概要
北朝鮮に関連するハッカーグループは、ビビット(Bybit)攻撃から一年が経過してもなお、暗号資産セクターに対する攻撃を強化し続けています。このグループは、社会工学的手法と高度な技術的な手法を組み合わせて、大規模な窃盗や洗浄作業を行っています。
ビビット攻撃の詳細
2025年2月21日、北朝鮮に関連する脅威アクターがデュバイを拠点とする取引所ビビットから約14億6千万ドル相当の暗号資産を盗みました。これは現在まで最大の確認された暗号窃盗事件です。
その後の動向
この攻撃後、北朝鮮関連のハッカーは、2025年中にさらに20億ドル相当の暗号資産を奪い、累積的な暗号窃盗額が60億ドルを超えるまでになりました。これらの資金は、北朝鮮の核兵器やミサイルプログラムへの資金供給に使用されていると広く信じられています。
社会工学的手法の進化
ビビット攻撃を含む最近の事件では、社会工学的手法が主な侵入ベクトルとなっています。北朝鮮関連のハッカーは、AIツールを使用して言語を磨き、ローカライズされた痕跡を取り除くことで、より信頼性のある人物像を作り出しています。
具体的な攻撃事例
- DangerousPassword: コンピューターのオーディオエラーを装って、ターゲットにコマンドラインコードを実行させ、マルウェアをインストールします。
- Contagious Interview: 偽の求人や「技術テスト」を通じて、被害者がダウンロードしたリポジトリから悪意のあるソフトウェアがインストールされ、資格情報が盗まれます。
長期的な脅威モデル
北朝鮮のハッカーはまた、長期的なITワーカーの浸透モデルを採用しています。彼らはフリーランスやリモート開発者として合法的な暗号プロジェクトに参加し、徐々に同事業体のシステムへのアクセス権を得ていきます。
新たな脅威
最近では、北朝鮮関連のハッカーが自らの暗号プロジェクトを構築し始めている可能性があります。例えば、Bittensorに関連するプロジェクトTenexiumから約250万ドル相当の資金が流出しました。
防御策
北朝鮮の脅威は、単なる大規模な窃盗ではなく、持続的なキャンペーンとして理解されるべきです。社会工学的手法と供給チェーンへの侵入を含む多面的な攻撃手法に対応するためには、組織は厳格な身元確認プロセスや堅牢な開発ワークフローの導入が必要となります。