piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

TraderTraitorによるDMM Bitcoinのビットコイン不正流出についてまとめてみた

2024年5月31日、暗号資産交換業者のDMM Bitcoinは同社の暗号資産を管理するウォレットからビットコインが不正に流出する事態が発生したと公表しました。その後、警察庁などは当該事案に北朝鮮背景のサイバー攻撃グループが関与したとして注意喚起などを発出しています。ここでは関連する情報をまとめます。

1.482億円相当のビットコイン不正流出

  • DMM Bitcoinでビットコインの不正流出が発生したのは2024年5月31日13時26分頃。同社より流出したビットコインは4,502.9BTCで、これは当時の日本円レートで約482億円に相当、2018年のCoincheckに続く流出規模となった。
  • 同社は顧客の預かりビットコイン全量について、DMMグループより支援を受ける形で調達を進め全量保証を行うと説明。調達金額は総額550億円(内訳は借入50億円、増資480億円、劣後特約付借入20億円)で2024年6月14日までにビットコインの調達が完了したことを明らかにしている。ビットコインの調達に際しては市場への影響がないように行うとしていた。
  • 不正流出に至った経緯については2024年12月時点で同社Webサイト上では詳細が明らかにされていないが、公表を行った時点で不正流出への対策はすでに講じたことを説明している。なおこの経緯についてはその後警察庁などが明らかにしている。
  • 不正流出発生後より、同社は一部サービスで利用制限や遅延が生じることを案内しており、制限概要は以下の通り。また注文済みの現物取引、レバレッジ取引の指値注文のキャンセルは行えない。さらに日本円での出金も通常より時間を要する場合があるとしている。2024年12月時点でこれらのサービス停止等の影響は解消されておらず、半年以上にわたり同社顧客は暗号資産の新規購入や他業者への移管が行えていない状況となった。
    • 新規口座開設の審査
    • 暗号資産の出庫処理
    • 現物取引の買い注文を停止(売却のみ受け付け)
    • レバレッジ取引の新規建玉注文を停止(決済注文のみ受け付け)
不正流出による影響長期化、同業へ移管後廃業予定
  • DMM BitcoinはSBIグループで暗号資産交換業者のSBI VCトレードへ20254年3月8日に、同社の顧客口座及び預かり資産(日本円、現物暗号資産)の移管する基本合意(その後12月25日に本契約締結)について公表した。移管理由は長期にわたって暗号資産の出庫処理、現物暗号資産の買い注文受付などサービス利用に制限が生じているためで、同社は顧客の利便性を大きく損なうと判断したと説明した。
  • 合意した両社の顧客口座数は、DMM Bitcoinが約45万口座(2024年3月期事業報告)、SBI VCトレードは同グループのビットポイントジャパンと合算して約90万口座。*1 SBI VCトレードからDMM Bitcoinへの譲渡額は公表されていないが、30~50億円程度と報じられている。*2
  • 移管完了後は、DMM Bitcoinは事業廃業する予定であることを合わせて公表している。またSBI VCトレードは移管対象は顧客口座・預かり資産および関連する権利に伴うもので、システムと組織人員などは含まれていないとしている。
  • 同社顧客でレバレッジ取引における未決済ポジションはSBI VCトレードへの移管対象外となることから、移管日前の一定期日までに全て決済予定であると案内が行われた。また両社のサービスで生じる差異について現物取引はSBI VCトレードで取り扱いのないDMM Bitcoinの14銘柄を移管日までに取り扱い開始するなど対応について案内を行っている。

