今年に入って合計27回目となる連日のように続く朝鮮民主主義人民共和国 (DPRK または北朝鮮)の弾道ミサイル発射の実態を見るにつけ、わが国政府の米国や韓国からの情報収集のみに依存し続け、一方で頼みの国連の制裁決議もロシアや中国等の反対により北朝鮮制裁が徹底されないという問題が、防衛省、外務省、内閣府等を見てもなんら解決できていない。

　ところで、北朝鮮の資金源問題につき米国のサイバー犯罪関係の調査機関の情報を見るにつけ、最近半年間の動向から見て、(1)暗号資産サイトを利用した北朝鮮のハッキンググループである“Lazarus Group”の暗躍、例えば金融機関向け犯罪から暗号資産、ゲームへの拡大等その実態を明確化し、同時に、(2)国際的な大手求人情報プラットフォームである“LinkedIn”と“Indeedから被害者の履歴書やプロファイルをコピーしているという報告が極めて鮮明に報告されている。

　今回のブログは、はたしてハッキンググループである”Lazarus Group“の犯罪手口、急速な手段の拡大傾向、主要国の警告内容を補足しつつ概観する。また。最近では「豚の屠殺(pig butchering)」という新たな投資詐欺の裏に”Lazarus Group”が暗躍しているとも報じられており、最後にその危険性を述べておく。

　なお、本ブログを詳細に読んで気がつかれると思うが、北朝鮮のハッカーグループ”Lazarus Group”の存在はかなり前から欧米の関係機関ではその存在や活動内容に対する警告は行われていた。一方、これだけ北朝鮮につき世界の関係国中で最も研究し、警戒すべき日本が今になって動き始めたことの問題点を改めて考えるべきであろう。

１．北朝鮮のハッカーを利用した金正恩政権の不法な収入源･資金源を明らかにする

　2021年以降の北朝鮮のハッカー集団の犯行の実態概要を関係記事や米国捜査機関等で見ておく。

(1)2022.1.23 WIRED.jp記事「北朝鮮のハッカー集団は、2021年だけで総額450億円相当もの暗号資産を盗んでいた」を抜粋、引用する。

【すべては北朝鮮政府のために】

 　Chainalysis(チェイナリシス) (注1)は2021年に起きた7件の暗号資産のハッキング被害について、マルウェアのサンプルやハッキングのインフラを調査した。また、盗まれた資金を追跡し、北朝鮮ハッカーに管理されていると特定されたブロックチェーン・アドレスのクラスターに流入していたことを突き止めた。その結果、これら7件すべてに北朝鮮とのつながりが見られたとしている。

Chainalysisによると、これらの窃盗はすべて北朝鮮政府のために働いているとみられる、緩くつながったハッカー集団「Lazarus」が実行したという。一方で、ほかのハッカー追跡企業は、Lazarusには多数の独立したグループが含まれると指摘する。

　それでもサイバーセキュリティ企業のMandiant　(注2)は、同社が追跡するほぼすべての北朝鮮のグループにとって、いまやほかの任務に加えて暗号資産を盗むことが最重要事項になっていると指摘している。これはChainalysisの調査結果を裏付けるものだ。

　例えば、Mandiantが「TEMP.Hermit」と「Kimsuky」と呼ぶ2つの北朝鮮のハッカーグループは2021年、おそらく新型コロナウイルスに関する情報を盗むために、生物医学や医薬関係の団体を狙う任務を担っていたと考えられると、Mandiantのシニアアナリストのフレッド・プラン(Fred Plan)は言う。だが、どちらもグループも年間を通じて暗号資産を保有する組織も狙い続けていた。「2021年、これらのグループが命じられていたあらゆる活動の根底には、そうした金目当ての作戦や活動が一貫して流れ続けている」

　さらにMandiantが「APT38」と呼ぶグループは、メキシコの金融企業Bancomextから1.1億ドル（約125億円）、バングラデシュの中央銀行から8,100万ドル（約92億円）を盗むなど、以前は従来型の金融機関へのハッキング攻撃に注力していた。ところが現在は、暗号資産を保有する標的に目を向けているようだ。「我々が追跡しているほぼすべての北朝鮮のグループは、何らかのかたちで暗号資産に手を出している」と、プランは語っている。

