北朝鮮ハッカーがまたも巨額の暗号資産を強奪?「韓国の取引所」装う巧妙な偽メールで57億円の被害
ブロックチェーン技術を基盤とした身元確認サービス「ヒューマニティ・プロトコル(Humanity Protocol)」で被害額3600万ドル(日本円=約57億円)規模のフィッシング攻撃を行ったハッカーが、北朝鮮と関連のある組織や人物である可能性が高いという分析が出された。
【解説】「新たな核兵器になり得る」“科学英才”を次々に生み出す北朝鮮ハッカー部隊の実体
6月15日(現地時間)、アメリカの北朝鮮専門メディア『NKプロ』はヒューマニティ・プロトコルの依頼で今回の事件を調査したブロックチェーンセキュリティ企業「Quantstamp」がこのような結論を下したと伝えた。
今回の事件において、過去の北朝鮮による作戦を連想させるツールや戦術が使われた点を根拠として挙げている。ただし、Quantstampは今回の攻撃を実行したと推定される具体的なサイバー犯罪組織の名称までは特定しなかった。
報道によると、攻撃者は盗み出した認証情報を利用してサービスに侵入し、今月8日ヒューマニティ(ティッカーシンボル:$H)トークン約1億4118万枚を別の場所に移動させ、ブロックチェーンプラットフォーム「BNBスマートチェーン(BSC/旧バイナンススマートチェーン)」で約1億枚の追加トークンを無断で発行した。攻撃者が盗み出した$Hトークンの総数は1億9361万7148枚に達する。
今回のフィッシング攻撃は、人間の心理的な隙やミスを狙い、特定の人物をターゲットに攻撃手法を設計する「標的型ソーシャルエンジニアリング攻撃」の手法で行われた。
ハッカーは、韓国の暗号資産(仮想通貨)取引所「ビッサム」とすでに連絡を取り合っていたヒューマニティ・プロトコルの取締役の1人に対し、ビッサムを装ったフィッシングメールを送信した。
この取締役は今月5日に添付ファイルを開き、書類を作成した。添付の圧縮ファイルが開かれると、ハンコムに関連する証明書でデジタル署名されたマルウェア(悪意のあるコード)のローダーが拡散され、ハッカーはこれによって標的となった取締役のパソコンを遠隔操作できるようになった。『NKプロ』によると、ハンコムの独自ファイル形式は北朝鮮のサイバー犯罪者がターゲットのパソコンに侵入する際、これまでも度々悪用されてきたという。
今回の事件は、今月13日に同社が公開した報告書によって明らかになった。最初の資産窃盗から8時間以内に、攻撃者はユニスワップやパンケーキスワップなどの分散型取引所(DEX)を利用し、盗み出した資金を新設されたウォレットへ送金して利益を確定させた。報告書が公開された13日時点で、攻撃者が管理するウォレットには2100万ドル(約33億円)を超えるイーサリアムが保管されていた。一方、BSC経由で得られた利益については現在も追跡が続けられている。
ヒューマニティ・プロトコル側は、イーサリアムのトークンスマートコントラクトについては攻撃者の手が届かないマルチシグ(多重署名)ウォレットを通じて凍結したと発表した。しかし、BSC上では攻撃者が依然として管理者権限を保持しているため、ヒューマニティ・プロトコル側がアクセスを遮断するまでは、追加でトークンが無断発行される恐れがある。
『NKプロ』は「今回の事件は、世界で最も活発な暗号資産窃盗グループとされる北朝鮮の膨大な犯罪実績に、また新たな事例が加わった形だ」と指摘した。
これに先立ち、今年4月に発生した2億9000万ドル(約464億円)規模の「ケルフDAO(Kelp DAO)」事件や、2億8500万ドル(約456億円)規模の「ドリフト・プロトコル(Drift Protocol)」事件についても、北朝鮮に関連する組織の犯行ではないかという疑いが浮上している。
(記事提供=時事ジャーナル)
