警察庁は2024年12月24日、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」が暗号資産関連事業者 株式会社DMM Bitcoinから約482億円相当の暗号資産を窃取したことを特定し、文書を公表した。
警察庁では、同庁関東管区警察局サイバー特別捜査部及び警視庁による捜査・分析の結果を総合的に評価し、米国連邦捜査局(FBI)及び米国国防省サイバー犯罪センター(DC3)とともに、2024年5月に TraderTraitorがDMM Bitcoin から約 482 億円相当の暗号資産を窃取したことを特定したという。
同庁によると、TraderTraitor は北朝鮮当局の下部組織とされる「Lazarus Group」の一部とされ、同時に同じ会社の複数の従業員に対して実施される、標的型ソーシャルエンジニアリングが手法の特徴として挙げられる。
TraderTraitor は2024年3月下旬に、LinkedIn 上でリクルーターになりすまし、企業向け暗号資産ウォレットソフトウェア会社 株式会社Gincoの従業員に接触、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付し、被害者は Python コードを自身の GitHub ページにコピーし、その後、侵害されたとのこと。
TraderTraitor は2024年5月中旬以降、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムにアクセスし、同月下旬に同アクセスを利用してDMM従業員による正規取引のリクエストを改ざんしたものと認めら、その結果、4,502.9BTC(攻撃当時約482億円相当)が喪失、最終的に窃取された資産は TraderTraitor が管理するウォレットに移動されたという。
なお、警察庁、内閣サイバーセキュリティセンター、金融庁では、TraderTraitorの手口例及び緩和策に関する文書を発出しており、暗号資産関連事業者は当該文書を併せて確認するよう呼びかけている。
