北朝鮮のハッカー集団ラザルスグループ、6年間で30億を盗む

編纂：カーボンチェーンの価値

最近、ネットセキュリティ会社 Recorded Future が発表した報告書によると、北朝鮮に関連するハッカー組織 Lazarus Group が過去 6 年間で 300 億ドルの暗号通貨を盗んだことが示されています。

報告書によれば、2022 年だけで Lazarus Group は 170 億ドルの暗号通貨を略奪し、北朝鮮のプロジェクトに資金を提供している可能性が高いとされています。

ブロックチェーンデータ分析会社 Chainaanalysis は、そのうち 110 億ドルが DeFi プラットフォームから盗まれたと述べています。アメリカ合衆国国土安全保障省は 9 月に報告書を発表し、分析交換プログラム (AEP) の一環として、Lazarus が DeFi プロトコルを利用していることを強調しました。

Lazarus Group の専門は資金の盗難です。2016 年、彼らはバングラデシュ中央銀行に侵入し、8100 万ドルを盗みました。2018 年には、日本の暗号通貨取引所 Coincheck を攻撃し、5.3 億ドルを盗み、マレーシア中央銀行を攻撃して 3.9 億ドルを盗みました。

カーボンチェーンの価値の精編報告の要点を参考までに：

2017 年以降、北朝鮮は暗号業界をサイバー攻撃のターゲットとしており、暗号通貨の価値は合計で 300 億ドルを超えています。それ以前、北朝鮮は SWIFT ネットワークをハイジャックし、金融機関間から資金を盗んでいました。このような活動は国際機関の注目を集め、金融機関は自らのネットワークセキュリティ防御を改善するために投資を行いました。

2017 年、暗号通貨が主流となった際、北朝鮮のハッカーはその盗難のターゲットを従来の金融からこの新しいデジタル金融に移し、最初に韓国の暗号市場を狙い、その後、世界的に影響を拡大しました。

2022 年だけで、北朝鮮のハッカーは約 170 億ドルの暗号通貨を盗んだとされ、この数字は北朝鮮国内経済規模の約 5%、またはその軍事予算の 45% に相当します。この数字は、北朝鮮の 2021 年の輸出価値のほぼ 10 倍であり、OEC のウェブサイトのデータによると、その年の北朝鮮の輸出額は 1.82 億ドルでした。

北朝鮮のハッカーが暗号業界で暗号通貨を盗む方法は、通常、暗号ミキサー、クロスチェーン取引、法定通貨 OTC の伝統的なネット犯罪の運用方法に似ています。しかし、国家が背後にいるため、盗難行為は自身の運用規模を拡大することができます。このような運用方法は、従来のネット犯罪グループにはできないことです。

データ追跡によると、2022 年には、約 44% の盗まれた暗号通貨が北朝鮮のハッカー行為に関連しているとされています。

北朝鮮のハッカーのターゲットは取引所に限らず、個人ユーザー、ベンチャーキャピタル会社、その他の技術やプロトコルも北朝鮮のハッカー行為の攻撃を受けています。業界で運営されている機関や働いている個人はすべて、北朝鮮のハッカーの潜在的なターゲットとなる可能性があり、北朝鮮政府はその活動を続け、資金を調達することができます。

暗号業界で働くユーザー、取引所運営者、スタートアップの創業者は、ハッカー攻撃のターゲットになる可能性があることを認識すべきです。

従来の金融機関も北朝鮮のハッカー組織の活動に注意を払うべきです。一度暗号通貨が盗まれ、法定通貨に変換されると、北朝鮮のハッカーの盗難行為は異なるアカウント間で資金を移動させて出所を隠します。通常、盗まれた身分情報や改ざんされた写真が AML/KYC 検証を回避するために使用されます。北朝鮮のハッカーチームに関連する侵入の被害者となった個人識別情報 (PII) は、アカウントを登録するために使用され、暗号通貨の盗難のマネーロンダリングプロセスを完了するために利用される可能性があります。したがって、暗号通貨や従来の金融業界以外の企業も、北朝鮮のハッカーグループの活動や、彼らのデータやインフラがさらなる侵入の踏み台として使用されているかどうかに警戒する必要があります。

