キーポイント
- 北朝鮮の国家支援グループ "TraderTraitor "は、DMM暗号通貨 取引所に対する高度なソーシャル・エンジニアリング攻撃を指揮することに成功し、侵害された企業向けウォレット・プロバイダーを通じて4,502.9BTC(3億800万ドル)が盗まれた。
- 攻撃者は、LinkedInを通じてGincoの従業員をターゲットに、採用試験を装った悪意のあるPythonコードで最初のアクセスを獲得し、最終的にDMMの取引システムの侵害につながった。
洗練されたソーシャル・エンジニアリングが大規模な情報漏えいを引き起こす
FBI、米国防総省サイバー犯罪対策センター(DC3)および日本の警察庁の共同発表によると、当局は、3億800万ドルという巨額の暗号通貨が盗まれたのは、北朝鮮国家に支援されたハッカーの仕業であるとしている。TraderTraitor」(別名Jade Sleet、UNC4899、Slow Pisces)として追跡されているグループは、2024年5月に日本の著名な暗号通貨取引所の一つであるBitcoin.DMM.comを標的とすることに成功した。
この攻撃は、2024年3月、ハッカーがLinkedInでリクルーターを装い、日本の企業向け暗号通貨ウォレットソフトウェアプロバイダーであるGincoの従業員を標的にした、入念に練られたソーシャルエンジニアリングキャンペーンから始まった。Gincoのウォレット管理システムにアクセスできる被害者は、入社前テストを完了すると見せかけ、GitHubページから悪意のあるPythonコードをコピーするよう説得された。
技術的搾取と資金移動
TraderTraitorグループは、侵害されたアクセスを利用して、セッション・クッキー情報を悪用し、同社の暗号化されていない通信システム内でGincoの従業員になりすました。このポジションにより、彼らはDMMの従業員からの正当な取引要求を傍受し、操作することができました。この攻撃の頂点に達した結果、4,502.9 BTC(窃盗当時3億800万ドル相当)が、脅威行為者が管理するウォレットに不正送金されました。
国際的対応と進行中の調査
この事件は、FBI、警察庁、その他の政府機関が連携して、盗まれた資金を追跡し、回収する可能性のある国際的な対応を促した。この攻撃は、北朝鮮による暗号通貨強奪の中でも最大級のものであり、北朝鮮は政権の収入を得る手段として暗号通貨窃盗にますます目を向けている。
法執行当局者は、今回の事件は、北朝鮮のサイバー作戦が巧妙化し、暗号通貨プラットフォームを高価値の標的として継続的に注目していることを浮き彫りにしたと強調している。この攻撃はまた、特に暗号通貨組織内の従業員確認プロセスや通信システムに関する強固なセキュリティ対策を導入することの重要性を強調している。
当局は北朝鮮の不正なサイバー活動の摘発と撲滅に全力を挙げており、捜査は現在も継続中である。今回の事件は、暗号通貨業界が直面する永続的な脅威と、暗号通貨エコシステム全体にわたるセキュリティ対策の強化の必要性を痛感させるものである。
