※本記事はプロモーション広告を含みます。
Gincoがビットコイン流出事件について情報開示
暗号資産(仮想通貨)ウォレットを開発する株式会社Gincoは28日、2024年5月に発生した国内仮想通貨交換業者DMM Bitcoinにおける480億円相当のビットコイン(BTC)の不正流出事件について、情報開示した。
この事件を巡っては、2024年12月に警察庁と米国連邦捜査局(FBI)が一部原因を解明。
同取引所のシステムをハッキングしたのは、北朝鮮のサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」。北朝鮮当局の下部組織とされる「Lazarus Group(ラザルスグループ)」の一部と見られている。
TraderTraitorがSNS「LinkedIn」上で採用担当者になりすまし、Gincoの従業員に接触したのち、GitHub上に保管された採用前試験を装った悪意あるPythonコードへのURLを送付。被害者は、このPythonコードを自身のGitHubページにコピーしたことで侵害されたとしていた。
ハッキングの手口
Gincoは、警察庁やFBIなど捜査機関が公表した通り、TraderTraitorにより大規模サイバー攻撃を受けたと明かした。同社が公表した攻撃者の手口は以下の通り。
- 攻撃者は、LinkedIn上でリクルーターになりすまし、2024年3月下旬に同社従業員に接触
- GitHub上に保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付
- スクリプト実行により業務用端末が侵害され、クラウドサービスの認証情報を不正取得
- Ginco Enterprise Walletのインフラストラクチャとして契約するKubernetesの本番環境に不正アクセス
攻撃者は当該従業員の認証情報を用いて2024年5月24日~31日の期間に、Kubernetesの本番環境へ不正アクセスを行った。
同社が提供する仮想通貨ウォレットソフトウェア「Ginco Enterprise Wallet」のアプリケーション、ソースコード、同社が管理する顧客関連情報が保存されているデータベース等、その他の同社業務ツールや仕様書等への不正アクセスは確認されなかったという。
Ginco Enterprise Walletは、ユーザーの仮想通貨および秘密鍵をユーザー自身で安全に取扱うことを支援する製品。同製品においてトランザクションの指示や履歴の管理を行うサーバおよびユーザーの操作画面は同社が契約するクラウド環境より提供している。
一方で、仮想通貨および秘密鍵の管理については、専用のコールドウォレットソフトウェアを納品することでユーザーに保管・管理してもらうというシステム構成だという。
そのため同社は仮想通貨や秘密鍵を保管・管理しておらず、ユーザーのもとでオフライン環境下で保管される当該コールドウォレットソフトウェアを同社が操作することはできないと説明した。
DMMビットコインでの不正送金との関係
同社は、DMM Bitcoinのシステム開発を行う企業に対し、Ginco Enterprise Walletを提供するとともに、当該企業が利用者に同製品を使用させることを許諾している。
攻撃者は不正アクセスを行った際に、低レイヤーの通信処理に干渉する手法により、利用者の正規のトランザクション指示に対し、不正なデータを追加したことが判明。不正送金のトランザクションが同製品から送信された事実はないとした。
なお、現在も捜査が継続中であり、同社が捜査上の情報をすべて開示されているわけではない点、利用者の業務環境および実際のオペレーションについて直接情報を取得・公表できる立場にない点などから、報告できる情報は以上に留まると釈明した。
参考:公式発表
仮想通貨ブロガー/投資家
早稲田大学卒|元業界関係者で現coindog編集長🐶|2020年から仮想通貨投資を開始|大手メディア3社で編集者・キュレーターとして従事→独立|趣味は投資・筋トレ・音楽鑑賞・ラップバトル観戦・コーヒー屋さん巡り