DMMビットコインの流出事件「北朝鮮が関与」金融庁・警察庁が手口例と対策を発表
具体的なソーシャルエンジニアリングの手法が判明
金融庁と警察庁は2024年12月24日に、暗号資産取引所DMMビットコインで発生した暗号資産流出事件に、北朝鮮のサイバー攻撃グループであるTraderTraitor(トレイダートレイター)が関与していることを特定したと公表しました。
DMMビットコインの暗号資産流出事件は2024年5月に発生したもので、DMMビットコインのウォレットから約482億円相当のビットコイン(BTC)が流出、その後は各種サービスが一時停止され、今月2日にはDMMビットコインの事業廃止が正式発表されています。
流出事件の詳細や原因などについては調査中であることが以前から報告されていましたが、今回の発表では「警察庁関東管区警察局サイバー特別捜査部及び警視庁の捜査・分析による結果、具体的なソーシャルエンジニアリングの手法が判明した」と報告されています。
なお、TraderTraitor(トレイダートレイター)は北朝鮮当局の下部組織とされるハッキンググループ「Lazarus Group(ラザルスグループ)」の一部であり、ラザルスグループについては以前から注意喚起が行われています。
今回の発表も注意喚起などを目的としたもので、標的となり得る組織や事業者に適切なセキュリティ対策を講じてもらうためとして、流出事件の手口例や緩和策として以下のような報告がなされています。
暗号資産窃盗の手口例
ソーシャルエンジニアリングによる接近手口例
- 攻撃者は、第三者の名前や顔写真を悪用し、企業幹部を装うなどして、SNSで標的対象者にメッセージを送信する。
- 標的となるのは、日本人だけではなく、国内外に居住する外国人を含む暗号資産関連事業者の従業員である。また、ブロックチェーンやWeb3技術の技術者も標的となり得る。
- 攻撃者は、アプローチの際に、標的対象者のプロフィールに掲載されている経歴やスキルを元に、関心を引くような問いかけを行う。例えば、ソフトウェア技術者であれば「あなたからプログラミングを学びたい」「私のプログラムの不具合を直してほしい」といったものがある。
- 攻撃者は、異なるSNSや、メッセージングアプリでのやりとりを希望する場合がある。これは、攻撃者側が送信したメッセージを受信者側の記録から消去できるサービスを利用したいことが理由として考えられる。
マルウェアを感染させる手口例
- 攻撃者は、標的対象者のPCをマルウェアに感染させようとする。
- 例えば、攻撃者がGitHubにコミットした「不具合があってうまく動かない」と主張する、シンプルなAPIへアクセスするプログラムを、標的対象者に実行させて、不具合を特定させようとすることが考えられる。
- 攻撃者は、APIの通信先に、正規のサーバーのほか、攻撃者が用意したサーバーを含めており、API からの応答を処理する関数に、コード実行可能な関数を紛れ込ませて、マルウェアに感染させようとする可能性がある。
- 他にも、様々な手口によって、標的対象者で不正なプログラムを実行させることでマルウェアに感染させようとする。
認証情報等の窃取~暗号資産窃取の手口例
- 攻撃者は、マルウェア感染させたPCに保存されている認証情報や、セッションクッキー等を窃取し、標的対象者になりすまして、暗号資産管理やブロックチェーン関連業務で利用するシステムにアクセスし、暗号資産等の窃取を行おうとする可能性がある。また、個人管理する暗号資産の窃取を狙うことも考えられる。
- 攻撃者は、システム構成を短期間で把握し、なりすました標的対象者が持つロールや権限に応じた、暗号資産の窃取が可能なポイント・手法を見つけ出そうとするおそれがある。
暗号資産窃盗の対処例と緩和策
システム管理者向け
- 通信先ドメインの登録日が数日~数週間前など、比較的新しくないか確認する。
- 多要素認証を導入する。
- 業務付与期間に限定した必要最小限のアクセス範囲と権限を付与する。(業務付与期間終了後、速やかに縮小・削除する)
- 事前申請または通常の業務時間帯・曜日ではない期間に行われたアクセスに関する認証ログ、アクセスログがないか監視する。(例:時差の大きい地域に居住する従業員が、通常は日本時間の夜や早朝にアクセスしているにもかかわらず、ある時期 から日本時間の日中もアクセスしている等)
- EDRやPC内のログと矛盾がないか監視する。(例:PCが電源OFFしている期間にアクセスしていないか)
- 居住地以外の地域やVPNサービスからとみられるアクセスに関する認証ログ、アクセスログがないか監視する。
- 貸与している業務用PC以外からとみられるアクセスに関する認証ログ、アクセスログがないか監視する。(例:UserAgent が通常と異なる)
- 退職した従業員のアカウントは速やかにロックするとともに、認証試行があった際は、速やかに検知・対処ができるようにしておく。
- 従業員の理解と協力を得て、ダミーの認証情報をWebブラウザに記憶させる等しておき、認証試行があった際は、速やかに検知・対処ができるようにしておく。
- PCのログ保存期間や、マルウェアに感染した後にログが消去されるリスクを考慮し、ログを集中的に保存・検索できる仕組みを構築し、異常の把握と速やかな対処ができるようにしておく。
従業員向け
- 事前に許可されている場合を除き、私用PCで機微な業務用システムにアクセスしない。
- SNSでアプローチを受けた際は、ビデオ通話を要求する。(複数回拒否する場合は不審と判断する)
- アプローチ元のプロフィールや、SNSでのやりとりについて、スクリーンショットを保存する。
- ソースコードの確認や実行を急がせる兆候があれば、不審性を考慮する。
- 内容を確認せずにコードを実行せず、コードエディタで開いて、折り返し表示にする。
- コードを実行する際は、業務用PCを使用しない、または仮想マシンを使用する。
対応
被害拡大防止および適切な事後対策に必要となる原因究明のため、PCのマルウェア感染が疑われる場合は、原則として電源を入れたまま、速やかにインターネットや業務用ネットワークから隔離し、なるべく早く適切な保全措置を行うべき。(メモリダンプを含む揮発性情報の収集を優先的に行うべき)
資産管理に関する注目記事
Souce:金融庁・警察庁の公式発表
執筆・翻訳:BITTIMES 編集部
サムネイル:Shutterstockのライセンス許諾により使用