警察庁もユーロポールのリリースを紹介した(警察庁の公式Webサイトより)

写真拡大

「ランサムウェア犯罪グループの資金源を壊滅」――欧州警察機構(ユーロポール)は現地時間の6月11日、公式Webサイトに英文でこう銘打ったプレスリリースをアップ(公開)した。内容は日本の警察庁の協力を得て、総額3億3600万ユーロ(日本円で約622億円)に上る犯罪収益の資金洗浄(マネーロンダリング)に関与したロシア国籍とウクライナ国籍の男2人を逮捕したというもの。2人はビットコインに代表される暗号資産(仮想通貨)取引の追跡を難しくする「ミキシング」を行うソフトを提供。脱税などをサポートするサービスを運営する一方で、ソフトをネット犯罪のマネロンに流用させていたとみられている。戦時下にあるロシアとウクライナが、拝金主義の蔓延するサイバー空間(仮想空間)ではタッグを組んでいたわけだ。国際犯罪に挑む、サイバー捜査現場の舞台裏に迫る。

警察庁もユーロポールのリリースを紹介した(警察庁の公式Webサイトより)

【写真を見る】正常化に4カ月を要したアサヒグループホールディングスのランサムウェア被害

仮想通貨を混ぜ合わせることで

 ユーロポールは、「ICPO」の異名を持つインターポール(国際刑事警察機構)のEU(欧州連合)版。日本では警察庁サイバー警察局が捜査協力の要請を受け、サイバー特別捜査部がミキシングのデータを復元することに成功した。

 仮想通貨のミキシングサービスは、仮想通貨ミキサーとも呼ばれており、複数の送金者の暗号資産を混ぜ合わせてから送金したり、引き出させたりすることで、送金元と送金先のつながりを分かりにくくする。各種のサイバー犯罪者、特に勢いが衰えないランサムウェアの運用者にしばしば用いられていることから、警察庁関係者は「広義ではサイバー犯罪のツールの一つだ」と指摘する。

 今回、摘発されたミキシングサービスは「アウディA6(AudiA6)」と名付けられ、「闇のインフラ」との異名を持つ。日本が参加した国際共同捜査では、ミキシングサービスを管理していた米ジョージア州在住のロシア人とウクライナ人の男2人を逮捕したほか、サービスの管理用サーバーや、利用窓口となっていたサイトを封鎖している。警察庁側もユーロポールとの同時リリースに伴い「ミキシングへの対応は世界的な課題。今回の摘発は犯罪の阻止につながる」とコメントした。

 他にも代表的なミキシングサービスでは、「トルネードキャッシュ(Tornado Cash)」や「チップミキサー(ChipMixer)」が世界的に知られており、トルネードキャッシュは2022 年8月8日に米財務省外国資産管理局(OFAC)から利用禁止令が出され、ソフトの開発者がマネロンの手助けを行ったとして逮捕されている。またチップミキサーは2023年3月、FBI(米連邦捜査局)とドイツの捜査機関が摘発。運用を停止させている。

アサヒビールが出荷停止となり

 企業のシステムを麻痺させて機密データなどを暗号化し、その復旧の対価として、いわゆる「身代金(ランサム)」を要求するのに使われるのがランサムウェアだ。マルウェア(悪意あるソフトウェア)の一種だが、これを悪用する複数のサイバー犯罪組織が近年、国境をまたいで跋扈しており、「ランサムウェアギャング」などと呼ばれている。

 近年、国内で最も話題となったランサムウェア被害は、2024年6月に発生したKADOKAWAグループへのサイバー攻撃だ。ロシア系のハッカー集団がサイバー攻撃によって、グループ傘下の動画配信サービス「ニコニコ動画」など複数のWebサービスを2カ月間全面停止させたもの。主力の出版部門は製造も物流も麻痺。本が書店に届かないなど経済損失は甚大だったほか、ユーザーや従業員など25万人の個人情報や取引先の契約書が流出し、ダークウェブ上に暴露された。警察庁関係者は「被害の実態調査やシステム再構築など被害の余波はしばらく続いた」と話す。

