警察庁などは12月24日、DMMグループの暗号資産の取引業務を手掛けるDMM Bitcoinで、5月に発生したビットコイン約482億円分の不正流出について、北朝鮮のサイバー攻撃集団による犯行と特定したと発表した。採用活動を装って、暗号資産の管理会社の従業員にメールを送り、情報を盗み出したという。
DMM Bitcoinでは5月末、約482億円相当のビットコイン(4502.9BTC)の不正流出が発覚した。同社は顧客の流出した資産を補填するため、6月には550億円分のビットコインを調達。サービスを制限して事業を続けてきたが、12月1日に口座と預かった資産をSBI VCトレードに移管して廃業すると発表していた。
事件の調査をしていた警察庁と警視庁によると、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)内のサイバー攻撃集団「TraderTraitor」(トレイダートレイター)が、約482億円分のビットコインを窃取したという。
TraderTraitorは3月下旬、ビジネスSNS「LinkedIn」上で、リクルーターになりすまし、DMM Bitcoinが暗号資産の保管場所「ウォレット」の管理を委託していたGinco(東京都中央区)の従業員に接触した。同社のウォレット管理システムのアクセス権を持つ従業員に対し、採用前の試験を装った悪意のあるPython スクリプトへのURLを送付。従業員にこのコードを自身のGitHubページにコピーさせ、侵害した。
5月中旬以降、TraderTraitorはアクセス権限を管理する「セッションクッキー」の情報を悪用し、侵害した従業員になりすまして、Gincoの暗号化されていない通信システムに不正アクセスした。同月下旬、このアクセスを利用して、DMM Bitcoinの従業員による正規取引のリクエストを改ざん。ビットコインを窃取し、TraderTraitorが管理するウォレットに移した。
今回の捜査は、警察庁と警視庁、米国連邦捜査局(FBI)、米国国防省サイバー犯罪センター(DC3)が協力して実施した。
これを受け、警察庁は24日、金融庁などとともに、TraderTraitorによるサイバー攻撃に対する注意喚起も実施した。ソーシャルエンジニアリングやマルウェアに感染させ、暗号資産を窃取する攻撃の手口と、その対応策を合わせて複数紹介している。