北朝鮮のハッカー集団ラザルスグループ、6年間で30億ドルの暗号通貨を盗む

著者：カーボンチェーンバリュー

最近、ネットセキュリティ会社 Recorded Future が発表した報告書によると、北朝鮮に関連するハッカー組織 Lazarus Group が過去6年間で30億ドルの暗号通貨を盗んだことが明らかになりました。

報告書によれば、2022年だけで Lazarus Group は17億ドルの暗号通貨を略奪し、北朝鮮のプロジェクトに資金を提供している可能性が高いとされています。

ブロックチェーンデータ分析会社 Chainalysis は、そのうち11億ドルが DeFi プラットフォームから盗まれたと述べています。アメリカ国土安全保障省は9月に報告書を発表し、分析交換プログラム (AEP) の一環として、Lazarus が DeFi プロトコルを利用していることを強調しました。

Lazarus Group の専門は資金の盗難です。2016年には、バングラデシュ中央銀行に侵入し、8100万ドルを盗みました。2018年には、日本の暗号通貨取引所 Coincheck を攻撃し、5.3億ドルを盗み、マレーシア中央銀行を攻撃して3.9億ドルを盗みました。
カーボンチェーンバリューが編集した報告書の要点を以下に示します：

2017年以降、北朝鮮は暗号業界をネット攻撃のターゲットとしており、暗号通貨の盗難総額は30億ドルを超えています。それ以前には、北朝鮮は SWIFT ネットワークをハイジャックし、金融機関間で資金を盗んでいました。このような活動は国際機関の注目を集め、金融機関は自らのネットワークセキュリティ防御を改善するために投資を行いました。

2017年、暗号通貨が主流となった際、北朝鮮のハッカーはそのターゲットを従来の金融からこの新しいデジタル金融に移し、最初に韓国の暗号市場を狙い、その後、世界的に影響力を拡大しました。

2022年だけで、北朝鮮のハッカーは約17億ドル相当の暗号通貨を盗んだとされ、この数字は北朝鮮の国内経済規模の約5%、またはその軍事予算の45%に相当します。この数字は、北朝鮮の2021年の輸出価値のほぼ10倍であり、OEC のウェブサイトのデータによると、その年の北朝鮮の輸出額は1.82億ドルでした。

北朝鮮のハッカーが暗号業界で暗号通貨を盗む方法は、通常、暗号ミキサー、クロスチェーン取引、法定通貨 OTC の伝統的なネット犯罪の運用方法に似ています。しかし、国家が背後にいるため、盗難行為は自らの運用規模を拡大することができます。このような運用方法は、従来のネット犯罪グループにはできないことです。

データ追跡によれば、2022年には、盗まれた暗号通貨の約44%が北朝鮮のハッカー行為に関連しているとされています。

北朝鮮のハッカーのターゲットは取引所に限らず、個人ユーザー、ベンチャーキャピタル会社、その他の技術やプロトコルも攻撃の対象となっています。業界で運営されている機関や働いている個人は、すべて北朝鮮のハッカーの潜在的なターゲットとなる可能性があり、北朝鮮政府はその活動を続け、資金を調達することができます。

暗号業界で働くユーザー、取引所の運営者、スタートアップの創業者は、ハッカー攻撃のターゲットになる可能性があることを認識すべきです。

従来の金融機関も、北朝鮮のハッカー組織の活動に注意を払うべきです。一度暗号通貨が盗まれ、法定通貨に変換されると、北朝鮮のハッカーによる盗難行為は、異なるアカウント間で資金を移動させて出所を隠すことになります。通常、盗まれた身分証明書や改ざんされた写真が AML/KYC 検証を回避するために使用されます。北朝鮮のハッカーチームに関連する侵害の被害者となった個人識別情報 (PII) は、アカウントを登録するために使用され、暗号通貨の盗難のマネーロンダリングプロセスを完了するために利用される可能性があります。したがって、暗号通貨や従来の金融業界以外の企業も、北朝鮮のハッカーグループの活動や、彼らのデータやインフラがさらなる侵入の踏み台として使用されているかどうかに警戒する必要があります。

北朝鮮のハッカー組織のほとんどの侵入は、ソーシャルエンジニアリングやフィッシング活動から始まります。一部の組織は、従業員にこのような活動を監視するように訓練し、FIDO2 標準に準拠したパスワードレス認証などの強力な多要素認証を実施すべきです。

北朝鮮は、暗号通貨の継続的な盗難を主要な収入源と見なし、自らの軍事および武器プロジェクトの資金として利用しています。どれだけの盗まれた暗号通貨が弾道ミサイル発射の資金に直接使用されているかは不明ですが、近年盗まれた暗号通貨の量とミサイル発射の数が大幅に増加していることは明らかです。より厳格な規制、ネットセキュリティ要件、暗号通貨企業のネットセキュリティへの投資がなければ、北朝鮮はほぼ確実に暗号通貨業界を国家の追加収入の源として利用し続けるでしょう。

2023年7月12日、アメリカの企業ソフトウェア会社 JumpCloud は、北朝鮮支援のハッカーが同社のネットワークに侵入したことを発表しました。Mandiant の研究者は、その攻撃を担当したグループが UNC4899 であり、「TraderTraitor」と呼ばれる暗号通貨に特化した北朝鮮のハッカー組織に関連している可能性が高いと報告しました。2023年8月22日、アメリカ連邦捜査局 (FBI) は、北朝鮮のハッカー組織が Atomic Wallet、Alphapo、CoinsPaid に関与したハッキング攻撃を発表し、合計で1.97億ドルの暗号通貨を盗んだと述べました。これらの暗号通貨の盗難は、北朝鮮政府が厳しい国際制裁の下で活動を続け、弾道ミサイル計画のコストの最大50%を資金提供することを可能にしました。

