北朝鮮がビットコインに高い関心を持つ理由

ファイア・アイでは、北朝鮮と思われる攻撃者が侵入機能を悪用したサイバー犯罪を通じて、銀行や世界的な金融システムを標的にしているのを2016年から観測しています。これは、北朝鮮が従来展開していた国家を標的としたサイバースパイ活動から脱却するものです。しかし、世界経済の大半から切り離された孤立国家、さらには、違法な経済活動を行う政府役員を雇用する北朝鮮の体制を鑑みると、それほど驚くべきことではありません。北朝鮮は自国の軍事・諜報機能を厳格に管理していることから、今回の活動は北朝鮮への国際制裁が高まる中、国家または平壌のエリート層の資金調達目的で遂行されたと考えられます。

現在、この活動の「第二波」が起きているようです。国家支援された攻撃者が、制裁を回避しつつ国際決済通貨を得て政府の資金源とするため、ビットコインをはじめとする仮想・暗号通貨の窃盗を模索しています。2017年5月以降、北朝鮮の攻撃者は、韓国の仮想通貨取引所を少なくとも3カ所標的としており、これも資金の窃盗が目的だったことが推測されます。一連のスピアフィッシング攻撃では、多くのケースで仮想通貨取引所の従業員を対象に、税金関連を装うメールを送りつけています。また、北朝鮮の攻撃者と結びつきがあるマルウェア(PEACHPITおよび類似の亜種)が利用されており、これは2016年に世界的な銀行に侵入した際にも用いられたものです。

さらに、2016年にビットコインのニュースサイトに行われた水飲み場型攻撃と北朝鮮の関連性や、不正な仮想通貨マイニングが少なくとも1件確認されていることから、仮想通貨に関心を寄せる北朝鮮のイメージが浮かび上がってきます。なお、ビットコイン単独でも、今年初頭から400%以上の価格上昇を見せています。

韓国の仮想通貨を標的とした2017年の北朝鮮の活動

  • 4月22日:韓国の仮想通貨取引所であるYapizonでは、4つのウォレットが不正アクセスの対象になりました(注:この不正アクセスで報告された攻撃の戦術・技術・手順(TTP)の一部は、それ以降の攻撃で観察された内容とは異なっており、現時点では北朝鮮の関与を示す明確な証拠は存在していません)。
  • 4月26日:米国は対北朝鮮の経済制裁を拡大する戦略を発表しました。先述の通り、国際社会からの制裁は、北朝鮮が仮想通貨に関心を持つ契機となった可能性があります。
  • 5月初旬:韓国の仮想通貨取引所(第1)を標的とした、スピアフィッシング攻撃を開始しました。
  • 5月下旬:韓国の仮想通貨取引所(第2)が、スピアフィッシング攻撃による不正アクセスを受けました。
  • 6月初旬:韓国の仮想通貨サービス・プロバイダーと思われる(被害者の詳細は不明)標的に対して、北朝鮮の関与が疑われる活動が増加しました。
  • 7月初旬:個人アカウントへのスピアフィッシング攻撃により、韓国の仮想通貨取引所(第3)が標的にされました。

仮想通貨を標的とするメリット
国家規模の攻撃者が国庫の資金調達のため、ビットコインや仮想通貨の取引所を標的にすることは、一見不自然に思われるかもしれません。しかし、北朝鮮が展開するその他の不法な試みからも、政府が金融犯罪の遂行に関心があることは明らかです。朝鮮労働党39号室は、金の密輸、外貨偽造、さらにはレストラン経営などにも関与しています。世界の銀行システムや仮想通貨取引所への重点的な取り組み以外にも、韓国の機関が最近発行したレポートでは、マルウェアによってATMを標的とする攻撃者(もしくは、少なくともこれと類似の目的を支持する攻撃者)についても北朝鮮の関与が示されています。

攻撃者が(個人アカウントやウォレットではなく)取引所そのものに不正アクセスを行った場合、彼らはオンラインウォレットから仮想通貨を引き出し、仮想通貨をより匿名性の高い他の仮想通貨と交換したり、他の取引所のウォレットに直接送金し、韓国ウォン、米ドル、中国人民元などの不換通貨として引き出したりする可能性が考えられます。仮想通貨を取り巻く規制環境は依然発展途上にあり、管轄の異なる一部の取引所では、マネーロンダリング対策の管理が緩いケースも考えられます。そのため、こうした不正プロセスは容易になり、国際決済通貨を求める者にとって取引所は魅力的な標的となります。

結論
ビットコインをはじめとする仮想通貨の価値がこの1年間で上昇するなか、国家もそれに着目しつつあります。最近では、ロシアのプーチン大統領のアドバイザーが、ビットコイン・マイニングにおけるロシアのシェア拡大に向けた資金調達計画を発表したほか、オーストラリアの上院議員グループは、自国の仮想通貨の開発を提案しました。

同時に、まるで犯罪集団のような運営を行う政府が仮想通貨に関心を寄せることも、驚くべきことではありません。現在の北朝鮮は、金融犯罪への参加意欲と、サイバースパイの両方でそれなりの能力を持っています。ただし、台頭するサイバー集団も同様の可能性を仮想通貨に見出している可能性があり、こうした2つの要素の独自性は、長続きしないと考えられます。金融・金銭を狙ったサイバー攻撃も今や、(国家支援型ではない)サイバー犯罪集団が唯一のアクターではなくなった可能性があります。