北朝鮮のハッカー組織のほとんどの侵入は、ソーシャルエンジニアリングやフィッシング活動から始まります。一部の組織は、従業員にこのような活動を監視するように訓練し、FIDO2 標準に準拠したパスワードレス認証などの強力な多要素認証を実施するべきです。

北朝鮮は、暗号通貨の継続的な盗難を主要な収入源とし、自国の軍事および武器プロジェクトの資金調達に利用することを明確にしています。どれだけの盗まれた暗号通貨が弾道ミサイル発射の資金に直接使用されているかは不明ですが、近年盗まれた暗号通貨の量とミサイル発射の数は大幅に増加しています。より厳格な規制、ネットセキュリティ要件、暗号通貨企業のネットセキュリティへの投資がなければ、北朝鮮はほぼ確実に暗号通貨業界を国家の追加収入源として利用し続けるでしょう。

2023 年 7 月 12 日、アメリカの企業ソフトウェア会社 JumpCloud は、北朝鮮に支持されたハッカーがそのネットワークに侵入したと発表しました。Mandiant の研究者はその後、攻撃を担当したグループが UNC4899 であり、暗号通貨に特化した北朝鮮のハッカー組織「TraderTraitor」に対応している可能性が高いと報告しました。2023 年 8 月 22 日までに、アメリカ連邦捜査局（FBI）は、北朝鮮のハッカー組織が Atomic Wallet、Alphapo、CoinsPaid のハッキングに関与し、合計 1.97 億ドルの暗号通貨を盗んだと発表しました。これらの暗号通貨の盗難により、北朝鮮政府は厳しい国際制裁の下でも活動を続け、最大 50% の弾道ミサイル計画のコストを資金調達することができました。

2017 年、北朝鮮のハッカーは韓国の取引所 Bithumb、Youbit、Yapizon に侵入し、当時の盗まれた暗号通貨の価値は約 8270 万ドルでした。また、2017 年 7 月に Bithumb のユーザーの個人情報が漏洩した後、暗号通貨ユーザーも攻撃のターゲットとなったと報告されています。

暗号通貨を盗むだけでなく、北朝鮮のハッカーは暗号通貨のマイニングも学びました。2017 年 4 月、カスペルスキー研究所の研究者は、APT38 の侵入において Monero マイニングソフトウェアを発見しました。

2018 年 1 月、韓国金融安全研究所の研究者は、北朝鮮の Andariel 組織が 2017 年夏に未公開の企業サーバーに侵入し、当時の価値約 25000 ドルのモネロを約 70 枚マイニングしたと発表しました。

2020 年、セキュリティ研究者は北朝鮮のハッカーによる暗号通貨業界への新たなサイバー攻撃を報告し続けました。北朝鮮のハッカー組織 APT38 は、アメリカ、ヨーロッパ、日本、ロシア、イスラエルの暗号通貨取引所を攻撃し、LinkedIn を最初の接触手段として使用しました。

2021 年は、北朝鮮が暗号通貨業界に対して最も多くの攻撃を行った年であり、少なくとも 7 つの暗号通貨機関に侵入し、4 億ドルの暗号通貨を盗みました。さらに、北朝鮮のハッカーは ERC-20 トークンや NFT を含むアルトコイン（山寨币）を狙い始めました。

