<vol.11> 北朝鮮系ハッカーによる暗号資産大規模流出事件と、位置情報活用の可能性
最近、暗号資産業界を大きく揺るがす事件が報道されました。日本の暗号資産取引会社「DMM」が、北朝鮮系ハッカー集団「TraderTraitor(トレイダートレイター)」によるサイバー攻撃を受け、約3億ドル相当ものビットコインを盗まれたというのです。これほど大規模な被害は、国内外を問わず暗号資産コミュニティに衝撃をもたらしました。
本記事では、「なぜこのような攻撃が起きたのか」「実際にどのような手口が使われたのか」といった事件の概要をわかりやすく解説します。また、この事件から読み解けるセキュリティ上の課題や、「TRUSTAUTHY」がどのように対抗策を提供できるのか、という点についてもお話ししていきます。
1. 事件のあらまし
今年(2024年)の5月、DMMという暗号資産取引所からビットコインが大量に流出したことが明らかになりました。FBI(米連邦捜査局)や日本の警察当局によると、攻撃者は北朝鮮政府系とされるハッカー集団「TraderTraitor」であり、過去にも国際的に大規模な暗号資産の窃取を行ってきたことで知られています。国連の報告によれば、北朝鮮はミサイル開発などの資金を調達するために、サイバー犯罪を積極的に利用していると指摘されてきました。
今回の事件で特に注目されたのが、DMMだけでなく、ウォレット管理を請け負っていた「Ginco」という企業の社員権限が乗っ取られた点です。サーバーやシステムの脆弱性を直接つくのではなく、ターゲットとなる社員を偽のリクルートで誘惑し、「採用テスト」などを装ったマルウェアを実行させるという“ソーシャルエンジニアリング”手法が用いられました。結果として、社員アカウントのセッション情報が盗まれ、社内ネットワークに自由に侵入できる状態が作られてしまったのです。
FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com
2. 攻撃の背景と手口
■ ソーシャルエンジニアリングの巧妙さ
通常、大手の暗号資産取引所や関連企業は、外部からの不正アクセス対策をかなり厳重に行っています。しかし、人を介した攻撃、いわゆる「ソーシャルエンジニアリング」は防ぎ切るのが非常に難しいとされています。攻撃者はLinkedInなどのビジネスSNSで“採用担当”を装い、ターゲットの社員に対して「あなたのスキルに感銘を受けた」などと好印象を与えます。そこから「事前にこのテストコードを見てほしい」などとPythonのスクリプトを送りつけ、本人が実行するよう仕向けるのです。
社員が自分のパソコンでコードを試すと、そこにはマルウェアが仕込まれていて、端末に保存されているパスワードやセッショントークンを奪取されてしまいます。こうして侵入した攻撃者は、あたかも正規の社員であるかのように社内システムにアクセスし、最終的には大量のビットコインを勝手に送金するまでに至ったわけです。
■ 管理コンソールの改ざんと送金先の書き換え
この事件では、社員用の管理画面や送金処理プログラムが改ざんされ、DMMの正規の送金リクエストに“紛れ込ませる”形で巨額送金が実行されました。ログイン情報を盗むだけではなく、「どの取引が承認されるか」を本物のリクエストに混在させる手口は、セキュリティ担当者でも気づきにくいと言われています。
3. 見えてくる課題
大きく分けて二つの課題が浮かび上がります。
人的リスクへの対応
どんなに堅牢なシステムでも、最終的に“人”が入り口になってしまうと、一気に門が開かれてしまうという点です。社員がコードを実行したり、攻撃者とやり取りしてしまうと、パスワードやセッショントークンが外部に渡るリスクは常に存在します。不正送金を防ぐ多層防御
送金処理を実行する際には、通常は複数の署名や二段階認証が導入されますが、攻撃者が“社員本人”のふりをしてしまえば、通用しない可能性があります。今回のように複数の社員が同時に狙われると、権限の多重化をしていても全員が騙される危険がゼロではありません。