2.金融庁が業務改善命令を発出

  • 関東財務局は資金決済に関する法律第63条の16の規定に基づく行政処分として、DMM Bitcoinに対して業務改善命令を発出した。改善命令は6点からなり、原因究明と顧客への適切な対応、そして行政処分で指摘する問題に対する改善状況の報告である。
  • 関東財務局は命令を発出した理由として、同社のシステムリスク管理体制等及び暗号資産流出リスクへの対応に重大な問題が見られたことを挙げている。不正流出が起きた際、DMM Bitcoinでは原因分析のための証拠保全が適切に行われていなかったことも明らかにされた。
システムリスク管理態勢等の整備における問題 ・暗号資産交換業におけるシステムリスク検討せず
・システム統括管理担当の役員配置せず
・システムリスク管理体制の牽制不全(リスク、開発運用、情報セキュリティ管理一部集中)
・システム監査スキル保有人材が不在
・内部監査の独立性保たず(被監査部署自身での監査実施)
・外部ウォレット導入における暗号資産流出リスク検討せず
・外部ウォレットセキュリティ管理状況評価の妥当性確認せず
・外部ウォレット問題発生時の対応方法理解なし
・これらに加え後述の暗号資産流出リスクへの対応不備
暗号資産流出リスクへの対応における問題 事務ガイドライン第三分冊に反していることを認識しながらの秘密鍵の取り扱い(署名作業の単独実施、秘密鍵の一括管理等)
・流出等のリスク分散の必要性を認識しながらも対応検討せず(複数ウォレットの配置等)
・暗号資産流出時の証拠保全にかかるログ保存期間等検討せず
業務改善命令概要
① 事実関係の調査・根本原因分析 2024年5月31日、同年7月2日付の報告徴求命令を受け提出された報告は具体的な事実関係が明らかにされていないため、根本原因を含めた分析と究明をすること。
② 顧客対応 被害発生した顧客保護を引き続き徹底、顧客への十分な説明、開示、苦情への適切な対応をすること。
③ 適正かつ確実な業務運営確保 暗号資産交換業の適正かつ確実な遂行のため以下業務運営に必要な措置を講じること。

(1) システムリスク管理態勢の強化
不適切なシステムリスク管理態勢が常態化しているなどの根本的な原因を分析・評価の上、十分な改善が可能となるようシステムリスク管理態勢を見直し、強化すること。

(2) 暗号資産の流出リスクへの対応が適切に行われるための態勢の整備
暗号資産の移転等に係る流出リスクの低減に関して、実効性のある低減措置を講じることを含め、流出リスクへの対応が適切に行われるための態勢を構築すること。

(3) 経営責任の明確化及び経営管理態勢等の強化
今回の事案に至った経営責任の明確化を図ること。また、代表取締役及び取締役は、暗号資産交換業の業務運営に対応したリスク等を議論し、その対応を着実に実施すること。さらに、取締役会の機能強化を図り、法令等遵守や適正かつ確実な業務運営を行うために必要な実効性のある経営管理態勢、内部管理態勢及び内部監査態勢を構築すること。
④ 停止中サービスの再開条件 再開に際し②および③に基づく対応実施、①の原因究明を踏まえた態勢整備の上実効性を確保すること。
⑤ 命令に対する報告 ①~④(③および④は業務改善計画)について、2024年10月28日までに報告すること。
⑥ 進捗の報告 ③および④に関する業務改善計画の実施完了までの間は1か月ごとに進捗と実施状況を翌月10日までに報告すること。(初回報告基準日2024年11月末日)
他暗号資産交換業者に対して自主点検を要請
  • DMM Bitcoinの不正流出をうけ、金融庁は日本暗号資産取引業協会を通じて暗号資産交換業者に対し注意喚起とともに自主点検の要請を行っている。
  • 点検は、同社で確認された問題(経営陣の認識・関与、暗号資産の管理体制)が同様に起きていないかを確認するもの。特にコールドウォレット管理と不正行為の原因究明についても検証要とした。
コールドウォレット管理 ①外部から遮断された環境で秘密鍵を管理するだけでなく、複数の担当者の適切な関与により牽制機能が実効的に発揮される手順とするなど、流出リスクを最小化すべく入出庫のオペレーションの手続きを社内規則等に定めるとともに、当該社内規則等に従って着実にオペレーションを遂行しているか。
②短期間で出庫する可能性のあるものと長期間保管するものを異なるコールドウォレットで管理することや、コールドウォレットからの出庫先をホワイトリスト化すること等のリスク低減に向けた措置の是非に関する検討を行っているか。
③外部ウォレットを利用することに伴う暗号資産の流出リスクの分析・特定、及び特定されたリスクへの対応、外部ウォレットに問題が発生した場合の対応方法の理解を適切に行っているか。
不正行為の原因究明 ①取引ログ等の保存状況が検証のために適切かつ十分なものとなっているか。
②速やかに検証を行うことが可能となっているか。

