Ginco,北朝鮮によるDMMビットコイン482億円流出事案で初の声明を発表

北朝鮮のハッカーグループ ラザルスによるDMMビットコインの482億円流出事案の原因となった株式会社Gincoが初の声明を発表しました。

Gincoへの不正アクセスとDMMビットコイン流出の概要

Ginco は提供する暗号資産ウォレットソフトウェアGinco Enterprise Walletを提供しておりこのサービスを構成するインフラの特定部へ不正アクセスが行われていたことが確認されました。

手法としてはDMMのビットコイン管理を行っていたGincoのインド人社員エンジニアのアカウントを乗っ取りDMMビットコインは本サービスを利用しており、結果的に約482億円のビットコインを窃取されました。

このサイバー攻撃は北朝鮮のサイバー攻撃グループ、ラザルス(Lazarus)が関係しているとされています。

ソーシャルエンジニアリングによりGincoへ侵入

今回の声明によるとサイバー攻撃者はLinkedInでGincoのエンジニアへコンタクトを取り、その後「採用試験」を装い、GitHub上に保管された採用前試験を装った悪意あるPythonスクリプトへのURLを送付しました。

このPythonコードを被害者が自身のGitHubページにコピーしたことから、社員の業務端末へ侵入。

ソフトウェアのインフラとして契約しているクラウドサービス上のKubernetesの本番環境へアクセス可能な認証情報(Credential)を不正に取得し、5月中旬以降Gincoの社内システムに侵入しDMMのビットコインを窃取しました。

本サイバー攻撃の手法は対象と複数回やり取りを行い対象を信用させる典型的なソーシャルエンジニアリングによる攻撃の事例となります。

なお、本ソフトウェアのアプリケーション、ソースコード、当社が管理する顧客関連情報が保存されているデータベース等、その他の当社業務ツールや仕様書等への不正アクセスは確認されていないとのこと。

日本企業を標的とする北朝鮮

北朝鮮はサイバー攻撃以外にも、外貨獲得手段として日本企業と取引を行っており、

2024年3月26日　警察庁は核開発や弾道ミサイル資金調達のために、北朝鮮のIT労働者が日本人になりすまして国内で業務を不正受注している疑いがあるとして、注意喚起を行いました。

フリーランスの技術者などが企業から仕事を受注するためのオンラインのプラットフォームに、中国などを拠点とする北朝鮮のIT労働者が身分を偽って登録し、日本企業の仕事を受注して収入を得ていると見られるケースが相次いでいるということです。

実際、北朝鮮のIT労働者が日本企業で偽装就労した可能性やアニメ制作会社に北朝鮮の労働者が関与していたと指摘を受けています。

北朝鮮の外貨侵入の50%はサイバー攻撃によって獲得している

国連の委員会は2024年3月7日のレポートで、北朝鮮が約58件のサイバー攻撃で6年間に30億ドル 日本円で4500億円を窃取し、さらに外貨収入の約50%をサイバー攻撃によって獲得していると公表しています。

また、北朝鮮は積極的に仮想通貨や仮想通貨の取引所へサイバー攻撃を行っています。