セキュリティ

SECURITY

公開：2024-12-26

北朝鮮系サイバー攻撃グループTraderTraitorがDMM Bitcoinから482億円相当の暗号資産を窃取、警察庁が手口を公開

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 北朝鮮系TraderTraitorによるDMM Bitcoinへのサイバー攻撃を特定
• Ginco従業員を標的としたソーシャルエンジニアリング手法を解明
• 約482億円相当の暗号資産が窃取される被害が発生

警察庁が解明したTraderTraitorによる大規模暗号資産窃取事案の全容

警察庁は関東管区警察局サイバー特別捜査部及び警視庁による捜査・分析の結果、2024年5月にDMM Bitcoinから約482億円相当の暗号資産を窃取したのが北朝鮮を背景とするサイバー攻撃グループTraderTraitorであると2024年12月24日に特定したことを公開した。TraderTraitorはLazarus Groupの一部とされており、同時に複数の従業員を標的とする特徴的なソーシャルエンジニアリング手法を用いていることが判明したのだ。^[1]

TraderTraitorは2024年3月下旬にLinkedIn上でリクルーターを装い、暗号資産ウォレットソフトウェア会社Gincoの従業員に接触を開始した。GitHubに保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付し、アクセス権を持つ従業員がコードを自身のGitHubページにコピーしたことで侵害に成功している。

2024年5月中旬以降、TraderTraitorは侵害された従業員のセッションクッキー情報を悪用してGincoの暗号化されていない通信システムへのアクセスに成功した。同月下旬にはDMM従業員による正規取引のリクエストを改ざんし、4,502.9BTC（約482億円相当）をTraderTraitorが管理するウォレットに移動させる手口で窃取を完遂したとされる。

TraderTraitorによる攻撃手法の詳細

ソーシャルエンジニアリングについて

ソーシャルエンジニアリングとは、人間の心理的な隙や行動の特徴を利用して、情報システムのセキュリティを突破する手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正当な関係者を装い信頼関係を構築する手法
• 心理的な圧迫や緊急性を利用した情報搾取
• SNSやメールを使用した標的型アプローチ

TraderTraitorによる攻撃では、LinkedInを通じた採用担当者を装った接触から始まり、採用試験を装った悪意あるスクリプトの実行まで巧妙な手口が用いられた。この事例からも、ソーシャルエンジニアリングが持つ技術的な対策だけでは防ぎきれない特徴が明確に表れている。

暗号資産セキュリティに関する考察

暗号資産取引所のセキュリティ対策において、従業員への継続的な教育と監視体制の強化が不可欠となっている。特にTraderTraitorのような高度な技術を持つ攻撃者グループに対しては、システムの技術的な防御だけでなく、従業員一人一人のセキュリティ意識向上と不審な接触に対する警戒が重要な防衛線となるだろう。

今後は暗号資産取引所やウォレット開発企業において、従業員の認証情報管理の厳格化とアクセス権限の最小化が求められる。特にGincoの事例のように、開発者が持つ高度な権限が悪用されるリスクに対しては、多要素認証の導入や取引承認プロセスの多層化など、より強固な防御策の確立が望まれるところだ。

また、暗号資産業界全体として、セキュリティインシデントの情報共有体制の構築が重要な課題となっている。警察庁による今回の分析結果の公開は、業界全体のセキュリティ意識向上に大きく貢献することが期待されるだろう。

参考サイト

1. ^ 警察庁. 「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor による暗号資産関連事業者を標的としたサイバー攻撃について 」. https://www.npa.go.jp/bureau/cyber/pdf/020241224_pa.pdf, (参照 24-12-26).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