こんにちは。弁護士の浅見隆行です。
2024年5月に発生したDMMビットコインから約482億円相当の暗号資産が流出した事件について、警察庁は、12月24日、北朝鮮のサイバー攻撃グループ TraderTraitor が関与していたことを明らかにしました。
DMM ビットコインから暗号資産が盗まれた手口
FBI、警察庁らが公表した資料によると、DMM ビットコインが暗号資産を盗まれたのは、以下の手口です。
2024 年 3 月下旬、北朝鮮のサイバーアクターは、LinkedIn 上で、リクルーターになりすまし、 日本に所在する企業向け暗号資産ウォレットソフトウェア会社 Ginco の従業員に接触した。同脅威アクターは、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付した。被害者は、この Python コードを自身の GitHub ページにコピーし、その後、侵害された。
2024 年 5 月中旬以降、TraderTraitor アクターは、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムへのアクセスに成功した。2024 年 5 月下旬、同アクターは、このアクセスを利用して、DMM 従業員による正規取引のリクエストを改ざんしたものと認められる。その結果、4,502.9BTC(攻撃当時 3 億 800 万ドル相当)が喪失した。最終的に、窃取された資産は TraderTraitor が管理するウォレットに移動した。
きっかけは、LinkedInでリクルーターになりすまして接触
公表資料のとおり、きっかけは、転職用SNS「LinkedIn」でリクルーターになりすましての接触でした。
過去の産業スパイ案件では、従業員として就職する、第三国を介して共同研究を持ち掛けてくる、新規顧客として取引を持ち掛けてくる、飲食街で知り合いになるなどのパターンがありましたが、今回は新しいパターンです。
新しいといっても、想定できるパターンではあります(ドラマや映画ではよくあるね)。
また、接触した後に暗号資産を盗むまでの流れは、ウイルスを仕込んだURLを踏ませてから不正アクセスしたもので、こちらは標的型の個人情報の漏えいで良くあるパターンです。
産業スパイと標的型の個人情報の漏えいという情報セキュリティ上よくあるケースを組み合わせて、暗号資産を盗んだことがわかります。
情報セキュリティの観点からの防衛策
警察庁が公表した具体的な手口例と対処例は、会社が外部から情報を狙われることへの対策としても参考になります。
驚くほど目新しいことが書いてあるわけではありませんが(むしろ普通のことがたくさん書いてある)、システム管理者など情報セキュリティ部門や従業員に対する情報セキュリティ教育など携わる部門の人(人事?)は、確認のためにぜひ一度目を通して、社内体制を点検する材料にして欲しいです。
システム管理者向けの対処例として挙げられている内容は技術的なものが中心なのであえて取り上げませんが、従業員向けの対処例として挙げられている下記の内容は、日頃の情報セキュリティの運用のためにも今一度徹底して欲しいものばかりです。
- 事前に許可されている場合を除き、私用 PC で機微な業務用システムにアクセスしない。
- SNS でアプローチを受けた際は、ビデオ通話を要求する。(複数回拒否する場合は不審と判断する。)
- アプローチ元のプロフィールや、SNS でのやりとりについて、スクリーンショットを保存する。
- ソースコードの確認や実行を急がせる兆候があれば、不審性を考慮する。
- 内容を確認せずにコードを実行せず、コードエディタで開いて、折り返し表示にする。
- コードを実行する際は、業務用 PC を使用しない、または仮想マシンを使用する。
SNSの隆盛と情報漏えいの可能性
今は、LinkedIn に限らず X、Instagram、Facebook、tiktok、mixi2、出会い系SNS など社外の見知らぬ人と接するツールは増えています。
これから年末年始になりますが、長期休暇中にそうしたSNSを介して社外の人と接触する機会も少なくありません。
もしかしたら、その中に産業スパイがいるかもしれません。
従業員にSNSの利用方法として注意喚起をしてから年末年始を迎えて欲しいと思います。
なお、アサミ経営法律事務所の2024年の最終営業日は12月26日です。年始の営業は2025年1月6日からです。
インフルエンザなどが流行っていますが、皆さま、くれぐれもご自愛のうえ、よいお年をお迎え下さい。
