北朝鮮ハッカー集団、482億円相当の仮想通貨を窃取

警視庁は24日、米国連邦捜査局（FBI）や米国国防省サイバー犯罪センター（DC3）と共同で、北朝鮮のハッカー集団「TraderTraitor（TT）」が、暗号資産（仮想通貨）取引所「DMMビットコイン」から482億円相当の仮想通貨を窃取したことを特定したと発表した。

この事件を受け、DMMビットコインは2日に事業廃止を正式発表し、顧客の資産および口座を2025年3月までにSBI VCトレードに移管する予定だ。

TraderTraitor（TT）とは？

TTは、北朝鮮当局に所属するハッカー集団「Lazarus Group（ラザルスグループ）」の一部とされ、仮想通貨関連事業者や金融業界を標的に活動しているハッカー集団だ。

TTの犯行手口は、被害者となる企業の従業員を狙い、LinkedInやメールを通じてリクルーターや採用担当者を装って接触。偽の採用試験やジョブオファーを口実に、悪意のあるプログラムが仕込まれたファイルやリンクを送り、システムに侵入する。

今回のDMMビットコイン482億円流出事件の際も、同社の仮想通貨取引を管理する委託先の社員が、ヘッドハンティングを装って接触してきた人物に社員権限を奪われたことで発生した。

482億円相当の仮想通貨、窃取の手口とは？

TTは3月下旬、LinkedInでリクルーターになりすまし、暗号資産ウォレットソフトウェア会社「株式会社Ginco」の従業員に接触した。その後、採用試験を装った悪意あるPythonスクリプトへのリンクを送り付け、同従業員がリンク内のスクリプトを自身のGitHubページにコピーしたことで、システムへの不正侵入を招いた。

その後、5月中旬以降、TTは窃取した社員権限を使い、Gincoの通信システムに不正アクセス。さらに、DMM従業員の正規取引リクエストを改ざんし、最終的に4502.9BTC（ハッキング当時の価格で約482億円相当）の不正取得に成功したとみられる。

警視庁の対応と注意喚起

警視庁は今回の事件を受け、内閣サイバーセキュリティセンターおよび金融庁と連名で「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」を発表。仮想通貨取引業者や関連企業に対し、攻撃手口の周知とセキュリティ対策の徹底を呼びかけた。