2022 年 1 月、Chainalysis の研究者は、2017 年以来、まだ 1.7 億ドルの暗号通貨が現金化されていないことを確認しました。

2022 年に APT38 に帰属する顕著な攻撃には、Ronin Network クロスチェーンブリッジ（損失 6 億ドル）、Harmony ブリッジ（損失 1 億ドル）、Qubit Finance ブリッジ（損失 8000 万ドル）、Nomad ブリッジ（損失 1.9 億ドル）が含まれます。これら 4 回の攻撃は特にこれらのプラットフォームのクロスチェーンブリッジを狙ったもので、クロスチェーンブリッジは 2 つのブロックチェーンを接続し、ユーザーがあるブロックチェーンから異なる暗号通貨を含む別のブロックチェーンに送信できるようにします。

2022 年 10 月、日本警察庁は、Lazarus Group が日本で運営されている暗号通貨業界の企業を攻撃したと発表しました。具体的な詳細は提供されていませんが、一部の企業が成功裏に侵入され、暗号通貨が盗まれたと声明で述べています。

2023 年 1 月から 8 月の間に、APT38 は Atomic Wallet（2 回の攻撃で合計 1 億ドルの損失）、AlphaPo（2 回の攻撃で合計 6000 万ドルの損失）、CoinsPaid（3700 万ドルの損失）から合計 2 億ドルを盗んだとされています。同じく 1 月に、アメリカ FBI は APT38 が Harmony の Horizon ブリッジの仮想通貨を盗む際に 1 億ドルの損失を被ったことを確認しました。

2023 年 7 月の CoinsPaid 攻撃では、APT38 のオペレーターが採用者を装い、CoinsPaid の従業員に対して採用メールや LinkedIn メッセージを送信した可能性があります。CoinsPaid は、APT38 が 6 か月間にわたりそのネットワークへのアクセス権を得ようとしたと述べています。

緩和策

• 以下は Insikt Group が提案する、北朝鮮のサイバー攻撃から暗号通貨ユーザーや企業を守るための防止策です：
• 多要素認証 (MFA) を有効にする：ウォレットや取引にハードウェアデバイス（例：YubiKey）を使用してセキュリティを強化します。
• 暗号通貨取引所に利用可能な MFA 設定を有効にし、アカウントを不正ログインや盗難から最大限に保護します。
• 検証済みのソーシャルメディアアカウントを確認し、ユーザー名に特殊文字や数字の置き換えが含まれていないか確認します。
• リクエストされた取引が合法であることを確認し、エアドロップやその他の無料の暗号通貨や NFT プロモーション活動を検証します。
• Uniswap やその他の大規模プラットフォームからのエアドロップやその他の内容を受け取った際は、常に公式の情報源を確認します。
• 常に URL を確認し、リンクをクリックした後にリダイレクトを観察し、ウェブサイトが公式サイトであることを確認します。

以下はソーシャルメディア詐欺防止のためのいくつかのヒントです：

• 暗号通貨取引を行う際は特に注意を払います。加密貨幣資産には「従来の」詐欺を軽減するための機関の保証がありません。
• ハードウェアウォレットを使用します。ハードウェアウォレットは、常にインターネットに接続されている「ホットウォレット」（例：MetaMask）よりも安全である可能性があります。MetaMask に接続されたハードウェアウォレットでは、すべての取引がハードウェアウォレットによって承認される必要があり、追加のセキュリティ層を提供します。
• 信頼できる dApps（分散型アプリケーション）のみを使用し、スマートコントラクトアドレスを確認してその真実性と完全性を確認します。本物の NFT 鋳造インタラクションは、より大きな dApp の一部である可能性のあるスマートコントラクトに依存しています。MetaMask、ブロックチェーンブラウザ（例：Etherscan）、または時には dApp 内で直接契約アドレスを確認できます。
• 模倣を避けるために公式ウェブサイトの URL を再確認します。一部の暗号通貨盗難フィッシングページは、ドメイン名のスペルミスに依存して無知なユーザーを欺く可能性があります。
• あまりにも良すぎて信じられないオファーには疑いを持ちます。暗号通貨盗難フィッシングページは、有利な暗号通貨取引レートや NFT 鋳造インタラクションの低コストのガス料金で犠牲者を引き寄せます。