暗号資産(仮想通貨)ウォレットの開発などを手がけるGincoは28日、昨年5月に発生した国内暗号資産取引所DMM Bitcoinにおける不正流出に関連し、北朝鮮当局の下部組織とされる「Lazarus Group(ラザルスグループ)」の一部より不正アクセス被害を受けたと発表した。
発表によると、GincoはLazarus Groupに属するとされるサイバー攻撃グループ「TraderTraitor(トレーダートレイター)」による標的型ソーシャルエンジニアリングを含む大規模なサイバー攻撃を受けたという。具体的には、Gincoが提供する暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet」を構成するインフラストラクチャの特定部への不正アクセスが確認できたと述べている。
DMM Bitcoinの不正流出を巡っては、昨年12月に警察庁やFBI(米国連邦捜査局)などがTraderTraitorによる犯行であるとして特定したことを発表していた。今回のGincoの発表はそれを受けてのものとなる。
DMM Bitcoinは「Ginco Enterprise Wallet」を利用して暗号資産管理を行っていた。なお、「Ginco Enterprise Wallet」は利用者自身が暗号資産及び秘密鍵を管理するためのソフトウェアであり、GincoがDMM Bitcoinのコールドウォレットを操作することはできないと説明している。その上で、Gincoは金融庁から認可された暗号資産交換業者ではないことから、暗号資産及び秘密鍵の管理、送金に関する業務を受託する立場ではないと続けている。
Gincoは不正アクセス被害にあった経緯についても詳細を明らかにした。
まず、攻撃者は昨年3月にビジネス特化型SNSのLinkedIn上でリクルーターになりすまし、Gincoの従業員に接触。攻撃者はGitHub上に保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付し、スクリプトの実行をGincoの従業員に促した。
これにより従業員の業務用端末が侵害され、攻撃者は「Ginco Enterprise Wallet」のインフラストラクチャとして契約しているクラウドサービス上のKubernetesの本番環境へアクセス可能な認証情報(Credential)を不正に取得したと認められたという。この攻撃に利用されたPythonスクリプトは、Pythonの仕様を利用した高度な手法によって攻撃を行う類のものであったことが捜査当局により確認されたとしている。
その後、攻撃者は昨年5月24日から31日の間にGincoの従業員の認証情報を用いて、Kubernetesの本番環境へ不正アクセスを行ったようだ。
なお、「Ginco Enterprise Wallet」のアプリケーション、ソースコード、Gincoが管理する顧客関連情報が保存されているデータベースなどへの不正アクセスはなかったという。
不正流出が発生したDMM Bitcoinは、3月にSBI VCトレードへの顧客資産移管を予定している。移管完了後、廃業する予定だ。
この事件では当時レートで約482億円相当のビットコイン(BTC)が不正流出している。北朝鮮によるハッキング等を通じた被害額は年々増加しており、金融庁などは国内暗号資産関連企業に対して注意を呼びかけている。
参考:発表
画像:発表より引用
Interview Iolite FACE vol.14 カルダノ(Cardano)/ Input Output Global創業者兼CEO チャールズ・ホスキンソン PHOTO & INTERVIEW 馬渕磨理子 特集「日米暗号資産関連の政策に関する考察」「日本発ブロックチェーン図鑑」「Hyperliquidで巨額のポジション清算が発生! 想定できなかったあらたな分散型金融の危機」「大注目の日本発、生成AIスタートアップ「Sakana AI」」「リセッションに備えよ─ 金融とアノマリーの相関性─」 Crypto Journey 「“論破王”からみたWeb3.0」 ひろゆき Interview 特別連載 仮想NISHI 「暗号資産の相場動向と読み解くポイント」 連載 Tech and Future 佐々木俊尚…等
