コンテンツにスキップする

「ラザルス 世界最強の北朝鮮ハッカー・グループ」を読んだ

投稿時刻2023年10月18日 15:34

ラザルス 世界最強の北朝鮮ハッカー・グループ」を 2,023 年 10 月 17 日に読んだ。

目次

メモ

p19

少なくとも二〇一五年以降は銀行をターゲットに定め、難解な国際送金の世界に精通し、数億ドルもの資金を盗み取ってきた。
北朝鮮が制裁に違反するのを監視する国連安全保障理事会 (UNSC) の研究者は、二十一の銀行で発生した襲撃について北朝鮮が関与していると結論づけている。
UNSC の二〇一九年報告書では、攻撃を受けた金融機関がリストアップされ、送金方法やどのように資金洗浄されたのかが詳述されている。
報告書で明らかにされているのは、ハッカーたちの目もくらむような実態であり、彼らのオンライン活動は、いともたやすく地球を一周していく印象を与えている。
南アフリカの銀行に侵入して口座情報を盗み出すと、その情報をもとに日本で使用するキャッシュカードを偽造。
チリの銀行に潜入すると、香港の銀行口座に資金を移動させ、その間、何千台ものコンピューターをクラッシュさせて行員たちの注意をそらしていた。
マルタ島の銀行から資金を動かすと、数時間後にはその資金を引き出し、イギリスでロレックスやスポーツカーを購入する。

終わっていない戦争 p34

朴志賢が語る子供のころの夏の思い出は、多くの人たちが胸に大切にしまってきた、輝く陽の光に彩られた回想のようにも聞こえる。
中国との国境に近い北朝鮮の主要都市清津で朴志賢は育った。
一方に山があり、もう一方には海が広がっている。
学校から帰ってくると、友だちといっしょに近くの農地を流れる川へと向かい、そこでトンボをよく捕ったものだという。
「北朝鮮では夏になると、毎年たくさんのトンボが飛んできます。どれだけ捕まえたか、よく競争したものです。羽を指ではさんで、一匹、二匹と数えていました」

のどかに聞こえる話だが、しかし、朴志賢の河原への遠出は、世界を知りたいと胸躍らせる少女の無邪気な自然観察ではなかった。
彼女たちをトンボ捕りに駆り立てていたのは、子供たちには決して経験させてはならない、胸が張り裂ける思いにさせるような事情だった。

「捕まえたトンボの頭をちぎると、それから食べていました。私たちにとってトンボは食べ物でした。それほどお腹を空かせていたんですよ」
話を聞いて呆然とした私は、思わずどんな味がしたのかと聞いていた。
「覚えていません。ただただ、ひもじかった」

p44

北朝鮮の国民はいまも、「核心階層」「動揺階層」「敵対階層」の三階層に分類されている。
これらの言葉は本章の冒頭で紹介した朴志賢幼いころ、故郷の清津市の近郊で食べ物を探しまわっていたあの女性が私に説明する際に使っていた言葉だ。
しかし、さらにグロテスクなユーモアを帯びた言葉で説明する者もいる。
「トマト」「リンゴ」「(緑色の)ブドウ」の三語である。
なかまで赤い「トマト」は立派な共産主義者、表面は赤いがなかは赤くない「リンゴ」は思想的な改善が必要とされ、「ブドウ」にいたってはもはや話にならないほど絶望的だ。

性に執着した国家主席 p50

そうした一方で、金日成は家父長的指導者から性的搾取者へと化していった。
若い女性や女子学生を選抜し、ホステスと性奴隷の軍団としか言いようのない組織に彼女たちを送り込んでいた。
国のいたるところにある自身の邸宅に女性や少女を住まわせていたが、こんなやり方でおのれの欲望にふけった独裁者は決して金日成がはじめてではない。
だが、不幸なことに、この国の最高指導者の場合はその規模が違った。
推定では毎年二〇〇〇人もの女性や少女がこのシステムに呑み込まれていったという。

p53

それでもなお、金正日の権力継承の瞬間は、新たな指導者にとって、最大の危機の瞬間だったはずだ。
どれほど下準備を整えていたにせよ、息子が権力を継承する必然性に対して、異を唱える者が現れる可能性があったのだ。
勢力を持つ何者かが金王朝の存続を転覆させ、王位を簒奪する機会をねらっているかもしれなかった。

強制収容所のおぞましい日々 p55

つねに空腹にさらされていると、やがて食べ物に関するあらゆることは強迫観念になってしまう。
脱北から十七年が経過したいまでも、朴志賢は母親が配給所で食糧を受け取れた月に二度の日にちをすぐに思い出すことができる。
「四日と十九日です」。

公式には、労働者には一日七〇〇~九〇〇グラム、学生は四〇〇グラム、主婦には三〇〇グラムの穀物が配給されることになっており、
そのうちの約三〇パーセントが米で、残りは栄養価の低いトウモロコシだった。
しかし実際には、年とともにその量は減っていき、ついには食糧配給カードに記載された数字とは似ても似つかないものになっていた。

野菜売り場はもっとひどかった。
「運ばれてくると、われ先にと殺到です。戦争でした。大声があがり、野菜を奪い合ってケンカです。いつも量が足りませんでしたから」

北朝鮮のような耕作に不向きな土地で作物を育てるには、大量の肥料とともに、電動ポンプを備えた灌漑システムがどうしても欠かせない場合が多い。
実際には、自然の恵みを人工的な化学物質と機械で補うので、土地にもかなりの負担をかけてしまう。
こうした難題を踏まえると、そもそも北朝鮮が食糧自給国になること自体、かなわない夢にほかならなかった。

しかし、それで立ち止まる金正日ではない。
チュチェ思想に忠実だった二代目の国家主席は、丘陵地で農業を営むことを国民に勧めた。
それは、金正日ならではの素朴な現場主義の知恵ではあったが、その結果は惨憺たるものだった。
丘陵地は伐採されて農地にされたものの、棚田にはされておらず、傾斜地という危険な状態のままで置かれていた。

p59

北朝鮮ウォッチャーたちは、この国が直面している苦境とそれに対する金正日の対応に恐怖を覚えていたが、同時に混乱もしていた。
経済崩壊は避けられないと思われるにもかかわらず、この国はどうやって持ちこたえているのか。

