暗号資産(仮想通貨)ウォレットの開発などを手がけるGincoは28日、昨年5月に発生した国内暗号資産取引所DMM Bitcoinにおける不正流出に関連し、北朝鮮当局の下部組織とされる「Lazarus Group(ラザルスグループ)」の一部より不正アクセス被害を受けたと発表した。
発表によると、GincoはLazarus Groupに属するとされるサイバー攻撃グループ「TraderTraitor(トレーダートレイター)」による標的型ソーシャルエンジニアリングを含む大規模なサイバー攻撃を受けたという。具体的には、Gincoが提供する暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet」を構成するインフラストラクチャの特定部への不正アクセスが確認できたと述べている。
DMM Bitcoinの不正流出を巡っては、昨年12月に警察庁やFBI(米国連邦捜査局)などがTraderTraitorによる犯行であるとして特定したことを発表していた。今回のGincoの発表はそれを受けてのものとなる。
DMM Bitcoinは「Ginco Enterprise Wallet」を利用して暗号資産管理を行っていた。なお、「Ginco Enterprise Wallet」は利用者自身が暗号資産及び秘密鍵を管理するためのソフトウェアであり、GincoがDMM Bitcoinのコールドウォレットを操作することはできないと説明している。その上で、Gincoは金融庁から認可された暗号資産交換業者ではないことから、暗号資産及び秘密鍵の管理、送金に関する業務を受託する立場ではないと続けている。
Gincoは不正アクセス被害にあった経緯についても詳細を明らかにした。
まず、攻撃者は昨年3月にビジネス特化型SNSのLinkedIn上でリクルーターになりすまし、Gincoの従業員に接触。攻撃者はGitHub上に保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付し、スクリプトの実行をGincoの従業員に促した。
これにより従業員の業務用端末が侵害され、攻撃者は「Ginco Enterprise Wallet」のインフラストラクチャとして契約しているクラウドサービス上のKubernetesの本番環境へアクセス可能な認証情報(Credential)を不正に取得したと認められたという。この攻撃に利用されたPythonスクリプトは、Pythonの仕様を利用した高度な手法によって攻撃を行う類のものであったことが捜査当局により確認されたとしている。
その後、攻撃者は昨年5月24日から31日の間にGincoの従業員の認証情報を用いて、Kubernetesの本番環境へ不正アクセスを行ったようだ。
なお、「Ginco Enterprise Wallet」のアプリケーション、ソースコード、Gincoが管理する顧客関連情報が保存されているデータベースなどへの不正アクセスはなかったという。
不正流出が発生したDMM Bitcoinは、3月にSBI VCトレードへの顧客資産移管を予定している。移管完了後、廃業する予定だ。
この事件では当時レートで約482億円相当のビットコイン(BTC)が不正流出している。北朝鮮によるハッキング等を通じた被害額は年々増加しており、金融庁などは国内暗号資産関連企業に対して注意を呼びかけている。
参考:発表
画像:発表より引用
Interview Iolite FACE vol.16 concon株式会社 CEO 髙橋史好 PHOTO & INTERVIEW 片石貴展 特集「2026 採用戦線異常アリ!!」「ビットコイン“黄金の1ヵ月”に備えよ」「米国3法案 イノベーション促進か、監視阻止か— 米国の暗号資産政策が大再編 3大法案が描く未来図とは」 Crypto Journey 「暗号資産業界の“影の守護者”が見据える世界のセキュリティ変革」 Hacken CEO ディマ・ブドリン Interview 連載 「揺れる暗号資産相場を読み解く識者の視点」仮想NISHI 連載 Tech and Future 佐々木俊尚…等
