Gincoから初の詳細報告──DMMビットコイン482億円流出事案
![Gincoから初の詳細報告──DMMビットコイン482億円流出事案](https://www.coindeskjapan.com/wp-content/uploads/2025/01/スクリーンショット-2025-01-28-17.31.40-990x660.jpg)
Gincoは1月28日、暗号資産(仮想通貨)取引所DMMビットコインで発生した482億円相当のビットコイン流出事案に関する調査報告を公開した。
同社は、北朝鮮の「Lazarus Group」傘下のサイバー攻撃グループ「TraderTraitor」による標的型攻撃で、同社の暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet」のインフラに不正アクセスされていたことを明らかにした上で、関係者への謝罪を表明した。
以下は、同社が「現在までに判明した事実関係に基づき開示できる情報」として報告した全文である。
当社が提供する本ソフトウェアは、ユーザー様の暗号資産および秘密鍵をユーザー様自身の管理下で安全に取り扱うことを支援するものです。本ソフトウェアにおいてトランザクションの指図や履歴の管理を行うサーバおよびユーザー様の操作画面は当社が契約するクラウド環境より提供しております。
一方で、暗号資産および秘密鍵の管理については、専用のコールドウォレットソフトウェアを納品することでユーザー様に保管・管理および使用いただくというシステム構成です。そのため当社は暗号資産や秘密鍵を保管・管理しておらず、ユーザー様のもとでオフライン環境下で保管される当該コールドウォレットソフトウェアを当社が操作することは出来ません。
また、当社は金融庁の登録を受けた暗号資産交換業者ではなく、そのためユーザー様から暗号資産および秘密鍵の管理ならびに送金に係る業務を受託する立場ではありません。
本件において、攻撃者は、LinkedIn上でリクルーターになりすましたうえで、2024年3月下旬に当社従業員に接触し、GitHub上に保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付しました。
攻撃者は、当該従業員が、このPythonスクリプトを実行するように誘導し、その結果、当社従業員の業務用端末が侵害され、攻撃者は、本ソフトウェアのインフラストラクチャとして契約しているクラウドサービス上のKubernetesの本番環境へアクセス可能な認証情報(Credential)を不正に取得したと認められます。この攻撃に利用されたPythonスクリプトは、Pythonの仕様を利用した高度な手法によって攻撃を行う類のものであったことが捜査当局により確認されています。
そして、2024年5月24日から31日の間において、攻撃者が当該従業員の認証情報を用いて、Kubernetesの本番環境へ不正アクセスを行った形跡が確認されています。なお、本ソフトウェアのアプリケーション、ソースコード、当社が管理する顧客関連情報が保存されているデータベース等、その他の当社業務ツールや仕様書等への不正アクセスは確認されておりません。
本件と2024年5月31日に発生した不正送金との関係については、以下を確認しております。当社は、株式会社DMM Bitcoin様(以下、「当該利用者様」といいます。)のシステム開発・運用を担う企業様(以下、「当該契約者様」といいます。)に対し、本ソフトウェアを提供するとともに、当該契約者様が当該利用者様に本ソフトウェアを使用させることを許諾しております。
攻撃者は、不正アクセスを行った際に、低レイヤーの通信処理に干渉する手法により、当該利用者様による正規のトランザクション指図に対し、不正なデータを追加したことが判明しております。なお、不正送金のトランザクションが本ソフトウェアから送信された事実はありません。
現在も捜査が継続中であること、当社が捜査上の情報のすべての開示を受けているわけではないこと、また、当該利用者様の業務環境および実際のオペレーションについて直接情報を取得ならびに公表できる立場ではないことから、当社からご報告できる情報は以上となります点、何卒ご理解賜りますようお願い申し上げます。
[Gincoウェブサイトから]
DMMビットコインによる暗号資産流出事案の経緯
2024年5月に発生したDMMビットコインからの482億円相当(4502.9BTC)の暗号資産流出事件について、警察庁は同年12月24日、北朝鮮を背景とするサイバー攻撃グループ「トレイダートレイター(TraderTraitor)」による犯行と特定した。米連邦捜査局(FBI)および米国防省サイバー犯罪センター(DC3)との共同調査によって判明したもので、攻撃の手口も明らかになった。
トレイダートレイターは北朝鮮当局の下部組織「ラザルスグループ(Lazarus Group)」の一部とされる組織で、2024年3月下旬からビジネスSNS「リンクトイン(LinkedIn)」を利用した標的型攻撃を開始。DMMビットコインが暗号資産取引の管理を委託していたソフトウェア開発企業「Ginco」の従業員に対し、採用担当者を装って接触した。
採用試験を装って送付した悪意のあるウェブサイトのリンクを通じて従業員のアカウントを乗っ取り、5月中旬以降、Gincoの社内システムに侵入。DMMビットコインでの取引手続きを不正に操作し、顧客資産を攻撃グループが管理するアドレスへと送金させた。
これを受けDMMビットコインは同年12月26日、Gincoに対して暗号資産の不正流出に至った具体的な経緯とセキュリティ対策が機能しなかった原因について説明を求める声明を発表。同社は取引所の閉鎖を決定しており、資産と顧客口座はSBIVCトレードに移管、今年3月までに移行を完了する予定となっている。
|文:栃山直樹
|画像:Gincoウェブサイトから(キャプチャ)