暗号資産(仮想通貨)ウォレットの開発などを手がけるGincoは28日、昨年5月に発生した国内暗号資産取引所DMM Bitcoinにおける不正流出に関連し、北朝鮮当局の下部組織とされる「Lazarus Group(ラザルスグループ)」の一部より不正アクセス被害を受けたと発表した。
発表によると、GincoはLazarus Groupに属するとされるサイバー攻撃グループ「TraderTraitor(トレーダートレイター)」による標的型ソーシャルエンジニアリングを含む大規模なサイバー攻撃を受けたという。具体的には、Gincoが提供する暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet」を構成するインフラストラクチャの特定部への不正アクセスが確認できたと述べている。
DMM Bitcoinの不正流出を巡っては、昨年12月に警察庁やFBI(米国連邦捜査局)などがTraderTraitorによる犯行であるとして特定したことを発表していた。今回のGincoの発表はそれを受けてのものとなる。
DMM Bitcoinは「Ginco Enterprise Wallet」を利用して暗号資産管理を行っていた。なお、「Ginco Enterprise Wallet」は利用者自身が暗号資産及び秘密鍵を管理するためのソフトウェアであり、GincoがDMM Bitcoinのコールドウォレットを操作することはできないと説明している。その上で、Gincoは金融庁から認可された暗号資産交換業者ではないことから、暗号資産及び秘密鍵の管理、送金に関する業務を受託する立場ではないと続けている。
Gincoは不正アクセス被害にあった経緯についても詳細を明らかにした。
まず、攻撃者は昨年3月にビジネス特化型SNSのLinkedIn上でリクルーターになりすまし、Gincoの従業員に接触。攻撃者はGitHub上に保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付し、スクリプトの実行をGincoの従業員に促した。
これにより従業員の業務用端末が侵害され、攻撃者は「Ginco Enterprise Wallet」のインフラストラクチャとして契約しているクラウドサービス上のKubernetesの本番環境へアクセス可能な認証情報(Credential)を不正に取得したと認められたという。この攻撃に利用されたPythonスクリプトは、Pythonの仕様を利用した高度な手法によって攻撃を行う類のものであったことが捜査当局により確認されたとしている。
その後、攻撃者は昨年5月24日から31日の間にGincoの従業員の認証情報を用いて、Kubernetesの本番環境へ不正アクセスを行ったようだ。
なお、「Ginco Enterprise Wallet」のアプリケーション、ソースコード、Gincoが管理する顧客関連情報が保存されているデータベースなどへの不正アクセスはなかったという。
不正流出が発生したDMM Bitcoinは、3月にSBI VCトレードへの顧客資産移管を予定している。移管完了後、廃業する予定だ。
この事件では当時レートで約482億円相当のビットコイン(BTC)が不正流出している。北朝鮮によるハッキング等を通じた被害額は年々増加しており、金融庁などは国内暗号資産関連企業に対して注意を呼びかけている。
参考:発表
画像:発表より引用
Interview Iolite FACE vol.13 イーサリアム共同設立者 Consensys創設者ジョセフ・ルービン氏 PHOTO & INTERVIEW 成田悠輔 特集「Dawnbreak Players30 2025 Web3.0注目のプレイヤー30」「EXPO2025 DIGITAL WALLETの使い方」「ミームコインを巡る世界的な騒動 米国とアルゼンチンで何が起こったのか」「ついに技術は社会実装のフェーズへ 人口減少時代におけるWeb3.0活用例」 Crypto Journey 人気クリプトYouTuber モーシン Interview 特別連載 仮想NISHI 「暗号資産の相場動向と読み解くポイント」 連載 Tech and Future 佐々木俊尚…等
