北朝鮮ハッカーグループによる仮想通貨取引所への攻撃実態 (1)―Upbitでの342,000 ETH盗難とマネロン中国人の起訴

サイバー攻撃によって金融機関から莫大な資金を掠め取っているとみられている北朝鮮。2016年2月に起きたバングラデシュ中央銀行不正送金事件では8100万ドルがフィリピンの銀行口座から引き出された。北朝鮮は批判に対して「言いがかり」と主張しているが、最近は仮想通貨取引所をターゲットにしているとみられている。

韓国で繰り広げられているサイバー攻撃

2019年11月27日、Dunamu社(韓国・ソウル){1}のCEO、イ・ソクウ氏が「342,000 ETH(約580億ウォン)がアップビットイーサネットリウムホットウォレットから未知のウォレットに転送された。未知のウォレットアドレスは0xa09871AEadF4994Ca12f5c0b6056BBd1d343c029」と明らかにした{2}。Dunamu社は仮想通貨取引所Upbitを運営している韓国の企業。トップの表明によってUpbitの大規模な盗難事件が明るみになった{3}。その6カ月前、2019年5月には韓国のサイバーセキュリティ企業、ESTセキュリティーがUpbitを騙ったスピアフィッシングメールへの警戒を呼びかけていた{4}。

メールはUpbitのイベント景品の受領案内を装ったもので、EST セキュリティーによると、Upbitユーザーを狙ったAPT(標的型)攻撃だという。これと前後して韓国では、韓国統一部を名乗ったメールが安全保障や外交、南北統一に関連する分野の専門家等に送られ、メールには期限を定めて回答を求めた文書が添付されていた{5}。しかし、それはファイルを開くとマルウェアに感染するフィッシングメールだった。ESTセキュリティーの分析によると、韓国統一部を騙ったメールもUpbitを騙ったメールも北朝鮮関連のハッカーグループKimsuky(キムスキー)によるサイバー攻撃だという。

ESTセキュリティーはUpbit の盗難事件に関しては特に語っておらず、Upbitを騙ったフィッシングメールと盗難事件との関わりは不明だ。しかし、一般に北朝鮮のハッカーグループというとLazarus Group(ラザルスグループ)が知られているが、実際にはいくつかのグループが様々な形で攻撃を展開しているようだ。

アメリカは2020年10月にKimsukyに対するアラートを発出しており、アメリカの国家安全保障省サイバーセキュリティ・インフラストラクチャ―・セキュリティ庁(CISA)によると、Kimsukyは2012年から活動していて、朝鮮半島、核政策、制裁に関連する外交政策と国家安全保障の問題について、韓国、日本、アメリカの個人や組織に対して継続してサイバー諜報活動を行っているという{6}。

顔を付け替えた同じシャツを着た写真

Upbit での盗難が発覚してから3カ月が過ぎた2020年3月2日、米司法省は仮想通貨取引所から北朝鮮のハッカーグループが盗んだ1億ドル以上の仮想通貨をマネーロンダリング(資金洗浄)した罪と無許可送金の罪で2人の中国人の男を起訴したことを発表した。{7}米司法省のプレスリリースによると、2人は北朝鮮のハッカーグループが仮想通貨取引所から盗んだ仮想通貨を2017年12月から2019年4月の間に1億ドル以上資金洗浄したほか、2019年11月に韓国を拠点とする仮想通貨取引所から約4850万ドル相当の仮想通貨が盗まれた事件にも関与していたという。2019年11月の事件はUpbitの盗難事件のことを指しているとみられる。また、米紙ワシントンポストによれば他は2017年12月に起きたYobitの盗難事件、2018年6月のBithumbの盗難事件だという。{8}

これら仮想通貨の盗難事件では転送先アカウントや資金洗浄に使われたアカウントが複数あり、韓国のエンジニアリング企業のメールが登録メールとして使われていたアカウントもあった{9}。この企業はメールが仮想通貨取引所の不正アカウントとして使われていたことを知らなかったという。また、本人確認のための写真に、韓国政府が発行したIDを掲げているアジア人とみられる男性の写真やドイツ政府が発行したIDを掲げているヨーロッパ人とみられる男性の写真が使われていたが、着ているシャツやIDを持つ手の形が同じだ。偽装写真を巧みにアカウントの本人確認用の写真として使用していたようだ{10}。