 また昨年9月には、アサヒグループホールディングス(アサヒGHD)でも大規模なランサムウェア被害が発生。同グループでは国内の主要データセンターがサイバー攻撃を受けてデータが暗号化され、ビールや清涼飲料の受注・出荷システムが完全にダウンした。このためアナログでの対応を余儀なくされ、在庫の確認や配送の手続きは「電話・FAX・紙の伝票」を用いた手作業で実施。「昭和に戻ったようだ」と話題を呼んだ。

 アサヒビールが生産するスーパードライやニッカウヰスキー、アサヒ飲料の三ツ矢サイダーやカルピス、十六茶、人気の缶コーヒー「WONDA(ワンダ)」シリーズなどが全国のコンビニやスーパー、居酒屋などの飲食店で品薄・欠品となった。アサヒグループでも完全な物流の正常化には発生から4か月以上の時間を要し、システムの復旧や出荷量減少の影響による最終的な損害額は最大90億円規模に上った。飲料業界関係者は「売上ベースでは割も減少したそうです」と語っている。

 チップミキサーが過去、マネロンに加担していたランサムウェアギャングには国際ハッカー集団の「ロックビット(LockBit)」もいる。2024年10月、警察庁は英、仏、スペインの捜査当局と協力して、ロックビットメンバーのランサムウェア開発者とサーバーの管理者、攻撃の実行役を支援していた2人の計4人を逮捕し、関連する9台のサーバーを押収したと発表している。

サイバー犯罪専門の「特捜部」

 警察庁は、警察法の規定により捜査機関ではなく、あくまでも行政機関であり、直接、事件捜査を行うのは全国47都道府県警の専任事項だった。だが、ネット犯罪の蔓延を受けて2022年に警察法が改正。インターネットを介したコンピューター犯罪に限って警察庁が直接捜査することが可能となり、同年4月、同庁にサイバー警察局と、ネット犯罪に限定されてはいるものの「日本版FBI」と位置付けられた、国直轄の捜査部門として、サイバー特別捜査隊を創設した。

 特捜隊はサイバー攻撃に対するユーロポールの国際共同捜査に積極的に参加して実績を積んできた。特捜隊の解析作業からもたらされた成果は、中国や北朝鮮などを国際的なサイバー攻撃の“黒幕国家”として名指しするEUと日本による「パブリック・アトリビューション(非難声明)」の根拠にもなっている。

 警察庁では24年4月、この特捜隊を格上げしたサイバー特別捜査部を発足させ、体制を増強している。サイバー特捜部は情報分析などを担う企画分析課と特別捜査課の2課で構成。専従職員の数は特捜隊発足当初の73人から129人に拡充したほか、各都道府県の情報通信部で解析などを担う兼務職員を含む全体の体制を300人超とした。トップの特捜部長の階級も、特捜隊長時代の警視正から警視長に昇格させている。

 ロックビットの摘発で警察庁は、国際共同捜査チームが押収したサーバーの解析を担当。独自に開発した暗号化データの復旧ツールを使って、国内企業10社の被害を回復させ、ロックビットの関与解明につなげたという。

 警察庁はここ数年、国内外でマネロン対策の強化を推し進めており、昨年6月には犯罪収益移転防止法施行規則を改正。国内では銀行窓口などの対面取引とオンラインの非対面取引の双方で本人確認の厳格化が来年4月に施行される。警察庁幹部はこう語る。

「事件の舞台が、現実空間から仮想空間に移ってボーダレス化する犯罪に対し、捜査だけが、国境の制約を受けているのが現状。国境は無視できないが、国内の法整備と捜査の国際協力に並行して取り組んでいくことが急務だ」

岡本純一(おかもと・じゅんいち)
ジャーナリスト。特捜検察の捜査解説や検察内部の暗闘劇など司法分野を中心に執筆。月刊誌「新潮45」(休刊中)では過去に「裏金太り『小沢一郎』が逮捕される日」や「なぜ『東京高検検事長』は小沢一郎を守ったか」などの特集記事を手掛けた。

デイリー新潮編集部