平壌から数千キロ離れたワシントンDCのオフィスにいたデイビッド・アッシャーもそうした疑問を抱いていた一人だった。
当時、アッシャーは国務省の北朝鮮作業部会の上級顧問として北朝鮮経済の実態を調べていたが、金正日政権の財政的な回復力についてますます困惑を深めていた。
「北朝鮮経済は基本的に崖っぷちすれすれに追い込まれていた―つまり、完全な破産に近い状態だった」とアッシャーは言う。

「にもかかわらず、インフレが起きていない。いったいどうやってインフレを回避しているのか?
そんな疑問が当然わいてくる。貿易赤字も巨大で、十年以上にわたって膨らんできた。
それにもかかわらず深刻なインフレの兆候はうかがえず、それどころか、まったくと言っていいほどインフレが起きていない。
つまり、彼らはどこかで資金を調達していたことになる」

見事な問い立てだ。
そして二〇〇〇年代、アッシャーたちはその疑問をさらに掘り下げ、ついに答えを発見する。
だが、彼らはその答えに目を疑った。

自縄自縛におちいり、絶望的な財政難にあった北朝鮮は、なんとも異様な方法で資金不足を解決していた。
チュチェ思想という自立を説く原則に、なんとも奇妙な曲解を加えることで、無限の可能性を秘めた不正な資金源をたくみに作り出していたのだ。
北朝鮮は事実上、紙幣を印刷するライセンスをみずからに与えていた。
もちろん、通貨発行権はあらゆる国家が有している。
しかし、北朝鮮が違っていたのは、自国通貨だけでなく、他国の通貨も発行していた点だった。

p62

事の始まりは一九八九年だった。
フィリピンの中央銀行の現金処理係が、一枚の一〇〇ドル札に何か違和感を覚えた。
紙幣の手触りか、それとも印刷の様子からうかがえる違和感だったのかもしれない。
何千枚もの紙幣に手を触れてきた経験があれば、怪しい紙幣を見分ける第六感が働くようになると言う専門家もいる。

p71

そして男は、奇跡的な出来映えの紙幣を流してくれた人物に、新しい共犯者をつないでくれた。
捜査官の一人は、その窓口の人物であるテレンス・シルコックは、「生まれついての犯罪者で、どんな犯罪にでも手を染める」タイプの人間だと評していた。
シルコックは、バーミンガムの「ドッグ」というパブで二人に会った。
偽札作りの任務は当初、北朝鮮の専門家によって厳重に管理されて進められていたと脱北者は語っていたが、この時点で状況はすでに大きく変化していた。

警察の監視下に置かれると、シルコックには変わった習慣があることがわかった。
イギリス本土かアイルランドへ渡航する際、飛行機を予約していながら、飛行機には搭乗せず、フェリーを使って帰国していたのだ。
理由はすぐに判明した。
彼は数十万ドルのスーパーノートをイギリスに持ち帰っており、どうやら、空港よりもフェリーのターミナルのほうがセキュリティは手薄だと考えていたようである。

p77

事件はやがて模造煙草の枠を超え、盗難車や衣服や銃器へと広がり、そのなかにはバイアグラなどの偽の医薬品も含まれていた。

依頼はさらに続いた。
組織から頼りにされるにつれ、ますます大きな仕事がハマーに任されるようになる。
ある日、とんでもない話を持ちかけられた。
その話は、ハマーがかかわる組織が、実は平壌政府と密接に関係している事実を示唆していた。
覚醒剤の製造拠点を北朝鮮で作ってほしいと頼まれたのだ。
計画では六〇〇キロの覚醒剤を製造することになっている。
取り分は組織が三分の一、ハマーが三分の一、北朝鮮政府が三分の一という話だった。

「北朝鮮なら、覚醒剤を確実に製造して、まちがいなく国外に持ち出せるだろう。
そのためには製造工場を北朝鮮に作らなくてはならない。
工場は洗濯洗剤の工場として使われるということになった。
私の捜査担当者が麻薬取締局 (DEA)の職員に話すと、洗濯洗剤を作る設備で覚醒剤が製造できるそうだ。初耳だった」

p81

なかには、このような偽造そのものを疑問視する声もある。
一ドル札をかき集めて漂白し、100ドル札と変わりない。
本物の用紙を作っていたと脱北者は説明していたが、新紙幣でそれが可能かについては、専門家は異を唱えている。
合衆国製版印刷局 (BEP) の元職員に聞いた話だと、新紙幣のありがたみは刷り込まれたマイクロプリントにあり、
マイクロプリントは漂白しても消去されず、どれだけ優れた技術で印刷しても、その札が再印刷したものであることが露呈してしまうという。
この話が本当なら、北朝鮮は別の方法で適性紙を入手してきたか、あるいは自作してきたことを意味する。

p91

北朝鮮の人びとの大半は、インターネットを利用することができない。
ブロードバンドのプロバイダーや携帯電話のキャリアに連絡して、ネットに接続するという、私たちの多くが当たり前のようにやっているインターネット通信の仕組みが、この国では選択肢として存在していないのだ。

しかし、この国のあらゆる人間がデジタルライフから遮断されているわけではない。
北朝鮮でも社会のある階級は、コーエンや彼の同僚とまったく同じようにテクノロジーを好きなように使うことができた。
金正日が使っていた専用列車を訪ねたとき、コーエンはその事実を知った。
「巨大な専用列車で、車内は金正日総書記のために調度されていた。
そこに置かれていたのが銀色に輝く、すばらしいマックブックだった」

p92

このときのネットブームのきっかけは、金正日の子供たちだと太永浩は考えている。
金正日は子供たちを国外─主にスイスに留学させていた。
子供たちが外の世界で起きているデジタル革命に熱をあげ、そのまま北朝鮮に帰っていったと太永浩はにらんでいる。
「彼らこそ、父親を啓発する役目を果たしていたはずだ」

p105

サーバーは一定のリクエストに対応できるように設定されているが、アクセスが集中しすぎると停止してサイトは利用できなくなる。これがDDoS攻撃だ。
この攻撃はデジタルの座り込みに例えられることもあり、一部の技術系セキュリティの専門家のあいだでは、ハッキングとしてほとんどカウントされていない。

