警察庁、内閣サイバーセキュリティセンターおよび金融庁は12月24日、「(PDF) 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について」において、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」の活動に対し、注意を喚起した。

これは、警察庁、米国連邦調査局(FBI: Federal Bureau of Investigation)、米国国防総省サイバー犯罪センター(DC3: Department of Defense Cyber Crime Center)が同日、暗号資産関連事業者「DMM Bitcoin」の暗号資産(約482億円相当)を窃取した事案の特定および公表を受けて発表されたもの。

発表では、ソーシャルエンジニアリングの手法が判明したとして、TraderTraitorのサイバー攻撃に対抗するための緩和策を提示している。暗号資産取引に関わる個人・事業者に対し、緩和策を参考にして適切なセキュリティ対策を講じることを推奨している。

  • (PDF) 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について

    (PDF) 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について

TraderTraitorのサイバー攻撃手法

TraderTraitorのサイバー攻撃手法として、「ソーシャルエンジニアリングによる接近手口」、「マルウェアを感染させる手口」、「認証情報等の窃取~暗号資産窃取の手口」が示されている。

これらの概要は次のとおり。

  • 攻撃者は第三者の名前や顔写真を悪用し、企業幹部を装うなどしてソーシャルネットワーキングサービス(SNS: Social networking service)を介して標的にメッセージを送信する
  • 標的は暗号資産関連事業者の従業員および関連技術者で、国籍、所在地などは問わない
  • メッセージは「あなたからプログラミングを学びたい」、「私のプログラムの不具合を直してほしい」など、標的の経歴やスキルに合わせた問いかけから始まる
  • やりとりの途中でメッセージアプリの変更を希望することがある。これは「標的側の通信記録」を抹消できるアプリへ誘導するためとみられる
  • 攻撃者の中間目標は標的が所有するコンピュータにマルウェアを感染させること。GitHubを悪用するなど、さまざまな手法を駆使して標的環境にマルウェアを感染させようとする
  • マルウェアの感染に成功すると、認証情報、WebブラウザのセッションCookieなどを窃取する。攻撃者は窃取した情報を悪用し、個人または組織が所有する暗号資産を窃取する

緩和策

発表資料では、システム管理者と従業員に対し、複数の緩和策を提示している。システム管理者に対しては平時と異常時を比較する項目もあり、セキュリティ担当者は常日頃からシステム全体のログを把握しておく必要がある。

従業員向けではコードエディターの折り返し表示を求めているが、これは正常なコード、大量の空白、悪意のあるコードを1行に記述し、画面の外側に悪意のあるコードを隠蔽する手法への対処となる。

また、仮想環境(VMwareやVirtualBoxなど)の使用は、悪意のあるコードをサンドボックスに閉じ込めるための手法で、被害を回避できる可能性があるという。

暗号資産取引に関わる個人・事業者には緩和策すべてを確認し、必要に応じて実施することが推奨されている。もし、被害に遭遇した場合は、原因究明のため電源を入れたままネットワークを切断してメモリーダンプなどの保全処置を取り、所管省庁や警察などに情報提供することが望まれている。