6億ドルのハッキング被害でも驚かない、暗号資産の危うい現状
北朝鮮のハッカー集団によると見られる暗号資産窃盗事件が発生した。被害額は6億ドル以上という巨額の窃盗事件だが、暗号通貨の世界では1億ドル以上の事件が多発している。 by Patrick Howell O'Neill2022.04.19
米国連邦捜査局(FBI)は4月14日、暗号資産プラットフォーム「ローニン・ネットワーク(Ronin Network)」で2022年3月に発生したハッキング事件について、北朝鮮政府が運営する手練れのハッキング組織である「ラザルス・グループ(Lazarus Group)」の関与を明らかにした。
ラザルス・グループは6億2000万ドル相当の暗号資産イーサリアムを盗み出した。普通の窃盗事件の話であれば目を引くような金額だ。だが、暗号資産という未開拓な世界では、過去1年間にハッカー集団によって1億ドル以上の暗号資産が盗み出される巨額の窃盗事件が8件発生している。ローニンに対するハッキング事件は、そのうちの1つに過ぎない。
ブロックチェーン分析会社「チェイナリシス(Chainalysis)」のキム・グラウアー調査責任者は、「物事があまりにも速く進みすぎて、ついていけなくなっています」と指摘する。「ハッキングされるかもしれない、あるいはすべてがゼロになるかもしれないというリスクを、人々は投資戦略に組み込むようになっています」。
チェイナリシスによると2021年、犯罪ハッカー集団は暗号資産を約32億ドル盗みだした。この額は、2020年に盗み出された額の6倍以上だ。ちなみに2020年には、少なくとも1億ドルの暗号資産が盗み出されるハッキングが6件、数千万ドル規模の小規模なハッキングが数十件発生した。
そして2022年は、大きなニュースとなるハッキング事件でスタートを切った。1月、新しい非中央集権型金融プロトコルである「キュービット・ファイナンス(Qubit Finance)」が攻撃を受け、8000万ドル相当を盗み出されたのだ。暗号資産について発信する匿名のブログ『Rekt.News』 がこの事件を伝えた際、ブログの筆者は巨額ハッキング事件の猛烈な発生ペースについて、奇妙な感覚を覚えたようだ。「来週になったら、誰がこの盗難事件を覚えているのでしょうか?」とブログに書き添えている。
彼の問いは、先見の明のあるものだった。週が明ける前にも、ハッカー集団が不適切に適用されたセキュリティ修正プログラムを悪用し、暗号資産プラットフォーム「ワームホール(Wormhole)」から、3億2500万ドル相当もの暗号資産を盗み出した。
なぜ、このようなことが続くのだろうか? ビジネスがすばやく立ち上がる暗号資産業界ではセキュリティが後回しにされがちで、詐欺が横行している。さらに、投資家らはさまざまな新規投資のリスクについて、精密に分析しないことが多い。
「暗号資産業界は急速に成長しています」とグラウアー責任者は話す。「新たなビジネスがオンラインに登場する機会は非常に多く、人々は前例のない速度で投資を実行しています。さらに、構造があまりしっかりしていないプラットフォームや、管理が十分と言えないプラットフォームにも彼らは投資しているのです。50種類ものプロトコルやトークンに投資して、そのうちの1つの価格が急騰することを期待するというのは、よくある投資戦略でしょう。でも、50種類すべての投資先に対して適切にデューデリジェンスをするにはどうしたらいいのでしょうか?」
普通の回答はこうだ。「すべての投資先のデューデリジェンスなど諦める」。
オープンソースのコードを実行しているチームの管理が不十分なことは、暗号資産(や他の分野)ではよくあることだ。ハッカー集団はそれを知っていて、莫大な金額の暗号資産を盗み出しているのだ。
2月に発生した、ブロックチェーンをつなぐ「ブリッジ」を提供する非中央集権型金融(Decentralized Finance:通称DeFi)プラットフォーム「ワームホール(Wormhole)」のハッキングでは、重大な脆弱性を修正するオープンソース・コードが本番アプリケーションに適用されなかったため、ハッカーの攻撃を受けた。最初にコードが書かれてから数週間後、ようやくギットハブ(GitHub)の公開ページにコードがアップロードされた。しかし、本番アプリケーションは更新されず、ハッカー集団は先にセキュリティコードを発見してしまったのだ。この脆弱性は数時間のうちに悪用された。
