２０１９年に暗号通貨取引所「アップビット（ＵＰｂｉｔ）」でイーサリアム３４万２０００個窃取事件が発生してから５年が経過した中、警察が「北朝鮮の犯行」という結論を出した。北朝鮮偵察総局傘下のハッカー組織ラザルスなどがコイン窃取に加担し、ハッカーの通信網で「ホルハンイル（容易なこと）」など北朝鮮の言葉を使用したことを確認した。暗号資産取引所に対するサイバー攻撃が北朝鮮の犯行であることが明らかになったのは今回が初めてだ。 警察庁国家捜査本部は２１日、「捜査を通じて確保した北のＩＰアドレスと窃取された暗号通貨の流れ、北の言葉の使用内容などの証拠、長期にわたる米連邦捜査局（ＦＢＩ）との協調で取得した資料を総合して結論を出した」とし、このように明らかにした。 ２０１９年１１月、アップビットが保管していた暗号資産「イーサリアム」３４万２０００個が匿名口座に流出する事件が発生した。流出したイーサリアムは「当時の相場で計５８０億ウォン、現相場で１兆４７００億ウォン（１６３０億円）相当」というのが警察の説明だ。事件の発生後、アップビットは入出金取引を中断して警察に通報した。 捜査に着手した警察は流出したイーサリアムが半分以上、暗号資産交換サイト３カ所で相場より約２．５％安い価格で他の暗号資産「ビットコイン」に変わった点を確認した。警察はこの交換サイトも北朝鮮が作ったものと推定している。盗み出した暗号資産の５７％ほどがこの３カ所のサイトに一度に送られたからだ。残りの４３％ほどは中国、米国、香港など１３カ国所在の取引所５１カ所にそれぞれ分散転送されたという。 米政府は２０２０年８月、アップビット暗号資産窃取事件の背後に北朝鮮ハッカー組織「ラザルス」を挙げた。警察も捜査を経てラザルスだけでなく北朝鮮の別のハッカー組織「アンダリエル」が犯行に関与するなど北朝鮮のサイバー攻撃が複合的にあったと把握した。 特に警察は捜査の過程でサイバー攻撃者側が使用したコンピューターなど情報通信機械の分析を通じて、北朝鮮の言葉が使用された痕跡を確認した。組織内部で交わされた言葉の中に「ホルハンイル」という表現があったという。警察関係者は「分析の過程で北で使用される言葉が使われていたのを確認した」と説明した。こうした証拠などから警察は２０２１年１１月ごろ、犯行の背後に北朝鮮があると判断した。 警察はコインの一部がスイス所在の暗号資産取引所に保管されたことを確認した。スイス検察にこれを証明した警察は検察・法務部と協力してスイスとの刑事司法協力を進め、先月、約６億ウォン相当のビットコイン４．８個を還収した。警察はこの暗号通貨をアップビットに戻した。 しかし警察は国家間の協力が容易でなくて、海外取引所側の非協力で追加の還収手続きが進行する可能性は低いとみている。警察は北朝鮮が暗号資産を数カ所に分散させているうえ、暗号通貨を混ぜて複数のところに送る「ミキシング（Ｍｉｘｉｎｇ）」を通じて出どころの確認を困難にし、資金洗浄をしたとみている。 警察は類似事例防止および被害予防のため、捜査で確認した暗号資産取引所攻撃手法を国家情報院国家サイバー危機管理団、金融監督院、軍および暗号資産取引所などと共有した。警察関係者は「サイバー攻撃に対しては犯行方法と主体の糾明はもちろん、被害の予防と回復にも最善を尽くしていく予定」と話した。