北朝鮮のサイバー攻撃と疑われる事件のほとんどは、二〇一三年まで大半がこのような不正アクセスで、韓国の政府機関や大企業のウェブサイトがネットから切断されていた。
時には嘲笑的なメッセージに書き換えられた例もあったが、ほとんどの場合、それらの不正アクセスは短時間にすぎず、サイトのサーバーは間もなく復旧していた。
だが、二〇一三年三月の攻撃はまったく違っていた。
この日の攻撃はいくつかのサイトをダウンさせるものではなく、それまで以上に組織化されており、
攻撃者たちは、主要機関のコンピューター・ネットワークを内部から破壊できることを韓国に見せつけるために行っていた。

彼らが使っていたウイルスは、ハードディスクなどの記憶装置のマスターブートレコード (MBR) と呼ばれる部分に攻撃をしかけるもので、
ここを攻撃することはコンピューターの心臓を標的にするようなものである。
コンピューターの電源を入れると、最初に何をすべきか、どこに OS (たとえばマイクロソフトのウィンドウズなど) があるかを MBR が指示し、それによってほかのすべての機能が動き出す。
MBR を稼働させることは、暗い部屋に入ったときに電気のスイッチを入れるようなものだと言っていいだろう。
その MBR をウイルスに感染させてしまえば、事実上、コンピューターは起動できなくなってしまう。
ハッキングは野火のように広がった。
二〇一三年三月二十日水曜日午後二時、韓国の二つの大手銀行と三つの大手テレビ局で合わせて三万二〇〇〇台のコンピューターがデジタルの闇に沈んでいった。

p106

軍事の世界には、セキュリティの専門家が「五つのD」と呼ぶものがある。
侵略者が敵に対して使える一連の戦略――「禁止」 (Deny) 、「妨害」 (Disrupt) 、「矮小化」 (Degrade) 、「攪乱」 (Deceive) 、「破壊」 (Destroy) の五つである。
二〇一三年の韓国を標的とした攻撃は、「五つのD」のいずれにおいてもまさしく頂点に達していた。
もはやDDoS攻撃のように、サイトが数時間利用できずにいらだつ程度の問題ではなくなっていた。
被害を受けた機関の職員は真っ黒になったモニターの前で、困惑して座っているしかなかった。
ウイルスに感染したコンピューターのソフトウェアは、一台一台入念に再構築しなくてはならなかった。

p121

『ザ・インタビュー』のキャンペーンが本格化するにつれ、出演俳優や撮影クルーのなかには公開しているフェイスブックに奇妙なメッセージを目にする者が現れるようになった。
メッセージには「超有名人のヌード写真満載!」と書かれており、アンドソン・デイビッドと名乗る人物が投稿していた。
当時、このメッセージはそれほど奇妙とは思われなかったのかもしれない。
その数ヵ月前、「ファプニング」として知られる著名人のプライベート写真の大量流出事件が起きていたからである。
アンドソン・デイビッドのリンク先から素材をダウンロードした者は、実際に女性モデルの写真が入ったスクリーンセーバーを受け取ったものの、知らないうちにウイルスにも感染していた。
映画のキャストやクルーにはこの策略にだまされた者はいなかったようだが、ハッカーにとってそれは問題ではなかった。
フェイスブックに投稿された偽のメッセージは、ソニー・ピクチャーズのシステムに侵入しようと躍起になっている犯人が共同で行っていた、多方面作戦のひとつにすぎなかったからである。

二〇一四年十月十五日、ソニー・ピクチャーズの社員もクリスティーナ・カーステンと名乗る女性からメールを受け取っていた。
丁重な言葉遣いで書かれたメールで、「貴社のご採用の件について」という表題が添えられていた。
本文には「私は南カリフォルニア大学の二年生で、デジタル作品のグラフィックデザインにとても興味があります」と書かれており、ソニー・ピクチャーズに連絡を取るよう勧めてくれた人物の名前も記されていた。
メールには、彼女の履歴書と作品がダウンロードできるリンクが貼られていた。

ただ、このメールがなぜこのタイミングで送られてきたのかはいまもって不明だ。
というのも、ハッカーはすでに数週間前の時点でソニー・ピクチャーズのシステムに侵入していたからである。
九月二十五日、ネイサン・ゴンザレスと名乗る人物がソニー・ピクチャーズの社員にメッセージを送ってよこし、
そのメールには広告キャンペーン用のビデオファイルをダウンロードするリンクのようなものが貼ってあった。
このリンク先にもやはりウイルスが仕込まれていた。
そして、ハッカーは望みを果たした。
社員の誰かがそのファイルをダウンロードして、心ならずして、心ならずも悪意のあるソフトウェアをインストールしてしまったのだ。

ハッカーたちはようやくソニー・ピクチャーズのコンピューター・ネットワークに侵入することができた。
さらに彼らは何週間もかけ、発見されないようにコンピューターからコンピューターへと用心深く移動していき、
データを盗んだり、さらにウイルスを広げたりして、大詰めを迎える準備を着々と進めた。
そして、二〇一四年十一月二十四日、ついにハンマーを振り下ろしたのである。

p142

捜査を進めていくうえで、こうした事実はいずれもきわめて都合がよかった。
フェイスブックやツイッターをはじめ、ソーシャルメディアの各社は言うまでもなくアメリカを拠点にしている。
つまり、裁判所命令を申請すれば、FBIはこれらの企業に情報提供を求めることができる。
調査の結果、これらのアカウントはグーグルが提供するGメールのアドレスで設定されていることが判明、FBIはさらに多くの令状が申請できるようになった。
最終的におよそ一〇〇〇通の電子メールとソーシャルメディアのアカウントに対し、約一〇〇通の捜査令状が出されている。

p146

金正日が考えていた映画の影響力は、国内のプロパガンダだけにとどまらなかった。
世界という舞台で自国の評判を高める手段として利用できると考え、それを実現するために信じがたいほどの労力を費やしていた。
一九七八年には韓国でもっとも有名な映画監督だった申相玉と申の元妻で女優の崔銀姫を拉致してくると (二人は拉致後に再婚) 、申に対して国際的な賞を獲得できる映画を作るように命じた。
最終的に二人は北朝鮮から脱出、その際、映画に対する金正日の情熱を裏づけるカセットテープをひそかに持ち出していた。
そのテープのなかで、金正日は映画産業に対する自分の計画についてながながと語り、公邸という公邸に映写機を常備し、大半の夜は映画鑑賞に費やしていると話している。