【資金源として暗号資産が狙われる理由】

　ハッカーがほかの金融犯罪より暗号資産に目を向けた理由の１つは、間違いなくデジタルキャッシュの資金洗浄が比較的容易だからであろう。例えばバングラデシュの銀行がAPT38による窃盗被害に遭ったあと、北朝鮮のグループは盗んだ資金に捜査の手が及ぶ事態を避ける目的で、中国のグループを招集してマニラのカジノで何千万ドルもの資金をギャンブルに使わせなければならなかった。

　これに対して暗号資産の場合、グループは豊富な資金洗浄手段を持つことをChainalysisは発見したという。グループは盗んだ資金を本人確認規制のコンプライアンスが緩いアジアの取引所を主に使用し、中国人民元に換金していたのだ。

　また、グループは資金源がわかりにくくなるよう、しばしば複数のサービスを組み合わせる手法をとってきた。そして多くの場合、仲介業者が入らず、暗号資産取引業者と直接つながれる分散型取引を用いてきた。そうした取引には、マネーロンダリング防止ルールによる規制がほとんどないのである。

　Chainalysisは、盗んだ暗号資産の現金化に関して、北朝鮮は驚くほど辛抱強いことを発見した。何年も待ってからマネーロンダリングすることも珍しくないという。ハッカー集団は過去数年間に盗んだ1.7億ドル（約250億円）もの未洗浄資金をいまだに保有しているとみられるが、間違いなくそのうち現金化するだろう。

　これらの何億ドルもの資金は最終的に、すべて何年間も厳しい制裁を受けて高度な軍事化を遂げた「ならず者国家」の口座に収まるだろうと、Mandiantのフレッド・プランは言う。「北朝鮮政権は、ほかに手段がないと考えたのである。世界や経済に対応する手段はもうほかにはないというわけです。それでも、かなり優れたサイバー能力を有している。この能力を活用して、国にお金を集めることができるわけですから」

　暗号資産の業界が、これらのハッカーに対して自衛するか、あるいはコインがクリーンな資金に洗浄されるのを防ぐ方法を見出すことができるまで、実体を欠いた金正恩政権の不法な収入源は増え続ける一方だろう。

(2)2022.10.5 KrebsonSecurity blog 「偽のLinkedInプロファイルの過剰は、ボット攻撃に対してHuman Resource」(人的資源.一般的には、企業における人的資源の活用」を意味)をピット」から一部抜粋、仮訳する。

　最近、KrebsOnSecurityは、バイオジェン、シェブロン、エクソンモービル、ヒューレットパッカードなど、さまざまなフォーチュン500企業で最高情報セキュリティ責任者(CISO)の役割を主張している偽のLinkedInプロファイルの洪水を調べた。

　それ以来、LinkedInのユーザーと読者からの反応は、これらの偽のプロファイルが事実上すべてのエグゼクティブの役割、特に最近の世界的な出来事やニューストレンドに隣接する仕事や業界に一斉に現れていることを明確にしている。

　LinkedIn(注3)上での偽のエグゼクティブ･プロファイルの最近の急増は、ビジネス･ネットワーキングサイトと、将来の従業員を雇用しスクリーニングするためにそれに依存している企業にとって、アイデンティティの危機のようなものを作り出している。AIが生成したプロフィール写真と正当なアカウントから持ち上げられたテキストを組み合わせた、偽造されたLinkedInアイデンティティは、企業の人事部門や招待制のLinkedInグループを管理する人々にとって大きな頭痛の種となっている。

　「サイバーセキュリティ企業のMandiant(最近Googleに買収)はブルームバーグに対し、北朝鮮政府の下で働くハッカーは、暗号資産企業に雇用を獲得するための精巧なスキームの一環として、国際的な大手求人情報プラットフォームであるLinkedInとIndeedから履歴書とプロフィイルをコピーしていると語った。

