金融庁 「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」に伴う「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」

こんにちは、丸山満彦です。

金融庁が、「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」を日本暗号資産等取引業協会の会長宛に出していますね...

これは、警察庁、NISC、金融庁が合同で発表した、「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」に伴うものですね...

 

● 金融庁

・2024.12.24 暗号資産の流出リスクへの対応等に関する再度の自主点検要請について

・[PDF]  暗号資産の流出リスクへの対応等に関する再度の自主点検要請について

---

令和６年12月24日

一般社団法人 日本暗号資産等取引業協会 会長 殿

金融庁総合政策局長
屋敷 利紀

暗号資産の流出リスクへの対応等に関する再度の自主点検要請について本日、警察庁・内閣サイバーセキュリティセンター・金融庁の連名で、「北朝鮮を背景とするサイバー攻撃グループ TraderTratior によるサイバー攻撃について（注意喚起）」が出されたところですが、当該注意喚起は、本年５月に発生した暗号資産交換業者における暗号資産の不正流出事案に関する具体的なソーシャルエンジニアリングの手法が判明したことを踏まえ、参考となる手口例や緩和策を示しつつ、事業者に適切なセキュリティ対策を講じることを要請する内容となっています。

先般（9 月 26 日）、当庁から、貴協会を通じ、貴協会会員に対して、暗号資産の流出リスクへの対応及びシステムリスク管理態勢に関し、事務ガイドライン第三分冊（金融会社関係16．暗号資産交換業者関係）等に記載している内容が適切に実施されているかに関して自主点検を行うことを要請したところですが、今回の注意喚起の内容を踏まえ、ウォレットに関する管理態勢を含めて、改めて速やかに自主点検を行うことを貴協会会員に対して求めるとともに、その結果を取りまとめてご連絡いただくようにお願いします。

（参考添付）「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について（注意喚起）」

以上

---

 

 

命令ではなく、要請です...(^^)

 

---

で肝心の日米の協力によるアトリビューション...

まずは、日本側（警察庁、金融庁、NISC）の発表

● 警察庁

・2024.12.24 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について

---

　警察庁は、関東管区警察局サイバー特別捜査部及び警視庁による捜査・分析の結果を総合的に評価し、米国連邦捜査局（FBI）及び米国国防省サイバー犯罪センター（DC3）とともに、令和６年５月に北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」（トレイダートレイター）が、我が国の暗号資産関連事業者「株式会社DMM Bitcoin」から約482億円相当の暗号資産を窃取したことを特定し、合同で文書を公表しました。

　また、今回の公表を受け、NISC及び金融庁と連名で、同グループの手口例及び緩和策に関する文書を公表しました。

---

 

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について

---

（前略）

TraderTraitor は、北朝鮮当局の下部組織とされる「Lazarus Group」（ラザルスグループ）の一部とされており、手法の特徴として、同時に同じ会社の複数の従業員に対して実施される、標的型ソーシャルエンジニアリングが挙げられます。

⚫ 令和６年３月下旬、TraderTraitor は、LinkedIn 上で、リクルーターになりすまし、日本に所在する企業向け暗号資産ウォレットソフトウェア会社「株式会社 Ginco」（以下「Ginco」という。）の従業員に接触しました。同サイバー攻撃グループは、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付しました。被害者は、この Python コードを自身の GitHub ページにコピーし、その後、侵害されました。

⚫ 令和６年５月中旬以降、TraderTraitor は、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムへのアクセスに成功しました。同月下旬、同サイバー攻撃グループは、同アクセスを利用して、DMM 従業員による正規取引のリクエストを改ざんしたものと認められます。その結果、4,502.9BTC（攻撃当時約 482億円相当）が喪失しました。最終的に、窃取された資産は TraderTraitor が管理するウォレットに移動されました。

（後略）

---

 

・ FBI,DC3 and NPA Identification of North Korean Cyber Actors, tracked as TraderTraitor, Responsible for Theft of $308 Million from Bitocoin.DMM.COM

・[PDF] （仮訳）FBI、DC3 及び警察庁は、Bitcoin.DMM.Comから3億800万ドルを窃取したとして、北朝鮮のサイバーアクターTraderTraitorを特定

 

 

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について

 

金融庁...

・2024.12.24 「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」の公表について

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）

 

内閣官房(NISC) ...

・2024.12.24 [PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitor によるサイバー攻撃について

---

 

米国側...　

・2024.12.24 FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com