【北朝鮮はなぜ暗号資産のハッキングに集中するのか?】サイバー脅威と政策に関する重要ニュース
こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。
以下、2024年9月2日付の韓国メディアの『電子新聞』の記事を翻訳・編集した内容になります。
[キム・ホグァン・コラム]北朝鮮はなぜ暗号資産のハッキングに集中するのか?
最近、マイクロソフトは、北朝鮮のハッキング組織「Citrine Sleet(シトリンスリート)」が、未知のGoogle Chromeブラウザの脆弱性を利用して暗号資産のハッキングを行っているという研究結果を発表しました。
マイクロソフトのセキュリティレポートによると、北のハッキング組織は、偽のウェブサイトを合法的な暗号資産取引所アプリのように見せ被害者を誘引し、偽の求職申請書などで被害者を誘導してマルウェアがある偽の暗号資産ウォレットや取引所アプリをダウンロードするように誘導しました。このハッキングアプリを通じて北が自ら開発したトロイの木馬型マルウェア「Apple Jeus」で被害者の携帯電話やPCをマルウェアに感染させた後、暗号資産を奪うために必要な情報を違法で入手しました。
北の「Citrine Sleet」は、このような手法で奪った暗号資産の規模は正確には知られていませんが、2023年に10億ドル以上の暗号資産をハッキングしたと推定しています。
暗号資産専門の調査会社「TRM Labs」の報告書によると、昨年、世界の暗号資産のハッキング額の3分の1が北のハッカーの犯行によるものと推定されるほど、北は暗号資産のハッキングに本気で取り組んでいます。
2000年代初め、北は社会的な混乱を誘導するために放送、銀行、公共機関のハッキングに注力しました。その後、北はオンラインゲームのハッキングに注力し、ハッキングされたゲームアイテムはアイテム取引サイトで売買され莫大な収益を得てきました。
北のハッキングの目的が韓国社会の混乱誘導から経済的な問題に変化した理由のひとつは、韓国のサイバーセキュリティ能力が強化されるにつれ、以前とは異なり簡単にハッキングすることが難しくなったためです。そして、繰り返されるハッキングに関するニュースによって韓国の国民の北のハッキングに対する関心度が落ちたこともあります。これに加えて根本的な理由は、北の経済制裁により外貨を獲得する方法が著しく減ったためです。
オンラインゲームアイテムのハッキングによる実益が低くなり、北は暗号資産に目を向けました。2022年まで、ハッキング手法は社会工学的なスミッシングを組み合わせてマルウェアをインストールするよう誘導する方法がほとんどでした。従来のオンラインゲームのハッキングツールとほぼコードの構成が似ており、差別化された手法ではありませんでした。
そして、暗号資産業界が思ったよりもセキュリティに疎いことも一役買いました。
TelegramがEXEになった実行ファイルの転送を遮断したことで、北は他のハッキング手法を考え始めたようです。
2023年後半から北のハッキングは、最も多く使用されている暗号資産ウォレットのメタマスクに集中し始めました。メタマスクがインストールされたGoogle Chromeブラウザの未知の脆弱性を積極的に悪用する方法で、一段階高いレベルにハッキング技術が進化しました。これとともに、Bithumbのような暗号資産取引所が通貨発行財団にメールを送信したかのようにメールを送り、暗号資産財団のPCをハッキングする人の心理を利用した社会工学的技法を積極的に活用しました。
これにより、一部の財団では、財団ウォレットがハッキングされ、取引所から取引注意の通知を受けて上場廃止に陥る事案が発生しました。
北は2000年代初めから積極的にハッキング部隊を育成してきており、既存のハッカーからの世代交代に成功したと個人的には推定しています。これまで北は中国とロシアのハッキングコードに少し手を加えて使用していましたが、未知のGoogle Chromeの脆弱性を利用したハッキングで独創的なハッキング技術を見せたためです。
暗号資産は非中央集権化されているように見えますが、理論とは異なり中央集権化された取引所と中央集権化された財団ウォレットがクロームブラウザベースのメタマスクに依存している状況です。これまでBithumb、Upbit、Coinoneなどの韓国のメジャーな暗号通貨取引所はセキュリティに集中的に投資をしました。そのため、過去とは異なり、取引所をターゲットとするハッキングがほとんど不可能になりました。
取引所アプリサービスにも一般の金融機関並みのセキュアコーディングが適用され、北がハッキングしにくくなりました。代表的なところでは、Bithumbでは金融セキュリティガイドレベルのネットワーク分離をはじめ、ハッキング侵入検知システムを構築し、個人の異常取引を追跡するFDSが高度化し、過去のような異常ハッキングのハードルが高くなったことが一役買っています。
そのため、北のハッキング組織は韓国の取引所で上場した財団を狙っています。相対的にセキュリティに投資する余力が少なく、現金化が楽な大量のコインを保有しているからです。
では、北のハッキング被害をどのように最小化できるでしょうか?
まず、財団はハードウォレットまたはエスクローサービスを通じてウォレットのアクセスを分離する必要があります。
第二に、財団のウォレットを複数の署名方式で構成し、一部の署名権者がハッキングされても出金できないようにする必要があります。
第三に、財団の公式メールにアクセスする財団関係者は、ハイパーリンクを含むリンクを開かないようにする必要があります。
第四に、取引所とやり取りするメールが異常でないかをチェックする必要があります。メタ情報が取引所メールのように見える場合が多いですが、メールアドレスを確認すると異なるケースがあります。
第五に、財団メール担当者はウォレットマネージャーと物理的に分離する必要があります。メールやTelegramなどのコミュニケーションツールからハッキングが始まるため、物理的な分離だけでも被害は減らすことができます。
第六に、オフィスのファイアウォールは最低限のセキュリティです。共有オフィスを使用してもファイアウォールの使用は別途申請可能です。
第七に、定期的なセキュリティアップデートを行う必要があります。
北のハッキングは、人間の心理的なミスを狙う社会工学的なハッキングを基盤としているため、人間は失敗する可能性があります。また、まだ把握されていないGoogle Chromeのセキュリティ脆弱性にパッチを適用するまでにどれくらい時間がかかるかは分かりません。
そのため、財団はより注意を払い、セキュリティに集中する必要があります。通貨財団のハッキング被害は、財団の運営だけでなく、投資家へのより大きな被害に関わるためです。
財団がここで説明したような基本的なセキュリティガイドラインを守れば、北のハッキングから貴重な暗号資産を保護することができるものと思われます。
筆者紹介:キム・ホグァン代表はブロックチェーン市場に2017年から参加しました。
NIKEの「Run the city」のセキュリティを担当しており、現在、複数のスマホゲームやゲームポータルでセキュリティとレガシーシステムへのクラウド移行の技術を支援しています。最近の関心は社会的ハッキングと機械学習、クラウドなどです。