以前、暗号資産の盗難と言えば、中央集権的な取引所から盗まれる例が最大の被害だった。チェイナリシスによれば、この種の犯罪の被害総額は現在でも5億ドルほどあるものの、DeFiプラットフォームから盗み出される暗号資産の総額は2021年にはおよそ25億ドルにも達しており、それに比べれば微々たるものになっている。
スマートコントラクトに類似した概念であるDeFiは、透明性とオープンソース・コードをそのイデオロギーとしている。しかし、実際には、数百万ドル規模のプロジェクトが、テープや糊付けで組み立てられたように非常にもろい状態であるということが多い。
「DeFiがハッキングされやすくなっていることには、いくつか原因があります」とグラウアー責任者は説明する。「まず、コードがオープンになっています。誰でもバグを探しができます。これは、中央集権的な取引所には起こらない大きな問題だと考えています」。
「バグ報奨金プログラム」とは、企業がハッカーらに報酬を支払い、セキュリティ上の脆弱性を発見・報告してもらうもので、この業界が利用するツールの一つとなっている。また、暗号資産企業のもとにさっとやってきて、プロジェクトにお墨付きを与える「暗号資産監査会社」も小規模ながら産業となっている。しかし、史上最悪の暗号資産のハッキング事件をざっと見てみると、監査は特効薬ではなく、ハッキングが実際に起こった際には、監査人や承認されたプロジェクトにほとんど何の説明責任もないことが多い。ワームホールは、盗難の数カ月前にセキュリティ会社ネオジム(Neodyme)による監査を受けていた。
これらのハッキング事件の多くは組織化されている。北朝鮮は長い間、世界の伝統的な経済から大きく切り離された政権の資金調達のために、ハッカーを使って資金を盗んできた。特に暗号資産は、北朝鮮にとって金鉱のようなものだ。北朝鮮のハッカー集団は近年、数十億ドルを盗み出している。
暗号資産を狙うハッカー集団のほとんどは、ならず者国家に資金を提供しているわけではない。それよりも、すでに強固な存在となったサイバー犯罪のエコシステムが、弱い標的に対して日和見的な攻撃を仕掛けているだけなのだ。
サイバー犯罪の王者を目指す者にとってより困難な課題は、盗んだ暗号資産を上手に資金洗浄し、コードから実際に有用なもの、例えば現金や、北朝鮮の場合は武器に変えることである。そこで出番となるのが、法執行機関だ。ここ数年、世界中の警察がブロックチェーン分析ツールに多額を投資しており、盗まれた暗号資産を追跡し、場合によっては盗まれた暗号資産の回収まで手がけている。
その証拠に、最近発生したローニンのハッキング事件が挙げられる。FBIは暗号資産の窃盗事件から2週間後、盗まれた通貨を保管していた暗号ウォレットと北朝鮮を結びつけ、米国の制裁リストに追加したのだ。もっとも、これによって賞金の引き出しは難しくなるが、不可能ではない。新しい追跡ツールによって一部のハッキングは明らかになり始めているが、盗み出された資金の回収や投資家への返還に至った例はまだ多くはないのも現実だ。
米国内国歳入庁で暗号資産事件を専門としていたクリストファー・ジャンチェフスキ主任調査官は以前、MIT テクノロジーレビューに対し、「マネーロンダリング(資金洗浄)は、ハッキング自体よりも洗練されていると思います」と語っている。
少なくとも今のところ、大きなリスクは暗号資産ゲームの一部であることに変わりはない。
- 人気の記事ランキング
-
- What’s on the table at this year’s UN climate conference トランプ再選ショック、開幕したCOP29の議論の行方は?
- Google DeepMind has a new way to look inside an AI’s “mind” AIの「頭の中」で何が起きているのか? ディープマインドが新ツール
- Google DeepMind has a new way to look inside an AI’s “mind” AIの「頭の中」で何が起きているのか? ディープマインドが新ツール
- This AI-generated Minecraft may represent the future of real-time video generation AIがリアルタイムで作り出す、驚きのマイクラ風生成動画
- パトリック・ハウエル・オニール [Patrick Howell O'Neill]米国版 サイバーセキュリティ担当記者
- 国家安全保障から個人のプライバシーまでをカバーする、サイバーセキュリティ・ジャーナリスト。