　これら偽のプロファイルは、いわゆる「豚の屠殺(pig butchering)」詐欺に結びついている可能性があり、人々はオンラインで浮気性の見知らぬ人に誘惑され、被害者が現金化しようとすると最終的に資金を奪う暗号資産取引プラットフォームに投資することになる。

　さらに、これらアイデンティティ泥棒は、LinkedInで求人募集人を装い、雇用詐欺に陥った人々から個人情報や財務情報を収集することが知られている。

(3) 2022.6.30 FORTUNE記事「北朝鮮のハッカーは、1億ドルのハーモニー暗号強盗の背後にいた、とブロックチェーン調査会社は言う」を一部抜粋、仮訳する。

　ブロックチェーン調査会社Elliptic による新しい分析によると、北朝鮮の金政権によって支援されていると考えられている北朝鮮のハッキンググループであるLazarus Groupは、6月23日公表した１億ドル(約147億円)近いHarmony Bridgeのハッキングの背後にいる可能性が高い。

　この攻撃により、Harmonyブロックチェーンと他のブロックチェーンの間で暗号資産を取引できるサービスから、6月24日の朝にイーサー(ether)、テザー(tether)、ラップ(wrapped)されたビットコインを含む1億ドル相当の暗号が枯渇した。

　北朝鮮のハッカーはますます巧妙になっている。2021年に彼らは推定4億ドルを盗み、そのほとんどはエーテルで盗んだ。2022年の合計は、すでにその数字をはるかに上回っています。

　Ellipticによると、攻撃者はハッキング後に盗まれた資産を85,837 ETH(イーサリアム:約164億4800万円)に変換し、6月27日から、違法に入手した暗号を洗浄するために一般的に使用されるミキサーであるTornado Cashを介してETHの一部を送信し始めた。これまでのところ、約35,000 ETH(盗まれた総資金の41%)がTornado Cashに送られた。

　ハーモニー・ブリッジンへのハックは、2022年3月の6億3,500万ドルのRonin Bridgeハックを含む、Lazarus Groupに起因する他のハッキングと一致している。

(4)2022.4.2 米国連邦司法省のリリース「北朝鮮の制裁回避を共謀した米国市民に5年以上の拘禁刑と10万ドルの罰金」を抜粋、仮訳する。

　暗号資産とブロックチェーン技術を使用して制裁を回避するための技術的助言を含め、朝鮮民主主義人民共和国 (DPRK または北朝鮮) にサービスを提供することを共謀した米国民は、国際緊急経済権限法 (International Emergency Economic Power Act:IEEPA) (注4)違反の陰謀行為で有罪を認めた後、63 か月の拘禁刑を言い渡された。

　連邦地方裁判所の文書によると、39歳のヴァージル・グリフィス(Virgil Griffith)

Virgil Griffith

は、暗号資産の採掘を含む暗号通貨インフラストラクチャの開発と資金提供により、北朝鮮の個人にサービスを提供する計画を2018年に策定し始めた。グリフィスは、北朝鮮がこれらのサービスを使用して、米国の制裁を回避および回避し、核兵器計画やその他の違法行為に資金を提供できることを知っていた。

　IEEPA および2008年6月26日大統領令 13466 に従い、米国人は、連邦財務省外国資産管理局 (OFAC) からの許可なしに、商品、サービス、または技術を北朝鮮に輸出することを禁じられている。

　2019 年 4 月、グリフィスは北朝鮮を訪れ、「平壌ブロックチェーンと暗号資産会議」（DPRK 暗号資産会議）に出席して発表した。国務省はグリフィスの北朝鮮への渡航許可を拒否していたにもかかわらず、グリフィスは北朝鮮の聴衆に合わせて北朝鮮暗号資産会議でプレゼンテーションを行った。