3.不正流出に北朝鮮背景の攻撃グループ関与と公表

  • DMM Bitcoinから被害相談を受け捜査を進めていた警視庁、警察庁関東管区警察局サイバー特別捜査部は捜査状況を公表し流出に北朝鮮のサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」が関わっていたことを明らかにした。*3日本政府がパブリックアトリビューションを行うのは8例目、北朝鮮関連では3例目となる。今回の公表は連携して捜査を行っていたFBIと共同で行われている。
    piyolog.hatenadiary.jp
  • TraderTraitorは北朝鮮の朝鮮人民軍偵察総局との関連が指摘されているグループ。Lazarus Groupの下部組織の一部とされ、遅くとも2022年4月頃より活動が確認されるもこれまで日本国内での被害事例は確認されていなかった。*4 同アクターは別呼称であるJade Sleet、UNC4899、Slow Piscesとしても追跡が行われている。
  • TraderTraitorは、標的とする企業の複数の従業員に対して行われる標的型ソーシャルエンジニアリングの手口が活動の特徴とされる。今回同アクターの関与が特定されたのは、標的企業への接触に使用されたSNSアカウントやマルウエア感染後に接続していたサーバーが北朝鮮管理の疑いがあったほか、不正流出したビットコインの一部はTraderTraitorが管理する口座に送金が行われていたため。さらに米国政府機関と情報共有が行われ特定に至ったと報じられている。*5
  • 今回の不正流出はGincoの侵害から始まっていた。GincoはDMM Bitcoinの暗号資産の出入金を委託されていた管理会社で業務用暗号資産ウォレット業務用暗号資産モニタリングサービスなど暗号資産交換所向けのサービス提供を行っている。被害にあったGincoの従業員は同社のウォレット管理システムのアクセス権限を保有。インド人の技術者でテレワークで作業に当たっていた。*6
  • DMM Bitcoinは警察庁等の公表後、Gincoに対して暗号資産が盗まれた具体的な手口や被害防止ができなかった原因について説明を求めているとした。
不正流出までの流れ
  • 警察庁等の発表や報道からTraderTraitorが行ったとされる不正流出までの手口は次の通り。
  1. TraderTraitorが実在する企業のリクルーターと称してGinco従業員にLinkedIn上で接触。従業員に対し「あなたの技術に感銘を受けた、プログラミングを学びたい」などとメッセージを送信した。*7
  2. 接触成功後、TraderTraitorは採用前試験を装ったメッセージのやり取りをGincoの従業員と行った。その中で「私たちのプログラムに改善点があるかチェックして欲しい」としてGithub上のPythonスクリプトにアクセスするURLを送信した。*8
  3. Ginco従業員はPythonスクリプトを自分自身のGithubページにコピー。当該スクリプトは悪性のコードが含まれており、その後同従業員の環境が侵害された。
  4. TraderTraitorはGincoの暗号化されていない通信システムに接続をするため、侵害した従業員からsession cookieを盗み出しシステムのアクセスに成功した。
  5. 不正アクセスしたGincoのシステムを介してDMM Bitcoin従業員の正規取引のリクエスト(取引金額、送金先)を改ざんした。*9
  6. 改ざんされたリクエストを通じてビットコインがTraderTraitorの口座などに不正流出した。
不正流出の流れ概要
今回の不正流出を受けた対処例・緩和策等
  • 警察庁などは今回確認された状況から、TraderTraitorの手口やそれに対する推奨される対処例、緩和策、感染可能性時の対応について取り上げている。
システム管理者向け対処例・緩和策 ・通信先ドメイン登録日を確認(数日~数週間前など比較的新しくないか)
・多要素認証の導入
・業務付与期間限定の必要最小限のアクセス範囲と権限付与(終了後は速やかに縮小・削除)
・事前申請または通常の業務時間帯・曜日ではない期間のアクセスに関する認証ログ、アクセスログの監視(例:時差の大きい地域に居住する従業員が、通常は日本時間の夜や早朝にアクセスしているにもかかわらず、ある時期から日本時間の日中もアクセスしている等。)
・EDR や PC 内のログと矛盾有無の監視(例:PC が電源 OFF している期間にアクセスしていないか。)
・居住地以外の地域や VPN サービスからとみられるアクセスに関する認証ログ、アクセスログの有無確認
・貸与PC 以外からとみられるアクセスに関する認証ログ、アクセスログの有無確認(例:UserAgent が通常と異なる。)
・退職従業員アカウントの対処(認証試行時に備えた速やかな検知・対処を準備)
・従業員理解・協力を得て、ダミーの認証情報を Web ブラウザに記憶
・PCのログ保存期間、マルウェア感染後のログ消去リスクを考慮した集中的保存・検索の仕組みを構築
従業員向け対処例・緩和策 ・事前許可の場合を除き、私用 PC で機微な業務用システムにアクセスしない。
・SNSで連絡を受けた場合、ビデオ通話を要求する。(複数回拒否する場合は不審と判断する。)
・アプローチ元のプロフィールや、SNS でのやりとりについて、スクリーンショットを保存する。
・ソースコードの確認や実行を急がせる兆候があれば、不審性を考慮する。
・内容を確認せずにコードを実行せず、コードエディタで開いて、折り返し表示にする。
・コードを実行する際は、業務用 PC を使用しない、または仮想マシンを使用する。
PCでマルウェア感染可能性がある場合の推奨対応 ・原則電源を切らない。
・インターネット、業務用ネットワークから速やかに隔離する。
・可及的速やかに適切な保全措置を講じる。その際、メモリダンプを含む揮発性情報の収集を優先的に行う。
暗号資産交換業者の反応
  • 警察庁の公表を受けるなどして、複数の暗号資産交換業者が自社の状況について説明を行った。
暗号資産交換業者 自社の状況(Gincoの利用有無など)
BitFlyer Gincoのサービスは利用していない。ウォレットは外部ベンダーを利用せず自社開発。
bitbank Gincoのサービスは利用していない。
ビットポイントジャパン 内部管理体制、取引状況の精査よりセキュリティ体制に問題なし。顧客資産の適切な保全を確認。
SBI VCトレード Gincoを利用しているが運用・管理は自社で行っている。またGincoの利用は一部機能に限定。ウォレット保管の資産もごく僅か。
Coin Estate Gincoのサービスは利用していない。
Zaif 顧客資産の一部をGincoのサービスで管理。事案発生後に資金管理体制の再点検を継続的・複数回実施。顧客資産の安全な保管を確認。
LINE BITMAX Gincoのサービスは利用していない。
CoinTrade Gincoのサービスは利用していない。

