DMMのビットコイン流出、北朝鮮の犯行グループが関与
警察庁は、FBIらと協力しDMM Bitcoinが5月に約482億円相当の暗号資産を盗まれた事件について、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」(トレイダートレイター)が関わっていたことを特定した。 TraderTraitorは、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)の一部とされ、手法の特徴として、同時に同じ会社の複数の従業員に対して実施される、標的型ソーシャルエンジニアリングが挙げられる。 TraderTraitorは、3月下旬、リクルーターになりすまし日本に在住する企業向け暗号資産ウォレットソフトウェア会社「Ginco」の従業員に接触。Gincoのウォレット管理システムへのアクセス権を保有する従業員に、GitHub上に保管された採用前試験を装った悪意あるPythonスクリプトへのURLを送付した。被害者は、このPythonコードを自身のGitHubページにコピーし、その後、侵害されている。 5月中旬以降は、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Gincoの暗号化されていない通信システムへのアクセスに成功。同月下旬、同アクセスを利用して、DMM従業員による正規取引のリクエストを改ざんした。その結果、4,502.9BTC(攻撃当時約482億円相当)が喪失している。最終的に、盗まれた資産はTraderTraitorが管理するウォレットに移動された。 DMM Bitcoinは事件後、ビットコイン保有者に対して全額補償の方針を表明し、流出相当分のBTCを調達済み。DMM Bitcoinに開設済みの口座と預かり資産(日本円、暗号資産)は、2025年3月頃を目途に、全てSBI VCトレードに移管される予定で、DMMはビットコイン事業から撤退する。 警察庁と金融庁は、サイバー攻撃に対する対策として、システム管理者向けには、多要素認証の導入や、業務付与期間に限定した最小限のアクセス権限付与、ログの監視と分析の重要性を指摘。 従業員向けとしては、私用PCで業務用システムへアクセスしないことや、内容を確認せずにコードを実行したりしない、実行する場合は業務用PCを使用しないことや仮想マシンを使用するなどの対策を挙げている。
Impress Watch,清宮信志