アジアの仮想通貨取引所に対して5回の攻撃に成功か

資金洗浄は複数のアカウントを使って仮想通貨をすべてビットコインに変えて行われ、例えば2018年5月10日から2018年7月6日までの間には146回のトランザクションを通じて、5,600.42737261 BTCが1つのアカウントにロンダリングされたという。また、AppleiTunesギフトカードと引き換えにビットコインを販売したり、米ドルに変換するための金融取引が何度も行われていたという。中国の銀行口座と紐づけられていたアカウントがあり、資金洗浄によって得られた収益が中国の銀行口座に送金されていたようだ{11}。

国連安全保障理事会の北朝鮮制裁委員会専門家パネルは、「北朝鮮は2017年1月から2018年9月の間にアジアの仮想通貨取引所に対して少なくとも5回の攻撃に成功し、その結果、仮想通貨取引所に5億7100万ドルもの損失があったとする分析もある」と2019年3月に公表した年次報告書に記している。{12}また、2019年8月の報告書では、北朝鮮による韓国へのサイバー攻撃は2008年以降、金銭を目的とした攻撃に移行したと分析していて、2019年にそのターゲットは仮想通貨取引所へとさらに移行したとの見解を示している。{13}

【出典】

{1}https://sg.upbit.com/home

{2}https://upbit.com/service_center/notice?id=1085&__cf_chl_jschl_tk__=e9bdc9f5bb173dbc28b5560658b20f4805fe93e3-1613277217-0-AWcKL3qMGFfv34DWfO_m6lATCpMi3KQUSbJPXIHLcLZUsKZEFFo9Vg0rAu5kI5I3E5sgAlq7ZcLhop2HvIoR469eVDhytWol_VTxpiahUnFlH4M16JgmREMp_tlO0iBu45k7UMH7tCBQZjdRIbaONJjp7tz3PqAbkPwxKEpekFY9Bd0O8QwJ2RWLrmxLw5QLN8Hse5PXfcRIT_UuYrCBYM6BPwsdOGJHySGP0xYz2YTrIJwVG1PBMzM89ocR3j6H3klLc_wRiYsUrNWBntqyVDhQU15XDtY3o8uvAy9IOV0EExKoJNgMbQ_HN_hoV-QiYTyky9vJWz6tNRysrqYINYk

{3}https://www.financemagnates.com/cryptocurrency/news/upbit-gets-hacked-50-million-in-ether-stolen/

https://www.securityweek.com/hackers-steal-49-million-ethereum-cryptocurrency-exchange-upbit

{4}https://blog.alyac.co.kr/2336

https://www.coindesk.com/north-korean-hackers-target-upbits-south-korean-users

{5}https://blog.alyac.co.kr/2315

https://jp.yna.co.kr/view/AJP20190520002700882

{6}https://us-cert.cisa.gov/ncas/alerts/aa20-301a

{7}https://www.justice.gov/opa/pr/two-chinese-nationals-charged-laundering-over-100-million-cryptocurrency-exchange-hack

{8}https://www.washingtonpost.com/local/legal-issues/two-chinese-nationals-indicted-in-cryptocurrency-laundering-scheme-linked-to-north-korea/2020/03/02/b6a286c2-5c8d-11ea-9055-5fa12981bbbf_story.html

{9}{10}{11}https://www.justice.gov/opa/press-release/file/1253491/download

{12}https://net-tokuhou.com/%e5%8c%97%e6%9c%9d%e9%ae%ae%e3%81%ab%e3%82%88%e3%82%8b%e3%82%b5%e3%82%a4%e3%83%90%e3%83%bc%e6%94%bb%e6%92%83%e3%80%80%e5%9b%bd%e9%80%a3%e5%ae%89%e4%bf%9d%e7%90%86%e3%83%bb%e5%b0%82%e9%96%80%e5%ae%b6/

{13}https://www.ncnk.org/resources/publications/un_poe_august2019.pdf/file_view

 

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください