TraderTraitor→DMM ｜ブログ(ほぼこもセキュリティニュース)｜(株)コンステラセキュリティジャパン

いろいろな国や地域、いろいろな組織を対象として、さまざまなサイバー脅威活動が起こってしまっています。
小規模な個人とみられるような脅威活動もあれば、組織的な活動とみられる大きな規模のものもあります。
2024年もいろいろな組織が標的となってしまいましたが、そのなかの一つを例として、今回いくつかの法執行機関が共同で声明を出しています。

共同声明を出した組織は、今回は、FBI、DC3、NPAの3組織でした。
それぞれ、連邦捜査局、国防総省サイバー犯罪センター、日本の警察庁、です。

2024年5月に暗号資産のDMMビットコインにおいて、482億円相当の仮想通貨が流出した事件がありました。
この脅威活動が、北朝鮮の対外工作機関傘下とされるハッカー集団「TraderTraitor（トレイダートレイター）」によるサイバー攻撃だと判明したという内容でした。

この脅威活動はどのような順で実施されたのでしょうか。

第1段階
2024年3月に脅威アクターは、DMMビットコインの仮想通貨の出入金を委託されていた管理会社「Ginco」（東京都）の社員に対し、ヘッドハンティングを装った人物が連絡を開始しました。
利用されたインフラはLinkedInでした。
偽のヘッドハンターは、「あなたの技術に感銘を受けた。プログラミングを学びたい」などとメッセージを送ったということです。
そして、開始されたやり取りの中で、この社員のパソコンにマルウェアを送り込みました。
第2段階
次に、脅威アクターはそのマルウェアの機能と活動を通じて、出入金管理に関する社員のアクセス権を入手しました。
第3段階
そしてさらに、偽の仮想通貨の取引を発注するプログラムも仕掛け、これとアクセス権を悪用し、仮想通貨の流出を実現しました。

この声明は、いわゆる「パブリック・アトリビューション」です。
パブリックアトリビューションとは、法執行機関や政府機関が特定のサイバー攻撃者の所属（国など）や攻撃手法を公的に言及することを指し、主には被害を抑止することなどを目的とした政治的取り組みです。

この事例での被害組織であるDMMビットコインは、2024年12月2日に経営再建を断念し廃業すると案内されました。
サイバー脅威は事業の継続性に直接的な打撃を与えてしまう可能性が懸念されます。
とりうる対策は検討していきたいところです。

FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com
https://www.fbi.gov/news/press-releases/fbi-dc3-and-npa-identification-of-north-korean-cyber-actors-tracked-as-tradertraitor-responsible-for-theft-of-308-million-from-bitcoindmmcom