北朝鮮、暗号資産の窃取で軍事費1.4倍に 日米韓共同声明にみるソーシャルエンジニアリング攻撃
日米韓の政府当局は14日、北朝鮮による暗号資産窃取と官民連携に関する共同声明を発表した。外務省、内閣サイバーセキュリティセンター、警察庁、財務省及び金融庁の関連省庁が名を連ねた。
日本では昨年5月、「DMMビットコイン」から480億円相当のビットコインが流出した事件が記憶に新しい。この事件に関して、日米当局は12月、北朝鮮のサイバーアクター「トレーダー・トレイター(TraderTraitor)」の犯行であったと公表した。
関連記事:中国の「ソルト・タイフーン」がトランプ次期大統領のスマートフォンに侵入 国家支援型サイバー攻撃
共同声明は、北朝鮮のサイバーアクターが2024年に行った主要な暗号資産の窃取は、被害総額1,026億円相当にのぼると指摘している。
被害は、多い順にDMMビットコイン(日本)480億円相当、ワジール(インド)365億円相当、アップビット(韓国)78億円相当、ラディアン・キャピタル78億円相当、レイン・マネジメント(バーレーン)25億円相当だった。
サイバー攻撃の特徴は、トレーダー・トレイターやアップル・ジュース(Apple Jeus)などマルウエアを使用した巧妙に偽装したソーシャルエンジニアリング攻撃だと指摘する。これはサイバーセキュリティにおける最大の弱点である「人」を利用した攻撃で、攻撃者は人間の感情(信頼や恐怖、緊急性)をついて、攻撃社への送金、機密情報の漏えい、認証情報の開示などを実行させる。
FBIが昨年9月に公表した資料では、北朝鮮によるソーシャルエンジニアリング攻撃の特徴として次の4点をあげている。
①入念な事前調査:対象なる企業を選定し、従業に関する個人情報をSNSなどで収集。複数の従業員へ同時にアプローチする。
②高度な個人情報の活用:個人情報に基づき工作シナリオを作り上げ、転職や投資話を装う。この際、非公開情報を提示して信頼を高める。
③専門性の高い攻撃要員:工作を仕掛けてくる攻撃要員は暗号資産の専門知識を持ち、流暢な英語でコミュニケーションする。また、身分偽装を担保するために高度に完成されたウェブサイトを準備する。
④長期的な信頼関係の構築:攻撃要員は時間をかけて人間関係を構築し、またチームとして組織的なアプローチを試みる。その後、緊急性を演出して、自然な形でマルウエアを配布する。
このような高度かつ組織的な北朝鮮のサイバーアクターの攻撃に対して、共同声明は、企業に北朝鮮IT技術者の不注意な雇用防止を呼びかけ、定期的な官民合同シンポジウムを開催するなどして被害を低減するとした。
北朝鮮は国家予算の総額を公表せず、事業部門毎の割合のみを発表している。韓国の推定は1兆5千億円(93億4000万ドル/2022年度)、軍事費は2,385億円(国家予算の15.9%)となる。
これは北朝鮮のサイバーアクターが軍事予算の4割強におよぶ多額の資金を暗号資産の窃取で獲得したことを意味する。共同声明は、この不当な資金が「大量破壊兵器及び弾道ミサイル計画」に利用されていると指摘している。