暗号資産交換会社「ＤＭＭビットコイン」（東京）から５月、約４８２億円相当のビットコインが流出したサイバー攻撃について、警察庁や米連邦捜査局（ＦＢＩ）は２４日、北朝鮮のハッカー集団「トレイダートレイター（ＴＴ）」の関与を特定したと発表した。採用活動を装って同社の委託先企業の技術者に接近し、取引システムに侵入したといい、政府は同様の手口への注意を呼びかけた。

暗号資産流出事件の構図

ＴＴは北朝鮮の対外工作機関所属のハッカー集団「ラザルス」の一部とされる。日本政府が北朝鮮を背景とするサイバー攻撃に対し、名指しで非難する「パブリック・アトリビューション」を行うのは３回目。

警察庁によると、ＴＴは３月下旬、ＤＭＭビットコインが暗号資産の出入金管理を委託する「Ｇｉｎｃｏ（ギンコ）」（東京）の男性社員に、実在企業の採用担当者を装ってＳＮＳで接触。「あなたのスキルに感銘を受けた。このプログラムを見てほしい」と伝えてＵＲＬに接続させ、ウイルスに感染させたとされる。

暗号資産「ビットコイン」をイメージしたもの＝ロイター

ＴＴは窃取した男性社員の権限を使い、ギンコの暗号資産取引システムに不正アクセス。取引額や送金先を書き換え、５月３１日にＤＭＭビットコインから約４８２億円相当のビットコインを盗んだ疑いがある。

同社から相談を受けた警視庁と警察庁サイバー特別捜査部が捜査し、ＦＢＩとも連携。流出した暗号資産の一部がＴＴ関連の口座に流れたことが判明したほか、事件で使われたＳＮＳアカウントがＴＴに関連していることも確認された。

関係者によると、ギンコ社員は取引システムへのアクセス権限が付与されたインド人技術者で、テレワークで作業していたという。

人間の心理や行動の隙を突いて情報を不正に取得しようとする手法は「ソーシャルエンジニアリング」と呼ばれ、北朝鮮ハッカーの典型的な手口とされる。

国連の報告書は３月、北朝鮮が暗号資産関連企業への攻撃で、２０１７～２３年に約３０億ドル（約４５００億円）相当を盗んだ疑いがあると指摘した。大量破壊兵器開発の資金源になっているとされている。

ＤＭＭビットコインは事件を受け、今月２日、資産譲渡後の廃業を発表した。

トレンドマイクロの成田直翔シニアスペシャリストは「社員１人がだまされただけで、巨額損失につながるリスクがある。事業者には委託先も含めたセキュリティー教育の徹底が求められる」と指摘した。