約482億円の暗号資産を窃取 北朝鮮の脅威グループTraderTraitorの巧みな手口：セキュリティニュースアラート

金融庁と警察庁、NISCは、北朝鮮系のサイバー攻撃グループ「TraderTraitor」による暗号資産窃取について注意喚起した。DMM Bitcoinから約482億円のビットコインを窃取した事案の特定を受けて発表されている。攻撃の詳細と有効な対策は。

[後藤大地，有限会社オングス]

　金融庁と警察庁、内閣サイバーセキュリティセンター（NISC）は2024年12月24日、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」によるサイバー攻撃に注意するよう呼び掛けた。

　TraderTraitorが暗号資産関連事業者「DMM Bitcoin」から約482億円相当の暗号資産を窃取した事案を受けて発表された。

TraderTraitorは約482億円をどう窃取したか？　攻撃手法の詳細と推奨対策

　米国連邦捜査局（FBI）が公表した情報によると、DMM Bitcoinへの攻撃は2024年3月下旬から始まった。「LinkedIn」で採用担当者を装った北朝鮮の攻撃者（TraderTraitor）は、日本を拠点とする暗号通貨関連ソフトウェア企業「Ginco」の従業員を標的にした。

　攻撃者は「GitHub」にある雇用テストを装い、悪意のあるPythonスクリプトへのリンクを標的に送信。被害者がPythonスクリプトを自身のGitHubページにコピーしたことで結果的に侵害され、情報を窃取された。

　攻撃者は2024年5月中旬、標的から窃取したセッションCookieを悪用して、Gincoの暗号化されていない通信システムへの侵入に成功。同月下旬、攻撃者はこのアクセスを利用して、DMMの従業員による正当なリクエストとして、約482億円相当のビットコイン（当時）を窃取した。

　金融庁と警察庁、NISCはTraderTraitorによる攻撃と特定されたことから注意喚起情報を発表した。TraderTraitorの手口はソーシャルエンジニアリング、マルウェア感染、暗号資産窃取の順に展開されており、これらの詳細な解説を通じて警戒を促している。

　金融庁らが公開するソーシャルエンジニアリングによる接近手口の例は以下の通りだ。

• 攻撃者は第三者の名前や顔写真を悪用し、企業幹部を装うなどして、SNSで標的対象者にメッセージを送信する
• 標的となるのは日本人だけでなく国内外に居住する外国人を含む暗号資産関連事業者の従業員。ブロックチェーンやWeb3といった技術に関連したエンジニアも標的になり得る
• 攻撃者はアプローチの際に、標的対象者のプロフィールに掲載されている経歴やスキルを元に、関心を引くような問いかけを実施する。例えばソフトウェア技術者であれば、「あなたからプログラミングを学びたい」「私のプログラムの不具合を直してほしい」といったものだ
• 攻撃者は異なるSNSやメッセージングアプリでのやりとりを希望する場合がある。これは攻撃者側が送信したメッセージを受信者側の記録から消去できるサービスを利用したいことが理由として考えられる

　金融庁らが公開するマルウェアを感染させる手口の例は以下の通りだ。

• 攻撃者は標的対象者のPCをマルウェアに感染させようとする。例えば攻撃者がGitHubにコミットした「不具合があってうまく動かない」と主張する、シンプルなAPIにアクセスするプログラムを、標的対象者に実行させて、不具合を特定させようとすることが考えられる
• 攻撃者は、APIの通信先に正規のサーバの他、攻撃者が用意したサーバを含めており、APIからの応答を処理する関数に、コード実行可能な関数を紛れ込ませて、マルウェアに感染させようとする可能性がある
• 他にも標的対象者に不正なプログラムを実行させることでマルウェアに感染させようとする

　金融庁らが公開する認証情報の窃取からを暗号資産窃取までの手口の例は以下の通りだ。

• 攻撃者はマルウェア感染させたPCに保存されている認証情報やセッションCookieを窃取し、標的対象者になりすまして、暗号資産管理やブロックチェーン関連業務で利用するシステムにアクセスし、暗号資産などの窃取を実行しようとする可能性がある。また、個人管理する暗号資産の窃取を狙うことも考えられる
• 攻撃者はシステム構成を短期間で把握し、なりすました標的対象者が持つロールや権限に応じた、暗号資産の窃取が可能なポイント・手法を見つけ出そうとする恐れがある

システム管理者と従業員向けのセキュリティ対策

　金融庁らはシステム管理者と従業員向けのセキュリティ対策についても公開している。システム管理者向けの対策は以下の通りだ。

• 通信先ドメインの登録日が数日〜数週間前など、比較的新しくないかどうかを確認する
• 多要素認証を導入する
• 業務付与期間に限定した必要最小限のアクセス範囲と権限を付与する（業務付与期間終了後、速やかに縮小・削除する）
• 事前申請または通常の業務時間帯・曜日ではない期間に実行されたアクセスに関する認証ログやアクセスログがないかどうかを監視する
• EDR（Endpoint Detection and Response）やPC内のログと矛盾がないか監視する
• 居住地以外の地域やVPNサービスからとみられるアクセスに関する認証ログやアクセスログがないかどうかを監視する
• 貸与している業務用PC以外からとみられるアクセスに関する認証ログやアクセスログがないかどうかを監視する
• 退職した従業員のアカウントは速やかにロックするとともに、認証試行があった際は、速やかに検知や対処できるようにしておく
• 従業員の理解と協力を得て、ダミーの認証情報をWebブラウザに記憶させるなどしておき、認証試行があった際は、速やかに検知や対処ができるようにしておく
• PCのログ保存期間やマルウェアに感染した後にログが消去されるリスクを考慮し、ログを集中的に保存、検索できる仕組みを構築し、異常の把握と速やかな対処ができるようにしておく

　従業員向けの対策は以下の通りだ。

• 事前に許可されている場合を除き、私用PCで機微な業務用システムにアクセスしない
• SNSでアプローチを受けた際はビデオ通話を要求する。（複数回拒否する場合は不審と判断する）
• アプローチ元のプロフィールやSNSでのやりとりについて、スクリーンショットを保存する
• ソースコードの確認や実行を急がせる兆候があれば、不審性を考慮する
• 内容を確認せずにコードを実行せず、コードエディタで開いて、折り返し表示にする
• コードを実行する際は業務用PCを使用しない、または仮想マシンを使用する

　暗号資産取引に関わる個人や事業者は緩和策の全容を確認し、迅速かつ適切な実施が推奨される。また、被害に遭遇した場合、原因究明のため電源を入れたままネットワークを切断して必要な保全措置を講じ、所管省庁や警察などに情報提供することも求められている。