、人員も予算も豊富な日本の大手メディアでもどんどん行われるべきだ。

(山田敏弘)


関連記事

ITmedia ビジネスオンラインの他の記事もみる
主要なニュースをもっと見る
社会のニュースをもっと見る
経済のニュースをもっと見る
政治のニュースをもっと見る
国際・科学のニュースをもっと見る
エンタメのニュースをもっと見る
スポーツのニュースをもっと見る
トレンドのニュースをもっと見る
生活術のニュースをもっと見る
地域のニュースをもっと見る

トレンド アクセスランキング

ランキングの続きを見る

トレンド 新着ニュース

新着ニュース一覧へ

総合 アクセスランキング

ランキングの続きを見る

東京 新着ニュース

東京の新着ニュースをもっと見る

東京 コラム・街ネタ

東京のコラム・街ネタをもっと見る

特集

特集一覧を見る 動画一覧を見る

記事検索