2017年、北朝鮮のハッカーは韓国の取引所 Bithumb、Youbit、Yapizon に侵入し、当時の盗まれた暗号通貨の価値は約8270万ドルでした。また、2017年7月に Bithumb のユーザーの個人情報が漏洩した後、暗号通貨ユーザーも攻撃のターゲットとなったとの報告があります。

暗号通貨の盗難に加えて、北朝鮮のハッカーは暗号通貨のマイニングも学びました。2017年4月、カスペルスキー研究所の研究者は、APT38 の侵入において Monero マイニングソフトウェアを発見しました。

2018年1月、韓国金融安全研究所の研究者は、北朝鮮の Andariel 組織が2017年夏に未公開の企業のサーバーに侵入し、当時約25000ドル相当の70枚のモネロをマイニングしたと発表しました。

2020年、セキュリティ研究者は北朝鮮のハッカーによる暗号通貨業界への新たなネット攻撃を報告し続けました。北朝鮮のハッカー組織 APT38 は、アメリカ、ヨーロッパ、日本、ロシア、イスラエルの暗号通貨取引所を攻撃し、LinkedIn を最初の接触手段として使用しました。

2021年は、北朝鮮が暗号通貨業界に対して最も活発な年であり、北朝鮮のハッカーは少なくとも7つの暗号通貨機関に侵入し、4億ドル相当の暗号通貨を盗みました。さらに、北朝鮮のハッカーは Altcoins（山寨币）や ERC-20 トークン、NFTs にも目を向け始めました。

2022年1月、Chainalysis の研究者は、2017年以来、まだ1.7億ドル相当の暗号通貨が未回収であることを確認しました。

2022年に APT38 に帰属する顕著な攻撃には、Ronin Network クロスチェーンブリッジ（損失6億ドル）、Harmony ブリッジ（損失1億ドル）、Qubit Finance ブリッジ（損失8000万ドル）、Nomad ブリッジ（損失1.9億ドル）が含まれます。これら4回の攻撃は特にこれらのプラットフォームのクロスチェーンブリッジを狙ったもので、クロスチェーンブリッジは2つのブロックチェーンを接続し、ユーザーがあるブロックチェーンから異なる暗号通貨を含む別のブロックチェーンに暗号通貨を送信できるようにします。

2022年10月、日本警察庁は、Lazarus Group が日本で運営されている暗号通貨業界の企業を攻撃したと発表しました。具体的な詳細は提供されていませんが、一部の企業が成功裏に侵入され、暗号通貨が盗まれたことが声明で指摘されています。

2023年1月から8月の間に、APT38 は Atomic Wallet（2回の攻撃で合計1億ドルの損失）、AlphaPo（2回の攻撃で合計6000万ドルの損失）、CoinsPaid（3700万ドルの損失）から2億ドルを盗んだとされています。同じく1月に、アメリカの FBI は、APT38 が Harmony の Horizon ブリッジの仮想通貨を盗む際に1億ドルの損失を被ったことを確認しました。

2023年7月の CoinsPaid 攻撃では、APT38 のオペレーターが採用者を装い、CoinsPaid の従業員に対して採用の電子メールや LinkedIn メッセージを送信した可能性があります。CoinsPaid は、APT38 が6ヶ月間にわたり同社のネットワークへのアクセスを得ようとしたと述べています。

緩和策

以下は、Insikt Group が提案する、北朝鮮のネット攻撃から暗号通貨ユーザーや企業を守るための防止策です：

多要素認証 (MFA) を有効にする：ウォレットや取引にハードウェアデバイス（例：YubiKey）を使用してセキュリティを強化します。

暗号通貨取引所に利用可能な MFA 設定を有効にし、アカウントを不正ログインや盗難から最大限に保護します。

確認済みのソーシャルメディアアカウントを検証し、ユーザー名に特殊文字や数字が含まれていないか確認します。
要求された取引が合法であることを確認し、エアドロップやその他の無料の暗号通貨や NFT プロモーションを検証します。

Uniswap やその他の大手プラットフォームからのエアドロップやその他の内容を受け取った際は、常に公式の情報源を確認します。
常に URL を確認し、リンクをクリックした後のリダイレクトを観察し、ウェブサイトが公式サイトであることを確認します。

以下は、ソーシャルメディア詐欺防止のためのいくつかのヒントです：

暗号通貨取引を行う際は特に注意を払います。暗号通貨資産には「従来の」詐欺を軽減するための機関の保証がありません。

ハードウェアウォレットを使用します。ハードウェアウォレットは、MetaMask のように常にインターネットに接続されている「ホットウォレット」よりも安全である可能性があります。MetaMask に接続されたハードウェアウォレットでは、すべての取引がハードウェアウォレットによって承認される必要があり、追加のセキュリティ層を提供します。

信頼できる dApps（分散型アプリケーション）のみを使用し、スマートコントラクトアドレスを検証してその真実性と完全性を確認します。本物の NFT 鋳造インタラクションは、より大きな dApp の一部である可能性のあるスマートコントラクトに依存しています。MetaMask、ブロックチェーンブラウザ（例：Etherscan）、または時には dApp 内で直接コントラクトアドレスを検証できます。

模倣を避けるために公式ウェブサイトの URL を再確認します。一部の暗号通貨盗難フィッシングページは、ドメイン名のスペルミスに依存して無知なユーザーを欺くことがあります。

あまりにも良すぎて信じられないオファーには疑いを持ちます。暗号通貨盗難フィッシングページは、有利な暗号通貨取引レートや NFT 鋳造インタラクションの低いガス料金で犠牲者を引き寄せます。