処刑される高官たち p148

『ザ・インタビュー』が公開されたのは、金正恩が最高指導者に就任してまだ三年目のことだった。
就任から日が浅いというだけではなく、金正恩は父親が向き合う必要がなかった数々の不利な条件を抱えていた。
金正日の場合、この国の支配階級は何十年もの時間をかけて、彼が権力者にのぼりつめお膳立てを整え、まぎれもない次の偉大な首領として国民に浸透させていく余裕があった。
しかし、金正恩のときにはそのような準備期間はなかった。
北朝鮮の大半の国民は、金正恩が政権を継承したときにはじめてその名前を耳にした。
そのため、後継者として金正恩が抱えていた不安は、父親以上に大きいものだった。

p158

第一章でも触れたように、SWIFTは金融機関が送金のリクエストを送受信するための仕組みで、ソフト自体は銀行や主要な金融機関しか利用できない。
また、金融機関のコンピューター・ネットワークにアクセスしなければ使えず、ネットワークには銀行の正規の従業員以外はタッチできない前提があり、このサービスが信用できる根拠の大半を占めている。
しかし、ハッカーがそのネットワークに侵入し、さらに金融機関の従業員を装っていたとしたらどうなるだろう?

これがアスタナの考えついたシナリオだった。
ニューヨークの連邦準備銀行に送られた支払指図書はSWIFTを使って発行されている。
何者かが三五件の指図書を送っていたのだ。
送金総額は九億五一〇〇万ドル、バングラデシュ銀行が連邦銀行の口座に保有する全残高に相当した。
さらに言うなら、銀行をハッキングした人間はSWIFTの扱いにも精通していた。
ある捜査官から聞いた話では、「まるで銀行の出納業務担当者のようにコンピューターの前に座り、送金作業を行っていた」という。

SWIFTは誰もが扱ったことがあるようなプログラムではないものの、この事件のハッカーはまるでベテラン行員のように使い方に通じていた。
銀行を襲ったのは明らかにプロのハッカーだった。彼らは細心の注意を払ってこの収奪を計画していた。

p162

SWIFTを使った送金は、たとえば < 〇〇銀行の口座番号123456789 > のジェフ・ホワイトに一〇億ドルを送金してください」と伝えれば済むほど簡単な話ではない。
まず、送金元の銀行と送金先の銀行とのあいだに取引関係があるかどうかを確認する必要がある。
提携関係がなければ、双方と関係のある仲介銀行を経由して送金しなくてはならない。

裏の裏をかく戦術 p164

一〇億ドル収奪計画のちょうど一年前の二〇一五年一月二十九日。
バングラデシュ銀行とダッカにある大手銀行数社の従業員は、 <yardgen@gmail.com> というアドレスの就職希望者から、丁重な言葉で書かれたメールを受け取っていた。
メールは次のように書かれていた。

私はラセル・アラハームという者です。
御社の一員に加われると考えただけで、胸弾む思いを覚えております。
個人面接を通じて、私についてさらに詳しくご説明できる機会をいただけることを心から期待しております。
以下は履歴書と添え状です。
お時間とご配慮を賜ることができれば幸いに存じます。

メールにはアラハームの職務経歴書をダウンロードできるサイトのリンクが貼られていた。
そして、クリックした者は誰も知らないうちにウイルスまでダウンロードしていた。
メールは、ソニー・ピクチャーズエンタテインメントをはじめ、サイバー犯罪で無数の被害者を確実にだましてきたフィッシング攻撃だった。
コンピューターが適切に保護されていなければ、悪意あるダウンロードで被害者はハッカーの餌食にされる。
そして、少なくともバングラデシュ銀行の一人の行員がこの策略にはまり、ウイルスをダウンロードしてしまった。
だが、ハッカーは即座に大金を手に入れていたのだろうか。
実はそうではなかった。

金を盗み出す手はずを整える前に、ハッカーたちはいくつかの難題に直面していた。
まず、感染させたコンピューターの使用者が電源を落とした場合はどうするのか?
電源が切断されればウイルスコードが止まり、ハッカーはコンピューターから閉め出される。
そこで彼らは《ネストエッグ》 (Nestegg) というウイルスをしかけた。
バングラデシュ銀行への不正アクセスでは、謎めいた名前を持つ一連のウイルスが使われていたが、そのなかで最初に使われたのがこのウイルスだった。
《ネストエッグ》は技術者が「持続的アクセス」と呼ぶもので、被害者がコンピューターを再起動してもウイルスはそこに常住し、バックグラウンドでこっそりとプログラムを実行する。

彼らは次の難題に取りかかった。

ハッカーが最初に侵入したコンピューターは、十中八九、人事部に所属する行員のコンピューターだったはずだ。
フィシングメールは、採用志願者を装って人事部に送りつけられる可能性が高いからである。
だが、人事部の人間は一般にその会社の金庫にはアクセスできない。
そこでハッカーは、バングラデシュ銀行のコンピューター・ネットワークを経由して、行内の資金を管理するコンピューターにアクセスして金を盗み出さなくてはならなかった。

その際に使われていたのが、のちに捜査官が《シエラチャーリー》 (SIERRACHARLIE) と名づけたソフトだった。
このソフトを使えば、同じネットワークに接続されているほかのコンピューターをスキャンし、それらのコンピューターにも接続できる。
ハッカーは銀行のシステム内を四方八方に散開することが可能になり、コンピューターからコンピューターに移動して目的を達成できる。

最後の課題は、銀行のITチームに気づかれずに、これらの作業をすべて行うことだった。
ハッカーはそのために、《マックトラック》 (MACKTRUCK) と名づけられた別のツールを導入した。
このツールの役割は、感染したコンピューター同士のあいだで暗号化されたオンライン通信のチャネルを作成することだった。
主システムに従属するスレーブ・マシンにコマンドを送ることで、行内のデータが引き出せるようになった。
すべては暗号化された状態で行われ、何が起きているのか銀行のスタッフには特定できない。