関連タイムライン

日時 出来事
2024年3月下旬 TraderTraitorがGincoの従業員にLinkedInで接触を開始。その後Ginco従業員の端末が侵害。
2024年5月中旬 TraderTraitorがGincoの暗号化されていない通信システムへのアクセスに成功。
2024年5月下旬 TraderTraitorがDMM Bitcoin従業員の正規取引の金額や送金先を改ざんした疑い。
2024年5月31日 DMM Bitcoinからビットコインの不正流出が発生。同社は一部サービスの提供を制限、不正流出について公表。金融庁が同社に対して報告徴求命令を発出。
2024年6月5日 DMM Bitcoinがグループ各社から増資を受けるなどして不正流出したビットコインの全額保証を行うと発表。
2024年6月14日 DMM Bitcoinが流出相当分のビットコインの調達を完了したと発表。
2024年7月2日 金融庁がDMM Bitcoinに対して報告徴求命令を発出。
2024年9月26日 金融庁がDMM Bitcoinに対して業務改善命令。
同日 金融庁が日本暗号資産取引業協会に対して注意喚起と自主点検を要請。
2024年11月29日 DMM BitcoinがSBI VCトレードと預かり資産等の移管について基本合意。
2024年12月2日 DMM BitcoinがSBI VCトレードに資産を移管し、完了後に事業廃止をすると発表。
2024年12月24日 警察庁などがDMM Bitcoinの不正流出を北朝鮮関与のグループが行っていたと公表。
同日 金融庁が日本暗号資産取引業協会を通じて、暗号資産交換業者へ注意喚起と自主点検を要請。
2024年12月25日 DMM BitcoinとSBI VCトレードが移管の本契約を締結したと発表。
2024年12月26日 DMM BitcoinがGincoに対して原因説明を要求していると公表。
2025年3月8日 SBI VCトレードへ移管完了予定。(移管完了確認後にDMM Bitcoinは事業廃業)

関連公表

更新履歴

  • 2024年12月25日 PM 新規作成
  • 2024年12月25日 PM 移管本契約に伴う追記