ソーシャルエンジニアリングの手口と対処例などを記載、DMMビットコイン不正流出事件に関する注意喚起を発出 警察庁/NISC/金融庁
サイバー攻撃の事例を知ることは防御につながります。仮想通貨が窃取された事案で昨年末に警察庁などが公表した注意喚起の文書では、ソーシャルエンジニアリングについて具体的な事例とともに対処法と緩和策が記載されており、仮想通貨を事業としていない組織においても参考になります。
2024年5月末、暗号資産関連事業者のDMM Bitcoin(DMMビットコイン)で482億円相当のビットコインが不正流出しました。この事案で同年12月24日、警察庁はアメリカの連邦捜査局(FBI)とアメリカ国防総省サイバー犯罪センター(DC3)とともに北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」が同社から窃取したと特定したと公表しました。トレイダートレイターの活動の特徴としてソーシャルエンジニアリングがあると指摘しました。
ソーシャルエンジニアリングとは、コンピューターを直接攻撃するのではなく、人間の心の隙をつくもので採用に関連するもの(スカウトメールや履歴書の添付・リンク)、緊急性を強調するもの、経営層になりすましたものなどさまざまな手口があります。警察庁はビットコイン不正流出事件において具体的なソーシャルエンジニアリングの手法が判明したとして2024年12月24日、内閣サイバーセキュリティセンター(NISC)と金融庁の連名で注意を促す文書を公表しました。
公表されたこれら文書やDMMビットコインのサイトによると、北朝鮮のサイバーアクター(攻撃者)はビジネス向けSNSのLinkedIn(リンクトイン)上でリクルーターになりすまし、日本に所在する企業向け暗号資産ウォレットソフトウェア会社Ginco(ギンコ)の従業員に接触しました。DMMビットコインはギンコの業務用暗号資産ウォレットサービス(コールドウォレット)を利用していました。ウォレットへの不正アクセスが成功すると不正送金のリスクが高まります。攻撃者はアクセス権を保有するギンコ従業員に「GitHub(ギットハブ)」上に保管された採用前試験を装った悪意のあるPythonスクリプトへのURLを送付、このPythonコードをギンコ従業員がコピーしたことで侵害されました。攻撃者はギンコの通信システムへのアクセスにも成功し、DMMビットコイン従業員による正規取引のリクエストを改ざんできたと説明されています。
明らかになった手口に対しシステム管理者と従業員に分けて対処例と緩和策も示されています。システム管理者向けでは例えば、通信先ドメインの登録日が数日~数週間前など、比較的新しくないか確認する▽多要素認証を導入する▽業務付与期間に限定した必要最小限のアクセス範囲と権限を付与する▽EDRやPC内のログと矛盾がないか監視する――などを含む10項目です。他方、従業員向けでは例えば、事前に許可されている場合を除き、私用PCで機微な業務用システムにアクセスしない▽SNSでアプローチを受けた際は、ビデオ通話を要求する▽アプローチ元のプロフィールやSNSでのやりとりについてスクリーンショットを保存する――などを含む6項目です。