4. TRUSTAUTHYとは何か?
ここで登場するのが、私たちが開発・提供している**「TRUSTAUTHY」** というサービスです。
一言でいうと、「位置情報×暗号技術 を組み合わせることで、従来のパスワード認証や二段階認証をさらに強化するプラットフォーム」になります。
GNSS(衛星測位)やGPS情報を活用
単純に「どのIPアドレスからアクセスしたか」だけではなく、物理的な位置関係(緯度経度)を暗号技術で取り扱うため、攻撃者が社内ネットワークをエミュレーションしても、実際にその場所にいなければ不正アクセスを受け付けません。暗号的に守られたプライバシー
位置情報と聞くと「監視されるんじゃないか」と思いがちですが、TRUSTAUTHYでは実際の座標をそのまま送るのではなく、「指定のエリア内にいること」だけを証明するゼロ知識証明などを利用できます。これにより、ユーザーがどこに住んでいるのか、正確な住所を知られることなく認証が行えます。リアルタイム検証と柔軟なルール設定
たとえば「この取引を行う際には、オフィス内の特定エリアにいることが必須」「高額送金には本人のスマホから追加認証が必要」など、企業や取引所がポリシーを柔軟に設定できます。攻撃者が社員の端末やIDを奪っても、物理的な位置が合わなければ決済が完了しない仕組みです。
簡単にまとめると、TRUSTAUTHYは「社員アカウント乗っ取り」という最大のリスクを、物理的な場所の制約によって封じ込めるソリューション なのです。
5. TRUSTAUTHYでできる対抗策
それでは、もしTRUSTAUTHYのサービスが導入されていたら、どう対抗できたのでしょうか?TRUSTAUTHYが強みとするのは、「位置情報を活用した多層認証」です。これは、GPSや衛星測位(GNSS)から得られる情報を暗号的に扱い、ただのIDやパスワードだけではなく、“物理的な場所”という要素まで付け加えることで不正アクセスをブロックする仕組みです。
ソーシャルエンジニアリング対策:社員IDを奪われても使えない
攻撃者が社員のセッション情報やパスワードを盗んでも、送金やシステム管理操作の最終確認時に「端末の実際の位置を検証」する仕組みを組み込んでおけば、遠隔地からのアクセスは弾かれます。社員が普段勤務するオフィスの範囲内や特定の国からしか承認操作ができないように設定すれば、たとえ正規IDを持っていても海外からの実行は不可能になります。リアルタイムの不審検知:位置×操作ログの相関
送金や重要なアクセスが行われる瞬間に、位置情報をリアルタイムでクロスチェックします。もし「東京で作業していた社員アカウントが、わずか数分後に海外IPで高額送金を実行しようとしている」などの疑いがあれば、システムが自動的に承認をストップし、アラートを出すことができます。権限管理の多段化:GNSSを活用した二段階認証
単なるパスワード+コード入力の二段階認証では、社員を一度騙せばすべて突破されるかもしれません。しかし位置情報ベースで「この時間・この場所にいる社員しか高リスクな送金を実行できない」というルールを付与すれば、リクルートを装って遠隔操作を試みても成功率は激減します。
6. 今回の事件が示す、TRUSTAUTHY導入の意義
TraderTraitorによる巧妙なソーシャルエンジニアリングは、今後さらに高度化していく可能性があります。特に暗号資産業界は「資金洗浄」や「テロ資金調達」のターゲットになりやすいことから、国際的に見ても一度狙われると多額の被害が出やすいのが現状です。
TRUSTAUTHYが提案する「位置情報×暗号技術」の多層防御は、IDやパスワードが盗まれるリスクそのものをゼロにはできなくても、不正アクセスを“最終的に”成立させることを大幅に難しくするアプローチです。社員がどこで仕事をしているかを暗号的に認証し、物理的な不整合があれば即座に送金をブロック。権限管理やログインセッションを「位置」という新たな切り口で制御することで、これまで突破されてきた従来型のセキュリティを根本から強化できます。
まとめ:今求められるのは、人×場所×権限の一体的な管理
今回の北朝鮮系ハッカー事件では、“人”がキーポイントになりました。リンクトインでのスカウトを装った接触や、Pythonスクリプトを通じた権限奪取など、テクニカルな攻撃とソーシャルエンジニアリングを組み合わせる手口はさらに進化していくでしょう。その中で、企業や取引所側が対抗するには、IDパスワードや二段階認証だけでなく、「社員が実際にどこで操作しているか」を鍵にした防御モデルが有効です。
TRUSTAUTHYでは、位置情報をプライバシーに配慮した形で管理しながら、不正送金や内部犯行を未然に防ぐための多層認証を実現しています。もし今回のように大規模な攻撃があったとしても、実際のアクセス地点が不自然であれば送金を差し止められるため、被害拡大を大きく食い止めることが可能です。
攻撃が巧妙化し、社員の意識や注意力だけでは守り切れない時代だからこそ、「人×場所×権限」の三位一体でセキュリティを固めていく必要があります。暗号資産業界がさらに発展するためにも、TRUSTAUTHYのような革新的な仕組みを導入し、利用者全員が安心できる環境を目指していきましょう。
Vlightup(ブライトアップ)株式会社
東京都千代田区丸の内1−11−1パシフィックセンチュリープレイス丸の内
公式X https://x.com/Vlightup_offl
Webサイト https://trustauthy.jp/
いいなと思ったら応援しよう!
