DMM Bitcoin不正流出の手法明らかに
国内暗号資産(仮想通貨)取引所DMMビットコイン(DMM Bitcoin)で今年5月に発生したビットコイン(BTC)不正流出事件について、犯人およびその手法が特定された。警察庁が12月24日発表した。
本件の特定は、警察庁が同庁関東管区警察局サイバー特別捜査部及び警視庁による捜査・分析の結果を総合的に評価し、米国連邦捜査局(FBI)および米国国防省サイバー犯罪センター(DC3)とともに行ったとのことだ。
発表によるとDMMビットコインからビットコインを窃取したのは、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」。同組織は、北朝鮮当局の下部組織とされる「Lazarus Group(ラザルスグループ)」の一部とされている。
「TraderTraitor」による犯行の手法の特徴は、同時に同じ会社の複数の従業員に対して実施される「標的型ソーシャルエンジニアリング」であり、DMMビットコインの不正流出についても同手法が用いられたという。
「TraderTraitor」は今年3月下旬、ビジネス特化型SNS「LinkedIn(リンクトイン)」上でリクルーターになりすまし、DMMビットコインの暗号資産管理の委託先である国内の企業向け暗号資産ウォレットソフトウェア会社Ginco(ギンコ)の従業員に接触。同グループは、Gincoのウォレット管理システムへのアクセス権を保有する従業員に、GitHub上に保管された採用前試験を装った悪意あるPythonスクリプトへのURLを送付したという。このPythonコードを被害者が自身のGitHubページにコピーしたことから、その後侵害されたとのこと。
5月中旬、「TraderTraitor」は侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Gincoの暗号化されていない通信システムへのアクセスに成功したという。そして同月下旬に同サイバー攻撃グループは、そのアクセスを利用して、DMM従業員による正規取引のリクエストを改ざんしたとのこと。
その結果、攻撃当時約482億円相当となる4,502.9BTCがDMMビットコインより喪失し、窃取された資産は最終的に「TraderTraitor」が管理するウォレットに移動されたとのことだ。
なお一部報道によると被害を受けたGincoの従業員は、インド人でリモートワークで作業をしていたという。
また「TraderTraitor」による被害が国内で確認されるのは初の事例とのこと。サイバー攻撃の攻撃者や背景の国家を特定し非難する声明「パブリック・アトリビューション」を日本政府が発出するのは8例目であるという。本件について警察庁らは今後も不正アクセス禁止法違反容疑で調べを行うとのこと。
また本件を受け、警察庁、内閣サイバーセキュリティセンター、金融庁は、手口例及び緩和策とともに「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)」を同日24日に公表した。
またこの公表に伴い、金融庁総合政策局長から自主規制団体の日本暗号資産等取引業協会(JVCEA)に対し、暗号資産の流出リスクへの対応などに関する再度の自主点検が要請されている。
DMMビットコインでは5月31日、482億円相当となる4,502.9BTCが同社のウォレットから不正流出した。同社は、DMMグループ内から合計550億円の資金調達を実施し、顧客より預かっているビットコインを全量保証したものの、関東財務局より同社の「システムリスク管理態勢等」及び「暗号資産の流出リスクへの対応」について、重大な問題が認められたとして行政処分を受けていた。
その後12月2日には、DMMビットコインの暗号資産取引サービスの全ての口座及び預かり資産を、同じく国内暗号資産取引所SBI VCトレードへ来春に移管することが発表されている。これによりDMM Bitcoinは暗号資産交換業を廃業することになった。
警察庁は、関東管区警察局サイバー特別捜査部及び警視庁による捜査・分析の結果や米国との連携によって得られた情報を踏まえ、北朝鮮を背景とするサイバー攻撃グループTraderTraitorが株式会社DMM Bitcoinから約482億円相当の暗号資産を窃取したことを特定しました。https://t.co/wNqIQwpDj6
— 警察庁 (@NPA_KOHO) December 23, 2024
参考:警察庁・金融庁
画像:iStocks/majivecka・antoniokhr