こんなふうに説明すると、ハッキングの一連の手順は、経験豊富な技術者にとって比較的容易な作業のように思えるかもしれない。
だが、実態はまったく異なる。
ハッカーは神のような全能の力を持ち、組織内のコンピューター・ネットワークを瞬時に把握して、意のままに攻撃できるという神話が世間の一部で信じられているが、現実はまるで異なる。
ほとんどの場合、ハッカーが侵入するのは本人も知らない環境で、捕まる危険を冒しながら慎重に行動しなければならない。
真っ暗な闇に閉ざされた暗い家のなかに、弱々しい懐中電灯一本で放り込まれた泥棒のようなものである。
いつ何かにぶつかって、警報が鳴り出すかわかったものではない。
気が抜けない緊張をはらんでいる。
「言うまでもないが、ハッキングの最大のリスクは発見されることだ。だから可能なかぎり身を潜め、見つからないようにしている」とエリック・チェンは言う。
チェンがそう言えるのは、彼は世界でももっとも有名なセキュリティ研究者の一人であるからだ。

p167

そして、一台のコンピューターを乗っ取ったあと、そのコンピューターを使って彼らが一足飛びにネットワークに侵入していった手口を明らかにした。
「彼らはあるマシンにアクセスし、基本的にそのマシンで追加の認証情報――ほかのユーザー名やパスワード――を探した。
そして、その認証情報を使い、 (コンピューターに) 『このマシンに接続されているのはどのマシンか』と問い合わせていた。
さらに新しいマシンの認証情報をもとに、あるマシンから別のマシンへと飛び移っていった。
こうした作業が何度も何度も繰り返されていた」

チェンの説明では、「重要度の低いコンピューターから重要度の高いコンピューターへと移動した時点で、最初のコンピューターへのアクセスは不要になる。
必要がなくなったコンピューターに残されたウイルスは消去されていったので、彼らの追跡は難しくなる一方だった。
たとえ何十台、何百台のコンピューターが感染していても、その時点で感染して活動しているのは二~三台のマシンだけだったかもしれない。
バングラデシュ銀行の情報セキュリティチームは、あるマシンが感染していたのを発見しても、『もうだいじょうぶ』と思い込み、攻撃者がまだネットワーク内に潜んでいる事実に気づけなかったのかもしれない」。

書き換えられたアクセスコード p168

ハッカーの最終目標は、SWIFTを制御するコンピューター、つまり事実上の金庫の鍵であり、彼らの巨額の送金要求を可能にするコンピューターの支配にほかならなかった。
最初のフィッシングメールを送ってからちょうど一年後の二〇一六年一月二十九日、彼らはついに大当たりを出し、SWIFTの端末にアクセスすることができた。
銀行が保有する一〇億ドルまであともう少しだ。
だが、ここで問題が発生する。
バングラデシュ銀行では、SWIFTによる取引は残らずコンピューター・システムに記録されていることに彼らは気づいた。

これは大きな問題で、チェンが指摘するように、「国際送金が行われている最中に行員に気づかれでもしたら、送金がブロックされたり、送り返されたりする可能性がある。
相手銀行にSWIFTのメッセージを送り、『この取引をキャンセルのうえ、送金したぶんは返金してほしい』と連絡することもできる」。
言うまでもなく、 そんなリスクをハッカーは負いたくない。

行内に残る彼らのデジタル記録を削除し、痕跡が残らないようにしなければならなかった。
そのためには、バングラデシュ銀行のシステムにあるSWIFTのソフトウェアをハッキングし、コードを変更しなければならない。
複雑な作業のように思えるかもしれないが、実は驚くほど簡単で、方法そのものはきわめて洗練されたハッキング技術のひとつと言えるだろう。

p176

FBIはその後、 (yardgen@gmail.com) のアカウントで、映画の俳優の一人に宛てたスピアフィッシングを発見、メールはフェイスブックのログインアラートを装っていた。
さらにそのアカウントがアンドソン・デイビッドのアカウントにリンクしていた事実を突き止めている。
アンドソン・デイビッドは、『ザ・インタビュー』の関係者をだまし、ウイルスに感染したセレブのヌード写真をダウンロードさせようとしていたあの人物だ。

p190

中国で活動する北朝鮮のコンピューターの専門家に気づいていたのは、マークとFBIだけではない。
北朝鮮から逃げ出す前、李賢勝はビジネスマンとして成功を収め、幅広い人脈にも恵まれ、まちがいなくこの国の支配層に属する一人だった。
生まれは平壌だが、大連で何年も勉強と仕事をして過ごしてきた。
大連には前述した朝鮮エキスポがあり、北朝鮮の高官だった李の父親もこの港町で何年も暮らしてきた。
大連では若い技術者たちとの親交を深め、祝祭日には彼らといっしょに遊んでいた。
BBCワールドサービスのポッドキャスト「ラザルス・ハイスト」の共同司会ジャン・H・リーが彼に質問したところ、若い技術者たちが大連でどんな生活を送っていたのか、垣間見る機会があったと答えている。
「コンピューターを教えてもらおうと、彼らのアパートに何度か行ったことがある。
総勢二〇人ぐらいが同じ住居に住んでいて、一部屋当たり四人から六人で暮らしていた。
リビングルームをオフィスのように使い、すべてのコンピューターはそこに置かれていた」

リビングルームに置かれたコンピューターを使い、彼らは何をしていたのかというリーの質問
本は合法的なITプロジェクトに取り組んでいたと答えている。
「当時は携帯電話用のゲームを作っており、ブローカーを通じて日本や韓国に売っていると話していた。
年間一〇〇万ドルほど稼いでいると言っていた。たった二十人の人間でだ」

なるほど、北朝鮮のプログラマーを雇うことに目をつぶる (あるいは、誰が働いているのかをあえて無視するような) 企業は世界のどこにも存在しており、料金が安ければなおさらだ。
しかし、こうした合法的なプログラマーが一線を超えてサイバー犯罪に手を染め、母国の政権のために不正に金を稼ぐことは、どうやら驚くほど簡単なようである。
二〇一一年、韓国の警察は、北朝鮮のハッカーと共課し、オンラインゲームサイトを通じて数百万ドルを盗んだとされる五名を逮捕している。

この詐欺事件は、韓国で開発された「リネージュ」という大人気のビデオゲームを舞台にしていた。
ゲームそのものは、中世を舞台に騎士や王子がモンスターを倒したり、城の攻防をめぐって戦ったりするファンタジー・アドベンチャーだ。
プレイヤーはゲーム内でポイントを貯め、特別な武器やグッズを購入することができる。
ほかのゲームコミュニティの多くがそうであるように、「リネージュ」ファンのあいだにも、ポイントを増やすために実際に現金を払うような加熱した市場があった。

