セキュリティ

DMMからビットコインを盗んだのは北朝鮮だと日本とFBIが名指しで発表、これまでの北朝鮮による仮想通貨強盗まとめ


警察庁やFBIなどは2024年12月24日に、DMMグループで仮想通貨の取引業務を手がけるDMM Bitcoinで、2024年5月に発生したビットコイン約482億円相当の不正流出について、北朝鮮のサイバー攻撃集団「TraderTraitor」による犯行と特定したことを発表しました。

北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について (注意喚起)
(PDFファイル)https://www.npa.go.jp/bureau/cyber/pdf/20241224_caution.pdf


FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com — FBI
https://www.fbi.gov/news/press-releases/fbi-dc3-and-npa-identification-of-north-korean-cyber-actors-tracked-as-tradertraitor-responsible-for-theft-of-308-million-from-bitcoindmmcom

今回の事件は2024年5月31日、DMM Bitcoinのウォレットからビットコインの不正流出が検出されたことに端を発します。不正流出が確認されたビットコインの総額は4502.9BTC(約482億円相当)で、DMMは2024年6月5日には不正流出したビットコインの全額保証のため約550億円を調達する計画を明らかにしていました。2024年8月にDMMグループの亀山敬司会長は「ビットコインユーザーの皆様には、多大なるご迷惑をおかけして申し訳ございません」「引き続き、原因等公開できる情報があり次第、すぐに開示いたします」と述べていました。

「DMMビットコイン」が不正流出したビットコインの全額保証のため約550億円を調達すると発表 - GIGAZINE


その後、2024年9月26日に関東財務局はDMM Bitcoinに対して資金決済に関する法律第63条の16に基づいて業務改善命令を含む行政処分を行いました。この行政処分によりDMM Bitcoinはビットコインの不正流出事案についての具体的な事実関係および根本原因の分析や究明、顧客への対応、システムリスク管理体制の強化などが求められました。

不正流出の発生以降、DMM Bitcoinは新規口座開設の審査や仮想通貨の出庫処理、現物取引の買い注文の停止など、サービスを制限して業務を進めていましたが、2024年12月1日に顧客口座および預かり資産をSBI VCトレードへ移管することを発表。また、2025年3月頃の移管完了後DMM Bitcoinは事業を廃止する予定であることを報告しました。

【重要】口座及び預かり資産のSBI VCトレードへの移管に向けた基本合意について - DMMビットコイン(2024/12/02)
https://bitcoin.dmm.com/news/20241202_01


その後、アメリカの分析会社・ChainalysisはDMM Bitcoinへの不正アクセスに北朝鮮のサイバー攻撃集団が関連しているとの調査結果を公表。Chainalysisが盗まれた仮想通貨を追跡したところ、取引履歴を匿名化するサービス「ミキサー」を使用した上でカンボジアのオンラインマーケットプレイス「Huione Guarantee」に流入させるなど、資金洗浄を進めていたことが明らかになっています。

そして2024年12月24日に、警察庁や警視庁、FBIなどは北朝鮮政府関連のサイバー攻撃集団「Lazarus Group」の1部門である「TraderTraitor」が今回のビットコイン不正流出に関与していることを発表しました。発端となったのは2024年3月、LinkedIn上でTraderTraitorが転職活動に関するリクルーターになりすまし、DMM Bitcoinのウォレットの管理を委託していたGincoの従業員に接触したことです。この従業員に対し、TraderTraitorは採用試験を装った悪意のあるPythonスクリプトへのURLを送付し、従業員にこのコードを自身のGitHubページにコピーさせました。

2024年5月以降、TraderTraitorはアクセス権限を管理する「セッションクッキー」の情報を悪用し、該当の従業員になりすましてGincoの通信システムに不正アクセスしました。さらにこのアクセスを利用してDMM Bitcoinの従業員による仮想通貨の正規取引リクエストを改ざんし、ビットコインを窃取。その後、窃取したビットコインをTradorTraitorが管理するウォレットに移したそうです。


北朝鮮からのサイバー攻撃による仮想通貨の盗難は2017年以降増加の一途をたどっており、韓国の情報機関である国家情報院は2022年12月に「北朝鮮のサイバー攻撃集団が盗んだ仮想通貨などの資産は2022年だけで8000ウォン(約860億円)、2017年からの5年間で累計1兆5000億ウォン(約1620億円)に上る」との調査結果を報告しました。

北朝鮮ではこうした仮想通貨の窃盗による収入が政権の主要な収入源の1つとなっており、盗まれた仮想通貨が弾道ミサイルや大量破壊兵器の開発などに用いられていることも指摘されています。

北朝鮮はサイバー攻撃による仮想通貨強盗によって兵器開発計画の資金を確保しているという恐るべき実態 - GIGAZINE


さらに、仮想通貨取引プラットフォームのHyperliquidでは、2024年12月23日に北朝鮮のハッカーが潜在的なセキュリティバグをテストするためのアドレスとその活動の兆候が見つかったことが報告されました。


セキュリティ専門家のテイラー・モナハン氏は「北朝鮮によるHyperliquidからの資金流出や悪用の兆候は見つからなかった」と述べていますが、北朝鮮のハッカーが取引所で活動しているという懸念から、Hyperliquidには一部のユーザーによる資金の引き出しが殺到。ベンチャーキャピタルファンドのHashedによると、2024年12月23日の1日だけで1億1200万ドル(約170億円)相当のステーブルコイン・USDCがHyperliquidから引き出されたほか、Hyperliquid独自の仮想通貨・HYPEの価格が20%以上下落したことも報告されています。

この記事のタイトルとURLをコピーする

・関連記事
北朝鮮は「仮想通貨の窃盗」で数千億円もの外貨を獲得している、銀行強盗より仮想通貨取引所のハッキングの方が簡単という指摘も - GIGAZINE

1800億円超のマネーロンダリング容疑で「Tornado Cash」創業者のアレクセイ・ペルツェフに禁錮5年4カ月の有罪判決 - GIGAZINE

300社以上を騙して北朝鮮関連のIT労働者を雇用させ核開発資金を稼いだ疑いでアメリカ司法省が5人を起訴 - GIGAZINE

北朝鮮人が求人に応募してきたので「元CIA工作員」の創業者が撃退した話 - GIGAZINE

北朝鮮のサイバー攻撃集団がChromiumの脆弱性を悪用して仮想通貨を盗んだと判明、脆弱性は修正済み - GIGAZINE

北朝鮮のハッカーが「Internet Explorer」のゼロデイ脆弱性を悪用してマルウェア攻撃を仕掛ける - GIGAZINE

in ソフトウェア,   ネットサービス,   セキュリティ, Posted by log1r_ut

You can read the machine translated English article here.