IT大手DMM.comのグループで仮想通貨(暗号資産)の交換業者「DMMビットコイン」(東京都)から482億円相当の仮想通貨が流出した事件について、警察庁と米連邦捜査局(FBI)は24日、北朝鮮の対外工作機関傘下とされるハッカー集団「TraderTraitor(トレイダートレイター)」によるサイバー攻撃だと判明したと発表した。
攻撃者を特定して非難声明を出す「パブリック・アトリビューション」で、日本政府としては8例目。うち北朝鮮関連ではハッカー集団「ラザルス」などに続いて3例目。
DMMビットコインは5月にビットコイン流出を公表し、警視庁に被害を相談。警察庁も加わって不正アクセス禁止法違反などの容疑で捜査している。
警察庁によると、3月以降、DMMビットコインの仮想通貨の出入金を委託されていた管理会社「Ginco」(東京都)の社員に対し、ヘッドハンティングを装った人物がビジネス向けSNS(ネット交流サービス)「リンクトイン」で、「あなたの技術に感銘を受けた。プログラミングを学びたい」などとメッセージを送ったという。
攻撃側は、社員の「能力を試す」としたやり取りの中で、社員のパソコンに不正プログラムを仕掛け、出入金管理に関する社員のアクセス権を入手。さらに偽の仮想通貨の取引を発注するプログラムも仕掛けて、意図しない出金をさせ、仮想通貨の流出を引き起こしたとみられる。
警察庁などの捜査で、Ginco社員に接触したSNSのアカウントや社員のパソコンが接続したサーバーは北朝鮮が管理していた疑いが浮上。流出した仮想通貨の一部がトレイダートレイターが管理するとみられる口座に送金されていたことも突き止めた。さらに米国政府とも情報交換を進め、攻撃者の特定に至ったという。
トレイダートレイターは北朝鮮の朝鮮人民軍偵察総局と関連があるとみられ、ラザルスと類似のグループという。北朝鮮系ハッカー集団は窃取した仮想通貨を、核・ミサイル開発に充てていると指摘されている。
米当局の2023年8月の発表によると、トレイダートレイターの関与が疑われる仮想通貨交換業者への攻撃はDMMビットコイン以外に少なくとも3件確認され、被害額は計約2億ドル(約300億円)に上る。
DMMビットコインは流出事件をきっかけに2日、廃業を発表している。
【山崎征克】
2024年12月24日
「DMMビットコイン流出、北朝鮮ハッカーの攻撃 警察庁が非難声明」 by 毎日新聞
稲村悠:日本カウンターインテリジェンス協会代表理事/元公安捜査官がコメントしています。北朝鮮は複雑な手法を用いており、ターゲットの選定や入念な基礎調査を行っています。最近の事件では、採用を装った攻撃が行われたと指摘されています。
大元隆志:CISOアドバイザーによる解説では、ビットコインの高騰により、攻撃者にとってビットコインは魅力的な標的となっていると述べています。LinkedInを利用している際の不審な求人についても言及されています。
コメントには、北朝鮮のハッカー集団が国家規模のリソースを持っているため、外部委託による業務管理のリスクが指摘されており、重要な業務は内部で厳重に管理する必要があるとの意見がありました。
また、システムの問題ではなく人間のエラーが原因であるとの意見や、社員が買収されるリスクについても言及されています。
このニュースは「DMMビットコイン流出、北朝鮮ハッカーの攻撃 警察庁が非難声明」として、12月24日(火)に配信されたものです。