そこに目をつけたハッカーは、モンスターを自動的に退治するプログラムを作ってポイントを獲得し、そのポイントをゲーマーに売って現金化していた。
ソニーやバングラデシュ銀行のハッキングに比べれば、エルフや魔法使いになって鬼退治に走りまわるプログラムの作成など、取るに足りないと思われるかもしれない。
だが、そうではない。
韓国の当局者の話では、ハッカーたちはこの手口で約六〇〇万ドルの利益を得ていたのだ。
警察の主張に誤りがなければ、利益の大半は平壌に送られていた可能性がある。

こうした手口こそ、アメリカの捜査当局が指摘している朝鮮エキスポのビジネスモデルにほかならない。
朴鎮赫が取引先企業に送っていたメールに見られるように、表面上は顧客にサービスを提供する合法的なコンピューター・プログラミング会社だったが、
裏ではこの会社のインフラとスタッフが世界中のターゲットへの攻撃に利用されていた。

先述した元北朝鮮担当のアナリストだったプリシラ森内は、「私たちが何度も目にしてきた手法がこれだった」と言う。
「表向きは国外のフロント企業のスタッフとしてハッカーを派遣し、その実、フロント企業のインフラを利用して、彼らにサイバー攻撃を実行させていたのです」

p195

ポッドキャストのインタビューで太永浩が答えているように、階級を変えるドアは、
「まず、スポーツの分野に対して開かれている。
サッカーのプレイヤーとしての才能に恵まれていること (略)、
あるいはオリンピックもしくはそれに相当する国際大会でメダルを取ること。
二枚目のチケットは音楽で、ピアニストやダンサーとしての成功だ。
そして、三枚目がコンピューター科学だ。
数学が得意なら、平壌から遠く離れて暮らしていても、首都以外でも数学の大会が開かれる機会がある。
下層階級の子弟として、それでも平壌に行きたいとか、あるいは身分階層を向上させたいなら、そのときは死にものぐるいで数学の勉強をしなければならない。
本当の競争が可能なのがこの分野だ。
そして、優秀であると証明できれば、ほかの者には進めない特別な学校に選抜される」。

p197

太永浩が言うように、「サイバー兵士に選抜されたら、たしかに配給はよくなるだろう。
だが、生活が大変になるのはやはり軍隊だからだ。
たとえば朝は六時に起床。一睡もしないまま十時間、十五時間、二十時間働き続けられるだけの体力もいる。
そうした理由から、サイバー教育の分野では、政府はとくに優秀で才能を備えている青年を選んでいる」のだ。

また、政府直属のハッカーの多くは北朝鮮国内で働いているという。
「彼らの全生活は北朝鮮のほかの社会から隔離されている。
軍の施設から簡単に出られないよう、彼らは閉鎖された空間で働いている」

軍のハッカーと中国で交流があった脱北者の一人は、彼らのことを「サイバー奴隷」と評していた。
彼らハッカーには、年間少なくとも一万ドルの利益をあげる任務が課せられていた。
稼いだ金の大半は最終的に平壌に送られていく。

大連に暮らしていた賢勝が言うように、
「彼らは月に三〇〇ドルの給料をもらい、それは彼らの報酬となっていたが、残りはすべての上層部の人間のところに直接流れていった」

p214

公聴会のあいだを通してデギトはやつれ、神経をすり減らしていくように見えた。
目のまわりには黒いクマができ、不安のせいなのか額には深くしわが刻まれていた。
結局、彼女は七件の資金洗浄容疑で有罪となる。
判決は懲役五十六年、一億九〇〇万ドルの罰金が科された (言うまでもないが、この金額はバングラデシュ銀行から盗まれた総計金額をうわまわっている) 。

p218

マネーロンダリングについて専門家の話を聞いてみるにはいいタイミングだ。
教えてくれるのは、カリフォルニア州にあるドルベリー国際大学院モントレー校 (MIIS) で金融犯罪マネジメント・プログラムを教えているモヤラ・ルーセン教授だ。

「犯罪者にとってもっともやっかいな問題がマネーロンダリングです。
犯罪で得た利益は残らずきれいな現金に換えなければ、使うことができない」と教授は言う。

教授の話では、マネーロンダリングの鍵は、収奪された金を追跡する者の邪魔をするため、可能なかざり多くの障害を設けることにつきるので、
「そのためには金の流れを混乱させ、できるだけ曖昧にしなくてはならないのです」。

p219

「第一の段階は「プレイスメント」といい、“汚れた収益を金融システムに置くこと”、つまり組み込ませなくてはなりません。
しかし、犯人にすればこの段階が最大の関門なのは、捜査当局に疑わしい行動と判断される可能性が高いからです」と教授は言う。

バングラデシュ銀行に侵入したラザルスグループのハッカーは、捜査当局のこうした警戒について熟知していた。
すでに当局の警戒に触れていたからである。
当初の計画はニューヨーク連邦銀行にある口座から九億五一〇〇万ドルを送金して盗み出すというものだった。
だが、送金先の銀行に記された「ジュピター」という文字に連銀の保全システムが反応したことで計画は頓挫した。

p220

そして、マネーロンダリングは次の第二の段階――「レイヤーリング」――に進む。
「マネーロンダリングの段階でもいちばんわくわくするのが、『階層化」を意味するこの『レイヤーリング』の段階でしょう」とルーセン教授は言う。

要はお金を別のものに交換することで、当初の犯罪と結びつかないようにすることを意味する。
「交換できるものはいくつもあります。
ドルを暗号資産 (暗号通貨・仮想通貨) に換える、ドルを英ポンドに換える、あるいは金やほかの種類の資産に変えることができるでしょう。
不動産や株に買い換えて、あとで売却することもできます」

だが、不動産と株についてはここでは忘れてほしい。
バングラデシュ銀行の事件では、盗んだ資金をレイヤーリングするうえで、ハッカーたちにはもっと心踊る選択肢があった。

