2024年5月にDMMから428億円相当のビットコインが流出した事件について、米国のFBIが、攻撃を行ったサイバー組織や攻撃方法について詳細を発表しています。
この発表によると、事件には北朝鮮のサイバー犯罪グループの一つである「TraderTraitor」が関与しており、攻撃の手法としてソーシャルエンジニアリングが使われているとのこと。
攻撃者はまず、LinkedInでリクルーターを装い、仮想通貨ウォレット会社Gincoの従業員に接触。事前雇用テストとしてGitHubページにある悪意のあるPythonスクリプトのURLを送信し、従業員がそのコードを個人のGitHubページにコピーしたことにより、システムが侵害されます。
2024年5月中旬以降、TraderTraitorの攻撃者はセッションクッキー情報を悪用して、侵害された従業員になりすまし、Gincoの暗号化されていない通信システムにアクセスします。2024年5月下旬、攻撃者はDMMの従業員による正当な取引要求を操作し、4,502.9 BTCを盗みます。
捜査はFBI、DC3、警察庁の協力によって進められ、金融庁のページにも、このサーバー攻撃に関する詳細が掲載されています。
北朝鮮のハッカー集団が、LinkedIn経由で近づきGitHubを利用した偽装コーディングテストを指示しているという事例は2024年9月にも報告されています。LinkedInでリクルートされた開発者は、騙される可能性があることに注意し、連絡してきた人物のプロフィールが本物であるのか十分に確認する必要がありそうです。