　北朝鮮の暗号資産会議で、グリフィスと彼の共謀者は、北朝鮮がブロックチェーンと暗号資産技術を使用してマネーローンダリングを行い、制裁を回避する方法について説明した。DPRK Cryptocurrency Conference での Griffith のプレゼンテーションは、DPRK 当局者によって承認されており、とりわけ、「スマート コントラクト」などのブロックチェーン技術を使用して、米国との核兵器交渉を含め、DPRK に利益をもたらす方法に焦点を当てていた。グリフィスと彼の共謀者は、グリフィスが北朝鮮政府で働いていると理解している個人を含む北朝鮮の聴衆のために、ブロックチェーンと暗号通貨技術に関する特定の質問にも答えた。

　北朝鮮暗号資産会議の後、グリフィスは北朝鮮と韓国の間の暗号通貨の交換を促進する計画を追求したが、そのような交換を支援することは北朝鮮に対する制裁に違反することを知っていた。またグリフィスは、北朝鮮に旅行し、北朝鮮の人々に同様のサービスを提供するために他の米国市民を募集しようとし、北朝鮮の他の暗号通貨およびブロックチェーンサービスプロバイダーへの紹介を仲介しようとした。 グリフィスは、商品、サービス、または技術を北朝鮮に提供する許可を OFAC から取得したことは一度もない。

(5)2022.4.26 JapanTimes記事「2022.4.26 Japan Times記事「北朝鮮での暗号資産会議は、より多くの刑事告発につながる」 を一部抜粋、仮訳する。

　スペイン籍のアレハンドロ・カオ・デ・ベノス(Alejandro Cao de Benos:47歳)

Alejandro Cao de Benos

Christopher Douglas Emms

と英国市民のクリストファー・エムズ(Christopher Douglas Emms: 30歳)は、米国の制裁法(IEEPA)に違反する陰謀で起訴された、と司法省は4月25日に公表した。カオ・デ・ベノスCao de Benos と Emms は、北朝鮮の首都平壌で開催された 2019 年のブロックチェーンと暗号資産の会議に参加した元イーサリアム財団の暗号資産の開発・研究者である Virgil Griffith と協力していたという。

　グリフィスは4月、制裁邦違反の罪を認めた後、5 年以上の拘禁刑を言い渡された。Cao de Benos  と Emms は、有罪判決を受けた場合、最長で 20 年の拘禁刑に直面する可能性があるが、彼らは米国に拘留されていない。

(4)2022.10.3 FBI マイアミ事務所のリリース文および2022.7.21 KrebsonSecurity「大規模な損失が「豚の屠殺」の流行を定義する」を元に抜粋、仮訳する。

　米国の州および連邦捜査機関は、「豚の屠殺(pig butchering)」として知られる複雑な投資詐欺に関連して数十万ドルまたは数百万ドルを失った人々からの報告で氾濫しており、人々はオンラインで浮気性の見知らぬ人に誘われて暗号資産取引プラットフォームに投資し、被害者が現金化しようとすると最終的に資金を押収してしまう。

　「豚の屠殺」という用語は、出会い系アプリやソーシャルメディアで偽のプロファイルを使用して、人々を精巧な詐欺に投資するように誘う、長年の実績があり、スクリプト化され、人間集約的なプロセスを指す。より平易な意味では、豚の屠殺は屠殺の前に獲物を肥育させることを意味する。

　「この詐欺手口(豚の屠殺)は、詐欺師が被害者を切り離してすべてのお金を奪う前に、ロマンスと富の約束を被害者に食べさせる方法にちなんで名付けられた」と連邦捜査局(FBI)は2022年4月に警告した。「被害者のために出会い系アプリやその他のソーシャルメディアを採掘する暗号通貨詐欺師の詐欺リングによって運営されており、詐欺は驚くほど人気が高まっている。

詐欺的な暗号資産投資スキーム

　FBI マイアミ フィールド オフィスは、インターネット犯罪苦情センター (IC3) と連携して、豚の屠殺(Pig Butchering) と呼ばれる暗号資産 を含む投資スキームについて警告している。このスキームでは、仮想通貨で大成功を収めたトレーダーを装った詐欺師が、仮想通貨への投資と称して被害者を誘惑し、追加の投資を促す架空の収益を提供するというものである。

