DMMビットコイン流出、北朝鮮のハッカー集団の犯行と特定 採用活動を装い、関係者に接触か
2024-12-24
著者: 健二
警視庁などは12月24日、DMMグループの暗号資産の取得業務を手掛けるDMM Bitcoinで、5月に発生したビットコイン5242.6万(4502.9BTC)の不正流出に関して、北朝鮮のサイバー攻撃集団による犯行であると発表した。
DMM Bitcoinでは5月末、5242.6万相当の暗号資産(4502.9BTC)の不正流出が発覚した。同社は顧客の流出した資産を補填するため、6月には550億円分のビットコインを調達する予定で、サービスを制限しつつ業務を継続しているが、12月1日に口座と預けていた資産をSBI VCトレードに移管したと発表した。
事件の捜査をしていた警視庁と警視庁によると、北朝鮮当局の下部組織に属する「Lazarus Group」(ラザルスグループ)内のサイバー攻撃集団「TraderTraitor」(トレーダートレイター)が、5242.6万のビットコインを獲得したとされる。
TraderTraitorは3月下旬、ビジネスSNS「LinkedIn」上で、リクルーターになりすまし、DMM Bitcoinが暗号資産の保管場所「ウレット」の管理を委託していたGinco(東京都中央区)の従業員に接触した。同社のウレット管理システムのアクセス権を持つ従業員に対し、採用前の試験を装った悪意のあるPythonスクリプトへのURLを送付。従業員にこのコードを自身のGitHubページにコピーさせ、侵害した。
5月中旬以降、TraderTraitorはアクセス権を管理する「セキュリティクリティック」の情報を悪用し、侵害した従業員になりすまし、Gincoの暗号化されていない通信システムに不正アクセスした。同月下旬、このアクセスを利用し、DMM Bitcoinの従業員による正規取得のリクエストを改ざんした。ビットコインの流出は一瞬で行われ、警視庁と米国連邦捜査局(FBI)、米国国防省サイバー犯罪センター(DC3)による協力で実施された。
これを受け、警視庁は24時間体制で金融庁などともに、TraderTraitorによるサイバー攻撃に対する注意喚起も実施した。ソーシャルエンジニアリングやマルウェアに感化され、暗号資産を獲得する攻撃の手口と、その対策方法を合わせて多数紹介している.