襲撃はもっとも劇的な局面を迎えようとしていた。
収奪した現金が消える最後の逃走という段階、マネーロンダリングでいう「インテグレーション」 (統合) の段階を迎え、追跡する捜査官は置き去りにされていく。

p226

マネーロンダリングを研究する前出のモヤラ・ルーセン教授は次のように説明する。
「私が大量の汚れた現金を所持している犯罪者としましょう。
まずカジノへ出向き、その現金のチップに変えます。
しかし、大々的に賭けるのではなく、賭けはあくまで控え目、大きな損を被らないように気をつける。
賭けを終えたら、チップを残らずカジノの小切手で精算、これでカジノで儲けた金のように見せることができる。
あとは、扉を開けて、堂々とカジノから出ていくだけ。
小切手のお金をどこに預けても、誰も何も聞いてはきません」

言い換えるなら、カジノに出向くことは、マネーロンダリングの第二段階である“レイヤーリング”において、決め手となる最後のステップなのだ。
このステップによって、追跡調査を可能にする連鎖が断たれ、最終的に犯罪と金が切り離される。
犯人たちが盗んだ金を「ソレア」や「マイダス」で賭けてしまえば、追っ手は現金とハッキングを結びつけることに悪戦苦闘し、その結果、資金を回収することが不可能になってしまうのだ。

p229

私と二人でカジノに行ったとしよう。
それぞれ一〇〇ドルの現金を手に、この金をできるだけ減らさないようにしたい。
現金をチップに変え、大きなルーレットに向かう。
私は一〇〇ドルのチップをボールが赤いポケットに落ちることに賭ける。
一方、あなたは黒のポケットに一〇〇ドルを賭ける。
結局、ボールは黒のポケットに落ちたので私は賭け金を失う。
だが、あなたは一〇〇ドルを獲得、手元のチップは二〇〇ドルになっている。
私とあなたはとても仲のいい友人なので、手元のチップの半分を私に渡してくれる。
二人はチップを現金に戻して、来たときと同じように一〇〇ドルずつを持ってカジノをあとにする。

もちろん、カジノ側の総取りである緑のポケットにボールが落ちれば二人とも負けになるが、緑のポケットは回転盤にひとつか二つしかないので確率としてはかなり低い (回転盤の区切りはプレイする国によって異なる)。
ほとんどの場合、ボールは赤か黒のどちらかに落ちるので、このシステムはうまく機能することになる。

p233

資金洗浄をする者にとってありがたいのは、バカラにはもうひとつ決定的な利点がある。
専門家に聞いた話によると、胸がよければ、バカラでは投入した金の約九〇パーセントが取り戻せるというのだ。
マネーロンダリングをたくらむ者にすれば夢のようなリターンだ
(私が訪れたダークウェブのサイバー犯罪に関する掲示板では、その確率は六〇パーセント以下と説明するところが何カ所かあった)。
もちろん、このようなリターンを得られるのは、それなりに長時間にわたり、非常に慎重にプレイができた場合のみにかぎっての話だ。
最初のゲームで五一〇〇万ドルの全額を賭けていたら、彼らは大損していたかもしれない。

p257

奇妙と言えばいささか奇妙なインタビューだった。
コロナウイルスが世界中で猛威を振るっているさなか、面談は通訳を介してオンラインで行われたので、通信環境を整えるのもひと筋縄ではいかなかった。
だが、《ササキタダシ》は少しずつ自分について語り出した。
彼にすれば、報道を前提としたはじめてのインタビューである。

二〇一四年、彼は日本にいた。
自分はミャンマー向けに中古車を販売する会社の役員を務めるかたわら、ある種のコンサルティング業に携わっていると話していた。
その彼に、ある日本人が「預金振込小切手 (DTC) という特定領域の送金システムを使い、スイスの銀行から大金を受け取れる人間を知らないか」という話を持ちかけられたという。
その男と仲間が予定している送金は一〇億ユーロ、ドルに換算すれば一〇億ドルを優に超える金額の送金で、そのうちの一パーセントは《ササキタダシ》への手数料として払ってもいいと彼らは話していた。

p279

こうした障害を残らず回避できる方法があるなら、ハッカーたちが好んで使う“ミートスペース”。
人間が生息するやっかいで信頼できない世界と、人間特有の貪欲と可謬性に満ちた世界に類わされることなく、富にアクセスできるようになる。
訳註:
ミートスペースはインターネット用語で、「肉体空間」「現実空間」を意味する。
「仮想現実空間」を意味する「サイバースペース」の対義語。

p327

だが、ここでもっとも重要なのはかならずしも総額ではない。
暗号資産を狙った襲撃かは、北朝鮮のハッカーは新技術を圧倒的な速度で自分のものにしているだけでなく、
それを巧みに活用しながら、暗号資産に関してはつねに最先端にとどまり続けている点だ。
本章で触れてきた「ブロックチェーン」「ピール・チェーン」「スワップ・サービス」について、現時点で文字通り隅から隅まで理解している者は、ごくごくかぎられた少数者にすぎない。
そのような人間の何割かが、北朝鮮のような国にいるという現実は、考えてみれば興味深くもあれば、同時にきわめて憂慮すべき事態でもある。

p331

金日は、カナダで「ビッグボス」という名前で知られる人物と連絡を取った。
ビッグボスはハッカーたちがまさに必要としていたサービスを提供していた。
盗まれた顧客情報をもとに偽造カードを作成してくれたばかりか、
さらに彼が「ランナー」と呼ぶカナダとアメリカに在住する二十人以上の運び屋――偽造カードを使い、ATMから現金を引き出す役――にもつなぎをつけることができた。
ビッグボスが、現に取引をしている金日についてどの程度知っていたのかは不明だ。
やりとりは、すべてオンライン上で行われていた。

以前から金目が素性を偽っていた履歴を考えると、ビッグボスは自分の新しい依頼主がFBIから北朝鮮政府の工作員と疑われている事実を知らなかった可能性は高そうだ。
金さえ払ってくれるなら、彼にとって相手は誰でもよかったのかもしれない。
真相はどうであれ、ビッグボスは手を貸す気になり、こうしてコスモス協同組合銀行襲撃の段取りは整って、すべては八月のある週末に向けて調整された。
当日、わずか数時間で一一〇〇万ドル以上の現金が奪われている。
現金はいずれもATMから引き出されていたが、その大半はビッグボスがつないでくれたランナーによるものだった。

共犯者たちのネットワーク p335

二〇一九年一月、カナダのイカサマ師ビッグボスは、ラザルスグループの仲介担当役の金日から新たなメッセージを受け取った。
別の銀行を襲撃する準備を進めており、またもや協力が必要だという話だった。
今回は顧客情報を盗み、カードを偽造して現金を引き出す手口を使うつもりはグループにはなかった。
バングラデシュ銀行襲撃で使った手口、つまり銀行からほかの口座に直接送金する作戦に戻ろうとしていた。