　詐欺師は、さまざまなソーシャル メディアや出会い系アプリで被害者と連絡を取り (被害者が長い間失っていた連絡先を偽装するか、潜在的な友人やロマンチックなパートナーになりすます)、多くの場合、被害者の自信と信頼を得るために時間を費やす。その後、被害者は投資プロセスを通じて指導を受け、詐欺師によって継続的な預金を行うように勧められる。偽の Web サイト/アプリにより、被害者は投資を追跡し、指数関数的に成長しているという印象を与えることができる。その後、被害者が投資資金を現金化しようとすると、所得税や追加料金を支払う必要があると言われ、追加の資金を失うことになる。被害者は、主張された投資を取り戻すことができず、多くが詐欺師との連絡手段を失うことになる。

　多くの被害者は、海外口座への電信送金や大量のプリペイド カードの購入を指示されたと報告している。暗号資産と暗号資産 ATM の使用も、新たな支払い方法である。これらのスキームに関連する個人の損失は、数万ドルから数百万ドルに及んでいる。

　FBI は、個人がこの活動を認識して抑止できる可能性のある方法を次のとおり特定した。

① ソーシャル メディアの Web サイトで、見知らぬ人や長い間連絡を失っていた人からの投資機会の有効性を確認する。

② 正当な金融機関、特に仮想通貨取引所になりすましたドメイン名に注意してください。多くの場合、実際の金融機関の Web サイトとわずかに異なるつづりの URL は、偽物である可能性がある。

③ アプリの正当性を確認できない限り、疑わしいアプリをダウンロードしたり、投資のツールとして使用したりしないでください。

④ 投資機会がうますぎると思われる場合は、その可能性が高い。一攫千金の計画に注意してください。

　豚の屠殺計画やその他の詐欺計画の被害者になったと思われる場合は、FBI のインターネット犯罪苦情センター ( www.ic3.gov )に報告されたい。可能であれば、以下の内容を連絡されたい。

＊個人が最初にあなたに連絡した方法と、その個人がどのように識別されたかに関する情報、あなたの名前、電話番号、住所、メールアドレス、ユーザー名などの識別情報、日付、支払いの種類、金額、関連する口座番号 (暗号資産ウォレットを含む)、受取金融機関の名前と住所、受取暗号通貨アドレスなどの金融取引情報等が重要である。

********************************************************************

(注1) チェイナリシス(Chainalysis)は、ブロックブロックチェーン（分散型台帳）データプラットフォーム企業である。本企業は、70カ国以上の政府機関、取引所、金融機関、保険会社、サイバーセキュリティ企業にデータ、ソフトウェア、サービス、および研究を提供している。本企業のデータは、世界で最も注目を集めている刑事事件のいくつかを解決し、消費者の暗号通貨へのアクセスを安全に拡大するために使用されている調査、コンプライアンス、およびマーケットインテリジェンスソフトウェアを強化している。(Chainalysisの英字HPを仮訳)

(注2) マンディアント(Mandiant)は、サイバーセキュリティの最前線で培った脅威インテリジェンスと専門知識のマーケットリーダーとして、世界中の企業、政府、法執行機関から認められている。すべての組織が自信を持ってサイバー脅威に備えられるように、MandiantはMandiant Advantage SaaSプラットフォームを通じてインテリジェンスと専門知識を拡大し、最新のインテリジェンス、アラート調査の自動化、さまざまなベンダーのセキュリティ制御製品の優先順位付けと検証を提供している。(MandiantのHPを仮訳)

(注3) LinkedInは、世界最大級のビジネス特化型SNS、および同サービスを提供するシリコンバレーの企業である。ウェブサイトやモバイルアプリを介し利用することが可能である。2003年5月5日のサービス開始後、アメリカ合衆国を始め、世界各国で普及し、2022年4月現在、登録メンバーは7億5千万人を超す。(Wikipedia から抜粋)

(注4) CP&RMセンター解説「国際緊急経済権限法（International Emergency Economic Powers Act/ IEEPA）」の解説が詳しい。

*********************************************************

Copyright © 2006-2022 宮沢俊雄(Toshio Miyazawa )．All Rights Reserve．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．