2024年12月24日、警察庁、米国連邦捜査局(FBI)および米国国防省サイバー犯罪センター(DC3)は、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」(トレイダートレイター)が、DMM Bitcoin(DMMビットコイン)から約482億円相当の暗号資産を窃取したことを特定したと発表。それに際して、注意喚起を行った。
TraderTraitorは、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)の一部とされているとのことだ。同グループについては日本でも同年10月14日に、金融庁、警察庁および内閣サイバーセキュリティセンターから「『ラザルス』と呼称されるサイバー攻撃グループ」として既に一度注意喚起を行うなど、累次にわたり注意喚起が行われている状況だとしている。
今回の捜査でわかった手口例および緩和策の詳細は以下のとおり。
ソーシャルエンジニアリングによる接近手口例
攻撃者は、第三者の名前や顔写真を悪用し、企業幹部を装うなどして、SNSで標的対象者にメッセージを送信するという。標的となるのは日本人、国内外に居住する外国人を含む暗号資産関連事業者の従業員。また、ブロックチェーンやWeb3と呼ばれる技術の技術者も標的となりえるとしている。
攻撃者はアプローチの際に、標的対象者のプロフィールに掲載されている経歴やスキルをもとに、関心を引くような問いかけを行うという。たとえば、ソフトウェア技術者であれば、「あなたからプログラミングを学びたい」「私のプログラムの不具合を直してほしい」といったもの。なお、攻撃者は、異なるSNSやメッセージングアプリでのやりとりを希望する場合があるとのことだ。これは、攻撃者側が、送信したメッセージを受信者側の記録から消去できるサービスを利用したいことが理由として考えられるという。
マルウェアを感染させる手口例
攻撃者は、標的対象者のPCをマルウェアに感染させようとするという。たとえば、「不具合があってうまく動かない」と主張する、シンプルなAPIへアクセスするプログラムを標的対象者に実行させて、不具合を特定させようとすることが考えられるとのことだ。
攻撃者は、APIの通信先に、正規のサーバーのほか攻撃者が用意したサーバーを含めており、APIからの応答を処理する関数にコード実行可能な関数を紛れ込ませ、マルウェアに感染させようとする可能性があるとしている。他にも様々な手口によって、標的対象者に不正なプログラムを実行させ、マルウェアに感染させようとするという。
認証情報等の窃取~暗号資産窃取の手口例
攻撃者は、マルウェア感染させたPCに保存されている認証情報や、セッションクッキーなどを窃取。標的対象者になりすまして、暗号資産管理やブロックチェーン関連業務で利用するシステムにアクセスし、暗号資産などを窃取しようとする可能性があるとのことだ。また、個人管理する暗号資産の窃取を狙うことも考えられるという。
また、攻撃者はシステム構成を短期間で把握し、なりすました標的対象者が持つロールや権限に応じた、暗号資産の窃取が可能なポイント・手法を見つけ出そうとするおそれがあるとしている。
対処例と緩和策
システム管理者向け
- 通信先ドメインの登録日が数日~数週間前など、比較的新しくないか確認する
- 多要素認証を導入する
- 業務付与期間に限定した必要最小限のアクセス範囲と権限を付与する(業務付与期間終了後、速やかに縮小・削除する)
- 事前申請または通常の業務時間帯・曜日ではない期間に行われたアクセスに関する認証ログ、アクセスログがないか監視する(例:時差の大きい地域に居住する従業員が、通常は日本時間の夜や早朝にアクセスしているにもかかわらず、ある時期から日本時間の日中もアクセスしているなど)
- EDRやPC内のログと矛盾がないか監視する(例:PCが電源OFFしている期間にアクセスしていないかなど)
- 居住地以外の地域やVPNサービスからとみられるアクセスに関する認証ログ、アクセスログがないか監視する
- 貸与している業務用PC以外からとみられるアクセスに関する認証ログ、アクセスログがないか監視する(例:UserAgentが通常と異なるなど)
- 退職した従業員のアカウントはロックするとともに、認証試行があった際は、速やかに検知・対処ができるようにしておく
- 従業員の理解と協力を得て、ダミーの認証情報をWebブラウザに記憶させるなどの対応を行い、認証試行があった際は、速やかに検知・対処ができるようにしておく
- PCのログ保存期間や、マルウェアに感染した後にログが消去されるリスクを考慮し、ログを集中的に保存・検索できる仕組みを構築。異常の把握と速やかな対処ができるようにしておく
従業員向け
- 事前に許可されている場合を除き、私用PCで機微な業務用システムにアクセスしない
- SNSでアプローチを受けた際は、ビデオ通話を要求する(複数回拒否する場合は不審と判断する)
- アプローチ元のプロフィールや、SNSでのやりとりについて、スクリーンショットを保存する
- ソースコードの確認や実行を急がせる兆候があれば、不審性を考慮する
- 内容を確認せずにコードを実行せず、コードエディタで開いて、折り返し表示にする
- コードを実行する際は、業務用PCを使用しない、または仮想マシンを使用する
【関連記事】
・警察庁、LockBitによる暗号化被害データの復号ツールの開発を発表──同グループ摘発にも貢献
・2024年11月、日本で最も活発だったマルウェアとは?──チェック・ポイント調査
・NTTデータ、2024年のサイバーセキュリティ動向を発表:マルチエージェントAI攻撃も台頭の兆し
