日本、米国、韓国の3カ国は1月14日、北朝鮮による暗号資産窃取への対策強化に向けた共同声明を発表した。日本からの発表は、金融庁、警察庁、内閣サイバーセキュリティセンター(NISC)、外務省、財務省、経済産業省の6府省庁連名によるもの。
声明では、2024年に発生した複数の大規模ハッキング事案について、北朝鮮の関与を正式に認定。DMMビットコインからの3億800万ドル(約483億円、1ドル=157円換算)、Upbitからの5000万ドル(約78億円)、Rain Managementからの1613万ドル(約25億円)の窃取に加え、WazirXからの2億3500万ドル(約368億円)、Radiant Capitalからの5000万ドルの窃取についても北朝鮮の犯行と結論付けた。
3カ国は、北朝鮮系サイバー攻撃グループのトレイダートレイター(TraderTraitor)らが、AppleJeusなどのマルウェアを使用し、ブロックチェーン企業に対する標的型攻撃を継続していると指摘。対策として、違法暗号資産通知(IVAN)情報共有パートナーシップや、暗号資産及びブロックチェーンISAC(Crypto-ISAC)などの官民連携の仕組みを強化する方針を示した。
日本国内では、金融庁が日本暗号資産等取引業協会(JVCEA)と連携し、2024年9月と12月に業界各社への注意喚起を実施。今後は日米韓ワーキンググループを通じて、北朝鮮による不正資金調達の防止に向けた取り組みを強化することを表明した。
DMMビットコインの不正流出経緯
2024年5月に発生したDMMビットコインからの当時482億円相当(4502.9BTC)の暗号資産流出事案について、警察庁は12月24日、北朝鮮を背景とするサイバー攻撃グループ「トレイダートレイター(TraderTraitor)」による犯行と特定した。米連邦捜査局(FBI)および米国防省サイバー犯罪センター(DC3)との共同調査によって判明したもので、攻撃の手口も明らかになった。
トレイダートレイターは北朝鮮当局の下部組織「ラザルスグループ(Lazarus Group)」の一部とされる組織で、2024年3月下旬からビジネスSNS「リンクトイン(LinkedIn)」を利用した標的型攻撃を開始。DMMビットコインが暗号資産取引の管理を委託していたソフトウェア開発企業「Ginco」の従業員に対し、採用担当者を装って接触した。
採用試験を装って送付した悪意のあるウェブサイトのリンクを通じて従業員のアカウントを乗っ取り、5月中旬以降、Gincoの社内システムに侵入。DMMビットコインでの取引手続きを不正に操作し、顧客資産を攻撃グループが管理するアドレスへと送金させた。
これを受けDMMビットコインは12月26日、Gincoに対して暗号資産の不正流出に至った具体的な経緯とセキュリティ対策が機能しなかった原因について説明を求める声明を発表。同社は取引所の閉鎖を決定しており、資産と顧客口座はSBIVCトレードに移管、今年3月までに移行を完了する予定となっている。
|文:栃山直樹
|画像:Shutterstock
