Ginco+DMMの流出事件の各社の反応まとめ

bearko/ベアコ@BCG

【前提】何が起きたか

  • 2024年5月:DMMビットコインから480億円相当のビットコインが不正流出

  • 2024年12月2日:DMMビットコインが廃業。SBIVCトレードに事業譲渡

  • 2024年12月24日:警察庁を始めとした捜査機関による捜査の結果、以下事実が判明

    • 「北朝鮮のハッカー集団」が流出に関与

    • ハッカーは、DMMビットコインが口座管理を委託していた暗号資産の管理会社「Ginco」の従業員に送りつけた偽の転職案内のメッセージでウイルスに感染させた

      • 従業員はフルリモートワークだった

    • ハッカーはウイルス経由で取引システムへ侵入し、DMM側による正規取引の指令内容を改ざん

      • DMMの正規取引の指令が書き換えられ、DMM側が感染に気づかずに送金してしまった

  • 2024年12月25日:web3の関係各社がGincoとの関与について言及

    • Gincoと関わりを持っている他の取引所は預かり資産の安全性について言及

    • Gincoのパートナー企業に名を連ねていた会社は現在の関係について言及

    • Gincoと関わりをもっていない取引所は改めてそれをリリースで説明

日経記事より引用

補足:推察含め、何が起きたかの詳細まとめ

Ginco、DMMビットコインから公式の発表が出ていない現状、推察混じりにはなりますが、具体的にどのようなことが起きたかを整理されている方のポストを紹介します。

一番詳しくまとまっていたのはにわタコさんのスレッドかと思いますのでこちらを参照ください。ソースも含めてまとめていただいています。

全体像についてはモノアイさんの図がとてもわかり易かったです

補足:なんでこうなったの?署名ってどういう仕組み?という解説

ベリロンの吉田さんのまとめが基礎知識からしっかりまとまっていましたのでこちらをぜひ参照ください

補足:ハッキングの具体的な手口


各社の反応

Gincoのクライアント・パートナーにはCoincheckやBITPOINTなどの他の暗号資産取引所が名を連ねており、各社からGincoとの関わりについてのリリースが出ています。

GincoHPに掲載されているパートナー・クライアント企業一覧

暗号資産取引所の対応

BITPOINT(SBIグループ):公式サイトで告知&口座登録者にメールで説明
Gincoの使用については名言はしておらず、安全である旨を説明

一部報道を受けた当社のセキュリティ対策について
いつも当社サービスをご利用いただき、誠にありがとうございます。

本日、一部メディアにて他社における顧客暗号資産流出事故がサイバー攻撃によるものであるとの発表がございました。
当社では、内部管理体制および取引状況を精査した結果、当社のセキュリティ体制に問題はなく、すべてのお客様の資産が適切に保全されていることを確認いたしました。

また、お客様からお預かりしている資産は100%オフライン環境のコールドウォレットで管理しており、厳格なアクセス権限管理および高度なセキュリティ対策を講じています。

当社では、これからも現在の万全なセキュリティ体制を維持し、お客様に安心してご利用いただける環境の提供に努めてまいります。

今後ともビットポイントジャパンをご愛顧賜りますよう、お願い申し上げます。

取引所の登録者宛に送られたメール文

Zaif:Gincoを使用しているが、預け入れは一部に限定しており秘密鍵管理の運用も徹底している旨をXで説明

【2024/12/26 7:00現在】情報なし

SBI VCトレード:DMM Bitcoinの資産の移管先。Gincoについては現状言及なし。

Coincheck:パートナー企業に名前を連ねているが現状言及なし。

パートナー・クライアント企業の対応

double jump.tokyo:現在はパートナーではない+サービスも利用していない旨をXで説明

Gincoを利用していないことを明示した取引所

bitbank:Gincoのウォレットサービスを使用していないことを明示

bitFlyer:完全自社開発である旨をアピール

Gincoの対応

12/26時点で特段発信なし(1/28に更新あり)

公式からの発表は特になし。Xの更新も止まっている。
情報を整理した上でリリースを出す可能性があるので、続報があり次第更新していきたいと思います

1/28にGincoより本件に対する公式声明がありました

公式声明の内容を整理すると

【改めて事実確認できたこと】

  • 北朝鮮のサイバー攻撃グループによるハッキングであること

  • ハッキングを受けた従業員のPCから本番環境へのアクセスが可能だったこと

【わからなかったこと】

  • 本番環境にアクセスはされたものの、具体的な情報漏えいやハッキング被害については言及なし

そして、2024年5月24日から31日の間において、攻撃者が当該従業員の認証情報を用いて、Kubernetesの本番環境へ不正アクセスを行った形跡が確認されています。
 なお、本ソフトウェアのアプリケーション、ソースコード、当社が管理する顧客関連情報が保存されているデータベース等、その他の当社業務ツールや仕様書等への不正アクセスは確認されておりません

【ハッキングについて新たに判明したこと】

  • 不正送金のトランザクションが発砲されたのではなく、正規のトランザクションに不正なデータを追加する処理が行われたこと

当該利用者様による正規のトランザクション指図に対し、不正なデータを追加したことが判明しております。なお、不正送金のトランザクションが本ソフトウェアから送信された事実はありません。


DMMの対応

12/26 11:11にDMMから公式声明が出ました
Gincoに具体的な手口や原因について説明を求め真相解明に努めるとのこと。

【重要】暗号資産の不正送金に関する警察庁の公表を受けた今後の当社の対応について
令和6年12月24日(火)、警察庁より、当社が利用する株式会社Ginco(ギンコ)が開発及び利用提供されているコールドウォレットからの暗号資産の不正送金は、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」によるものと特定されたとの公表(以下、「本件公表」)がありました。
本件公表を受け、当社は、株式会社Ginco(ギンコ)に対し、暗号資産窃取の具体的な手口や被害を防止できなかった原因について説明を求め、真相究明に努めて参ります。

DMM Bitcoinによる投稿


事例紹介ページは軒並み削除

一方で、パートナー企業の事例紹介ページは続々と削除されている模様。
パートナー企業への配慮ゆえだと思われる。

「bitpoint ginco」で検索するとヒットするGincoの事例紹介ページ

https://www.ginco.co.jp/contents/20230920_casestudy_bitpoint

「zaif ginco」で検索するとヒットするGincoの事例紹介ページ

https://www.ginco.co.jp/contents/20220206_casestudy_zaif

いずれも404エラーで削除されている

おまけ

Not your key, not your money

取引所に預けている資産は取引所が管理しているため、今回のような取引所単位でのハッキングで資産が流出してしまうおそれがあります。

今回が初めてではなく、これまでも「Coincheck」「マウントゴックス」などが資産を喪失した他、「FTX」などの大手の破産もありました。

取引所に預けた資産が喪失した場合、資産が戻って来る保証はなく、戻って来るとしても時間がかかったり満額返ってくる保証もありません。

真にあなたが保有していると言える資産は、あなただけが秘密鍵を知っているウォレットに保管されている資産だけです。

Not your key,(秘密鍵を知らないなら)
not your money(あなたのお金ではない)

暗号資産を取り扱うなら、肝に銘じておきましょう。

詐欺・ハッキングの手口まとめ

今回のハッキングの手口は

  • ウイルスソフトに感染させて

  • 送金先のアドレスを似たアドレスに書き換える

という手法でした。

これは何も取引所にだけ起きることではなく個人が狙われることもままあります。以下に過去に実際に発生した暗号資産の詐欺・ハッキング事例をまとめていますので参照ください。


いいなと思ったら応援しよう!