暗号資産(仮想通貨)交換会社「DMMビットコイン」から5月、約482億円のビットコインが不正流出した事件で、警察庁や米連邦捜査局(FBI)は24日、北朝鮮のハッカー集団「TraderTraitor(トレーダートレーター=TT)」によるサイバー攻撃による窃取と特定したと公表した。
同社は2日に廃業の方針を発表していた。同社の口座を管理する委託先企業「Ginco」の社員が、ビジネス向けSNS「リンクトイン」を通じヘッドハンティング名目で接触してきた人物からマルウエア(悪意あるソフト)に感染させられ、システムに入り込まれ、正規の取引の額や送金先を改ざんされたという。
TTは、朝鮮人民軍偵察総局のハッカー集団「ラザルス(別名:APT38)」内の小グループで、金融窃取に特化している集団とみられ、少なくとも2020年から活動していることが分かっている。昨年8月に発表されたFBIのデータによると、TTによる米国の事業者からの仮想通貨窃取は約2億ドルに上る。北朝鮮はサイバー攻撃で得た資金を核などの大量破壊兵器の開発に充てているとみられている。
TTのサイバー攻撃には、共通のやり方があるという。ネット事情通は「TTの手口は、狙った会社の複数の社員に、いい転職先を紹介するというメールを送りつけることから始まり、受信者にマルウエアが仕込まれた仮想通貨アプリケーションをダウンロードするよう誘います。標的型ソーシャル・エンジニアリングです。ハッカーはコンピューターの厳重なセキュリティーを技術的に破ることよりも、コンピューターの最大の弱点である人間を〝社会的〟に狙う方が確実と考えています」(同)
現金を盗んで国をまたいで運ぶのは難しい。しかし、サイバー空間の仮想通貨は窃取して国をまたいで動かすことが簡単な上、匿名性が高く、捕まりにくい。北朝鮮は表向きは認めていないが、国ぐるみでサイバー犯罪に力を注いでいるようだ。