「DMMビットコイン」へのサイバー攻撃は北朝鮮系「TraderTraitor」、ソーシャルエンジニアリングの手法を警察庁らが公表
2024年5月に「BMM Bitcoin」にサイバー攻撃を仕掛け、約482億円相当の暗号資産を窃取したのは、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」(トレイダートレイター)と特定したとして、警察庁らが情報を公開した。捜査・分析の結果明らかになった具体的なソーシャルエンジニアリングの手口と、その緩和策を記載している。 TraderTraitorは、同じく北朝鮮を背景とするサイバー攻撃グループ「Lazarus Group」(ラザルスグループ)の一部とされる。Lazarus Groupについては2022年10月に金融庁らが注意喚起を行い、TraderTraitorに関しては米国でFBIらが2022年4月に注意喚起を行うなど、当該グループに対する複数回の注意喚起が行われている状況だった。 公開された情報は、暗号資産取引に関わる個人・事業者に向けたもの。引き続き北朝鮮は暗号資産の窃取を企図し続けるとみられる中で、脅威を認識し、不審な通知を検知した際には、速やかに金融庁などの所轄省庁、または警察、NISC、セキュリティ機関などに情報提供してほしいと呼び掛けている。 ■ SNSを通じて株式会社Ginco従業員に接触 警察庁が、米国連邦捜査局(FBI)および米国国防省サイバー犯罪センター(DC3)とともに発表した内容によると、TraderTraitorは2024年3月に、株式会社Gincoのウォレット管理システムへのアクセス件を保有する従業員にLinkedIn上で接触した。具体的にはGitHub上に保管された採用前試験を装った悪意あるPythonスクリプトへのURLを送付し、被害者であるGinco社員は、このPythonスクリプトを自身のGitHubページにコピーし、その後に侵害された。 その後、2024年5月以降に、TraderTraitor はセッションクッキーの情報を悪用して被害者であるGinco従業員になりすまし、Gincoの暗号化されていない通信システムへのアクセスに成功。同月下旬に同アクセスを利用して、DMM従業員による正規取引のリクエストを改ざんしたものと認められる。窃取された資産は、TraderTraitorが管理するウォレットに移された。 ■ 手口を知り、適切な緩和策を 警察庁、内閣サイバーセキュリティセンター(NISC)、金融庁が発表した資料では、TraderTraitorの事例をもとに、手口例とその緩和策が記されている。 手口例は「ソーシャルエンジニアリングによる接近手口例」のほか、「マルウェアを感染させる手口例」「認証情報等の窃取~暗号資産窃取の手口例」と、3つの過程に分けて紹介。例えば、接近手口例では、第三者の名前や顔写真を悪用し、企業幹部を装うなどして、SNSで標的対象者にメッセージを送信するとしており、その対象は、日本人に限らない暗号資産産業関連事業者の従業員のほか、ブロックチェーンやWeb3関連の技術者も標的となり得るとしている。 緩和策は、システム管理者向けと従業員向けに分けて紹介。上記の手口例に対応した従業員向けのものとしては、SNSでアプローチを受けた際にはビデオ通話を要求し、複数回拒否してくる場合は不審と判断すること、アプローチ元のアカウントのプロフィールや、SNS上でのやりとりについてスクリーンショットを保存すること、ソースコードの確認や実行を急がせてくる場合は不審だと考えること、コードを実行する場合は業務用PCを使用せず、仮想マシンを使用することなどを挙げている。 管理者向けの緩和策では、業務付与期間に限定した必要最小限のアクセス範囲と権限を付与すること、貸与している業務用PC以外からとみられる認証ログなど、不審な認証ログやアクセスログがないか監視すること、退職した従業員のアカウントは速やかにロックすることなどを挙げている。
INTERNET Watch,山田 貞幸