暗号資産(仮想通貨)ウォレットの開発などを手がけるGincoは28日、昨年5月に発生した国内暗号資産取引所DMM Bitcoinにおける不正流出に関連し、北朝鮮当局の下部組織とされる「Lazarus Group(ラザルスグループ)」の一部より不正アクセス被害を受けたと発表した。
発表によると、GincoはLazarus Groupに属するとされるサイバー攻撃グループ「TraderTraitor(トレーダートレイター)」による標的型ソーシャルエンジニアリングを含む大規模なサイバー攻撃を受けたという。具体的には、Gincoが提供する暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet」を構成するインフラストラクチャの特定部への不正アクセスが確認できたと述べている。
DMM Bitcoinの不正流出を巡っては、昨年12月に警察庁やFBI(米国連邦捜査局)などがTraderTraitorによる犯行であるとして特定したことを発表していた。今回のGincoの発表はそれを受けてのものとなる。
DMM Bitcoinは「Ginco Enterprise Wallet」を利用して暗号資産管理を行っていた。なお、「Ginco Enterprise Wallet」は利用者自身が暗号資産及び秘密鍵を管理するためのソフトウェアであり、GincoがDMM Bitcoinのコールドウォレットを操作することはできないと説明している。その上で、Gincoは金融庁から認可された暗号資産交換業者ではないことから、暗号資産及び秘密鍵の管理、送金に関する業務を受託する立場ではないと続けている。
Gincoは不正アクセス被害にあった経緯についても詳細を明らかにした。
まず、攻撃者は昨年3月にビジネス特化型SNSのLinkedIn上でリクルーターになりすまし、Gincoの従業員に接触。攻撃者はGitHub上に保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付し、スクリプトの実行をGincoの従業員に促した。
これにより従業員の業務用端末が侵害され、攻撃者は「Ginco Enterprise Wallet」のインフラストラクチャとして契約しているクラウドサービス上のKubernetesの本番環境へアクセス可能な認証情報(Credential)を不正に取得したと認められたという。この攻撃に利用されたPythonスクリプトは、Pythonの仕様を利用した高度な手法によって攻撃を行う類のものであったことが捜査当局により確認されたとしている。
その後、攻撃者は昨年5月24日から31日の間にGincoの従業員の認証情報を用いて、Kubernetesの本番環境へ不正アクセスを行ったようだ。
なお、「Ginco Enterprise Wallet」のアプリケーション、ソースコード、Gincoが管理する顧客関連情報が保存されているデータベースなどへの不正アクセスはなかったという。
不正流出が発生したDMM Bitcoinは、3月にSBI VCトレードへの顧客資産移管を予定している。移管完了後、廃業する予定だ。
この事件では当時レートで約482億円相当のビットコイン(BTC)が不正流出している。北朝鮮によるハッキング等を通じた被害額は年々増加しており、金融庁などは国内暗号資産関連企業に対して注意を呼びかけている。
参考:発表
画像:発表より引用
Interview Iolite FACE vol.12 チェイナリシス ジャパン・内田雅彦、Messari Japan 代表/株式会社DeFimans 代表取締役CEO Co-founder・佐藤太思 PHOTO & INTERVIEW ダレノガレ明美 特集「イーサリアムとは何か? イーサリアムの光と闇に迫る——」「2025年のビットコインはどうなる? 重要トピックと今後の見通しを徹底解説」「2025年 暗号資産トレンド予測 暗号資産の歴史を紡ぐ出来事と未来予測カレンダー」 特別対談:株式会社テクロス 代表取締役 辻󠄀拓也 × 元スクウェア・エニックス 代表取締役社長 和田洋一 連載 Tech and Future 佐々木俊尚…等