もちろん、マニラでの歯がゆい経験から彼らも明らかに学んでいた。
「ジュピター」という支店名にニューヨークの連鎖の保全システムが反応して、送金の大半が失敗した。
次の襲撃では、そのような不手際を起こさずに送金できる人物を探していた。
ビッグボスなら助けてもらえる人間を知っているのではないか?やはり知っていた。
ビッグボスのアイフォーンの連絡帳に「ハッシュ」とだけ登録されている男だ。
以前ハッシュと仕事をしたことがあり、資金洗浄に使える銀行口座にアクセスできるのをビッグボスは知っていた。

p343

ハッシュとともに世界中で銀行詐欺に加担していた男は、FBIによってガレブ・アラウマリーだと正体が暴かれた。
アラウマリーは二重あごに無精ひげを生やした三十代半ばのカナダ人で、オンタリオ州に住んでいた。
ここを拠点にして前述した銀行詐欺やビジネスメール詐欺の中心的な役割を果たしていた。

ドバイのインフルエンサー p343

ハッシュことハッシュパピーはいわゆるインフルエンサーと呼ばれる人物で、彼のインスタグラムには二三〇万人のフォロワーがいた。
投稿された写真には、背が高く、がっしりした体格のひげを生やした黒人男性が写っており、その生活はと言えば、荒唐無稽なリアリティー番組に出てくるような、およそとんでもないものだった。
デザイナーズブランドの服に身を包み、移動は運転手付きの高級車、時にはヘリコプターや自家用飛行機に乗り、エキゾチックな土地に旅する写真が何百点もアップされていた。
有名なサッカー選手といっしょの写真、華やかなイベントに参加している写真、これらの画像がどれも本当なら、彼のインスタグラムは世界の高級ブランドの贅沢品で埋め尽くされていた。
多くの写真で、片足を心もち横に向けて立っているのは、履いている靴を何百万人ものフォロワーに讃えてもらうためだった。

p345

インスタグラムでアッバスは、このような富の象徴を享受できることがいかに恵まれているかと話し、ほかの人たちも自分の後に続くことを望んでいると語った。
だが同時に彼は、世界的な詐欺の帝国を動かすことで、もう一人の自分の贅沢なライフスタイルを支えていた。
世間の目から遠く離れたところでは、アッバスは掛け値なしのペテン師で、先のバレッタ銀行の一件からもわかるように、同情など無用とばかりに最後の一ペニーまで被害者からだまし取り、その金で放蕩のかぎりをつくしていたのだ。

二〇一九年後半、アッバスはカタールにインターナショナルスクールを建設するための資金を調達していた男性と関係を深めていた。
アッバスはこの男性をだまして、三三万ドルをカナダの銀行口座に振り込ませている。
奪った金の大半は二三万ドル相当のリシャール・ミルの腕時計に費やされ、残った金の一部で西インド諸島にあるセントクリストファー・ネイビスのパスポートを不正に得ている。
保有していた複数のパスポートにもうひとつが加わる。
そして、ふたたび被害者のもとに出向いてさらに三〇万ドルもの金をせしめた。
その強欲ぶりはとどまるところを知らなかった。
何年にもわたり、アッバスと彼の一味がだましてきた人間は総数で二〇〇万人近くに達するという推定もあるほどだ。
アッバスとビッグボスことアラウマリーは、プレミアリーグの某サッカークラブから一億ポンドを詐取する計画を画策したこともあった。

p361

本書「ラザルス 世界最強の北朝鮮ハッカー・グループ」は、イギリスのテクノロジージャーナリストで、
調査報道を手がけるジェフ・ホワイトの The Lazarus Heist: From Hollywood to High Finance: Inside North Korea's Global Cyber War を全訳したものである。
原題を直訳すれば「ラザルスの襲撃ハリウッドから巨額の金融取引まで: 北朝鮮による世界的サイバー戦争の内幕」となる。

原書は二〇二二年六月にイギリスのペンギン・ビジネスから刊行された。
本書でも触れているように、原題の「The Lazarus Heist」は、イギリス放送協会 (BBC) 系列の BBC ワールドサービスが配信したポッドキャストシリーズ「ザ・ラザルス・ハイスト」に基づいている。
シリーズは二〇二一年四月から同年六月にかけて配信され、北朝鮮のハッカー集団〈ラザルスグループ〉をめぐる計のエピソードが語られている。
番組は大きな反響を呼び、イギリスのアップルポッドキャストのランキングで一位、アメリカでも上位にランクインし、現在ではユーチューブでも視聴できる。

p369

十のエピソードを紹介して「ザ・ラザルス・ハイスト」は第一シーズンを終了、
その後、二〇二二年十月にニューヨークの観客の前で公開されたスペシャルエピソード版が配信された。
実は原書の刊行に立って受けたインタビューで、ホワイトは第二シーズンの準備が進められていることについて
華ている二〇二二年三月に起きたベトナムのアクシー・インフィニティへの不正アクセスに関するエピソードについても、第二シーズンで紹介されるかもしれないとほのめかしていた。
アクシー・インフィニティはいわゆる P2E (遊んで稼ぐ) の先駆けとなったブロックチェーンゲームで、
このときの襲撃で約六億二〇〇〇万ドル (約七八〇億円) 相当の〈イーサリアム〉が流出、「暗号資産史上、最大規模の奪取のひとつ」と報じられていた。

ホワイトによると、北朝鮮のハッカーについては話題に事欠かないらしい。
それが第二シーズンを配信する理由だとも話していた。

p386

模造タバコは,密輸業者にとって非常に儲かる品目だ。
ボブ・ハマーの話では,〈スモーキング・ドラゴン〉の潜入捜査では,
当時, 1 カートンの模造タバコは7~8ドルで仕入れることができ,それを本物と称して70~80ドルでさばくことができたという。

2006年,世界で不正に取引されているタバコは 6000 億本と推定されている (タバコ規制枠組み条約 「2006年における世界のタバコの不正取引の規模」 2006年6月).
この事実を踏まえると、模造タバコの巨額の利益をもたらし、麻薬や銃などの不正輸入の資金源となる可能性があるのだ。