全2453文字

 暗号資産(仮想通貨)サービスから約6億ドル強(約660億円)もの資産がサイバー攻撃によって流出する事件が意外な経過をたどっている。サービスの運営元が攻撃者に多額の報奨金を支払ったほか、セキュリティー担当の上級職として採用するオファーまで出したのだ。

 事件の舞台となったのは、暗号資産やトークンを別のネットワークに送金できるサービス「Poly Network(ポリ・ネットワーク、以下Poly)」。2021年8月10日、Polyのサービス基盤上に置かれたほぼ全額の資産が流出した。暗号資産の流出としては、仮想通貨交換所のコインチェックで2018年に発生した580億円相当の流出を上回る過去最大規模である。

 開かないはずの金庫の解錠に成功した窃盗犯が、侵入先の法人から高額報酬で雇用する提案を受ける、まるで物語か映画のような展開だ。

返却された被害額6億ドル強から50万ドルが報奨金に

 Polyは異なるブロックチェーンで使われているさまざまな暗号資産やトークンを異なるブロックチェーンに送金できるサービスである。運営する組織も同名のPoly Networkを称する。株式会社か非営利団体かなどの詳細は不明だが、創業者は過去に中国で利用されている別の暗号資産サービスの開発に携わった人物とされている。顧客数はまだ少ないとみられ、開発途上にあるサービスといえる。

 Polyは2021年8月17日、6億ドル強を流出させた攻撃者に対してTwitterなどを通じて報奨金として50万ドル(約5500万円)を支払うと約束。併せて、日本語で言えば「セキュリティー担当の最高顧問」ともいえる、「チーフセキュリティーアドバイザー(Chief Security Advisor)」の役職をオファーした。Polyが攻撃を受ける原因となった「スマートコントラクト」(取引プログラム)の脆弱性を発見したことを高く評価したからだ。

攻撃者に対して50万ドルの提供を申し出たPoly NetworkのTwitterでの投稿
攻撃者に対して50万ドルの提供を申し出たPoly NetworkのTwitterでの投稿
出所:Poly Network
[画像のクリックで拡大表示]

 もちろんPolyが単に6億ドルの被害を受けながら、さらに50万ドルの報奨金を攻撃者に支払うオファーを出したわけではない。報奨金の提案を受ける経緯は、攻撃後の行動にあった。攻撃者は自分の口座に移した資金を、徐々に返却していったからだ。Polyは8月26日、攻撃で流出した資金の返却が全額完了したと明らかにしている。

 攻撃者が資金の返却を徐々に進めたプロセスから、Polyは攻撃者が不正に暗号資産を窃取して自らの利益にしようとする、犯罪行為が目的のハッカーではないと判断したようだ。つまり脆弱性の発見や指摘、警鐘を鳴らすことなどを目的とした、善意のハッカーだという攻撃者の主張を受け入れたのだ。

 バグや脆弱性の発見を目的として、システムに不正アクセスを試みてもらう。発見できたら、成果を上げた善意のハッカーに報奨金を支払うという取り組みはこれまでも多く行われている。仮想通貨業界では特に多いという。

 しかしその判断には注意が必要だ。暗号資産サービスに携わり、ブロックチェーン推進協会(BCCC)のNFT・ゲーム部会長として事件の経緯を調べたJPYC(東京・港)の岡部典孝社長は「ハッカーの目的が善意か不正目的かは、さまざまな状況を慎重に分析して判断する必要がある」と指摘する。報奨金は明らかに「きれいなお金」として攻撃者の手に渡るからだ。例えば、攻撃者が犯罪やテロリズムの組織に属しているなどの背景があった場合、組織にとっては資金洗浄の手間とリスクを掛けずに安全な活動資金が手に入る。