犯罪収益622億円を“洗浄”したロシア人を逮捕…警察庁が取り組む“仮想通貨のマネロン”摘発というサイバー捜査の最前線
「ランサムウェア犯罪グループの資金源を壊滅」――欧州警察機構(ユーロポール)は現地時間の6月11日、公式Webサイトに英文でこう銘打ったプレスリリースをアップ(公開)した。内容は日本の警察庁の協力を得て、総額3億3600万ユーロ(日本円で約622億円)に上る犯罪収益の資金洗浄(マネーロンダリング)に関与したロシア国籍とウクライナ国籍の男2人を逮捕したというもの。2人はビットコインに代表される暗号資産(仮想通貨)取引の追跡を難しくする「ミキシング」を行うソフトを提供。脱税などをサポートするサービスを運営する一方で、ソフトをネット犯罪のマネロンに流用させていたとみられている。戦時下にあるロシアとウクライナが、拝金主義の蔓延するサイバー空間(仮想空間)ではタッグを組んでいたわけだ。国際犯罪に挑む、サイバー捜査現場の舞台裏に迫る。
【写真を見る】正常化に4カ月を要したアサヒグループホールディングスのランサムウェア被害
仮想通貨を混ぜ合わせることで
ユーロポールは、「ICPO」の異名を持つインターポール(国際刑事警察機構)のEU(欧州連合)版。日本では警察庁サイバー警察局が捜査協力の要請を受け、サイバー特別捜査部がミキシングのデータを復元することに成功した。
仮想通貨のミキシングサービスは、仮想通貨ミキサーとも呼ばれており、複数の送金者の暗号資産を混ぜ合わせてから送金したり、引き出させたりすることで、送金元と送金先のつながりを分かりにくくする。各種のサイバー犯罪者、特に勢いが衰えないランサムウェアの運用者にしばしば用いられていることから、警察庁関係者は「広義ではサイバー犯罪のツールの一つだ」と指摘する。
今回、摘発されたミキシングサービスは「アウディA6(AudiA6)」と名付けられ、「闇のインフラ」との異名を持つ。日本が参加した国際共同捜査では、ミキシングサービスを管理していた米ジョージア州在住のロシア人とウクライナ人の男2人を逮捕したほか、サービスの管理用サーバーや、利用窓口となっていたサイトを封鎖している。警察庁側もユーロポールとの同時リリースに伴い「ミキシングへの対応は世界的な課題。今回の摘発は犯罪の阻止につながる」とコメントした。
他にも代表的なミキシングサービスでは、「トルネードキャッシュ(Tornado Cash)」や「チップミキサー(ChipMixer)」が世界的に知られており、トルネードキャッシュは2022 年8月8日に米財務省外国資産管理局(OFAC)から利用禁止令が出され、ソフトの開発者がマネロンの手助けを行ったとして逮捕されている。またチップミキサーは2023年3月、FBI(米連邦捜査局)とドイツの捜査機関が摘発。運用を停止させている。
アサヒビールが出荷停止となり
企業のシステムを麻痺させて機密データなどを暗号化し、その復旧の対価として、いわゆる「身代金(ランサム)」を要求するのに使われるのがランサムウェアだ。マルウェア(悪意あるソフトウェア)の一種だが、これを悪用する複数のサイバー犯罪組織が近年、国境をまたいで跋扈しており、「ランサムウェアギャング」などと呼ばれている。
近年、国内で最も話題となったランサムウェア被害は、2024年6月に発生したKADOKAWAグループへのサイバー攻撃だ。ロシア系のハッカー集団がサイバー攻撃によって、グループ傘下の動画配信サービス「ニコニコ動画」など複数のWebサービスを2カ月間全面停止させたもの。主力の出版部門は製造も物流も麻痺。本が書店に届かないなど経済損失は甚大だったほか、ユーザーや従業員など25万人の個人情報や取引先の契約書が流出し、ダークウェブ上に暴露された。警察庁関係者は「被害の実態調査やシステム再構築など被害の余波はしばらく続いた」と話す。
また昨年9月には、アサヒグループホールディングス(アサヒGHD)でも大規模なランサムウェア被害が発生。同グループでは国内の主要データセンターがサイバー攻撃を受けてデータが暗号化され、ビールや清涼飲料の受注・出荷システムが完全にダウンした。このためアナログでの対応を余儀なくされ、在庫の確認や配送の手続きは「電話・FAX・紙の伝票」を用いた手作業で実施。「昭和に戻ったようだ」と話題を呼んだ。
アサヒビールが生産するスーパードライやニッカウヰスキー、アサヒ飲料の三ツ矢サイダーやカルピス、十六茶、人気の缶コーヒー「WONDA(ワンダ)」シリーズなどが全国のコンビニやスーパー、居酒屋などの飲食店で品薄・欠品となった。アサヒグループでも完全な物流の正常化には発生から4か月以上の時間を要し、システムの復旧や出荷量減少の影響による最終的な損害額は最大90億円規模に上った。飲料業界関係者は「売上ベースでは割も減少したそうです」と語っている。
チップミキサーが過去、マネロンに加担していたランサムウェアギャングには国際ハッカー集団の「ロックビット(LockBit)」もいる。2024年10月、警察庁は英、仏、スペインの捜査当局と協力して、ロックビットメンバーのランサムウェア開発者とサーバーの管理者、攻撃の実行役を支援していた2人の計4人を逮捕し、関連する9台のサーバーを押収したと発表している。
[1/2ページ]
