今回、発生したDMM Bitcoinの暗号資産不正流出において、
Gftd Japan株式会社からChainalysis Reactor及びダークウェブ分析を利用して、
CISC ( Chainalysis Investigation Specialist Certification )資格保有者及びサイバーキュリティ経営コンサルタントが速報レポートを順次、公開していく。
[本レポートの調査は6月6日までの情報に基づいて実施されています]
Artem Ponomarov, 河崎純真
攻撃の内側
2024年5月、日本の集中型暗号通貨取引所であるDMM Bitcoinが高度なハッキングの標的になった。この事件は、史上8番目の規模であり、2022年12月以降で最も重要な暗号資産盗難事件となった。
最初の検知
ハッキングが最初に確認されたのは、480億円以上以上に相当する4,502.9BTCの大規模な送金が、ある未知のビットコイン・ウォレットから別のウォレットへ移動しているのが検出された時だった。当初、この送金の性質は不明だった(クジラが資産を移動させたのか、セキュリティ侵害なのか) しかし、送金されたビットコインが複数のアドレスに分散され、資金を追跡し回収する努力を複雑にしていることから、状況はより問題となった。
ハッキングの規模
今回のハッキングは、日本の暗号史の中で特に注目に値する。5億3000万ドル相当のXEMが盗まれた2018年のCoincheckのハッキングや、複数のハッキングで80万9000BTC以上が盗まれた2014年の悪名高いMt.Goxに相当する
DMM Bitcoinの対応
DMM Bitcoinはすぐに侵害を認め、取引所がハッキングされたことを確認した。同社は、インシデントを調査し、さらなる不正アクセスを防止し、顧客の預金が安全であることを安心させるために、直ちに措置を講じた。予防措置として、被害を食い止め調査を促進するため、出金や新規口座開設を含む一部のサービスを一時的に凍結した。
ハッキングを受け、DMM Bitcoinは親会社であるDMMグループからの資金援助により、盗まれたビットコインを調達するための資金を確保する計画を発表した。6月3日までに50億円(3,200万ドル)を借り入れ、6月7日までに480億円(3億760万ドル)、6月10日に20億円(1,280万ドル)、合計3億5,240万ドルの追加資金を予定している。DMM Bitcoinは、市場に影響を与えることなく盗まれたビットコインを交換することを目指しており、顧客に対しての謝罪し、事件の調査を続けている。
ハッキングの理由
現時点においてDMM Bitcoinはハッキングの根本原因に関する詳細な情報を提供していない。攻撃者によって悪用された可能性のある脆弱性には、以下のようなものがある:
-
秘密鍵の取得による操作: 秘密鍵はブロックチェーンのアカウントを保護するために極めて重要である。ホットウォレットの鍵が、内部からの脅威や外部からの侵害によって漏洩した場合、攻撃者は簡単に資金をウォレットに送金することができる。
しかしながら、攻撃トランザクションからわかるように、DMM BitcoinではMultisig 2/3 が使用されているため、ハッカーは 2 つの秘密鍵を侵害する必要があった。こういったマルチシグの署名サービスがハッキングされることは非常にまれである。
攻撃トランザクション:https://mempool.space/tx/975ec405ac9dc9fa5ab8009d94d6a1fe31dff8a8127ea90d023104e52754e4d7
とにかく、攻撃トランザクションの後、そのDMMアドレスに他の資金があり、それらはハッカーのウォレットに移動されなかった。同時に、Chainalysis Reactorで見ることができるように、それらは後にDMM Bitcoinに属するアドレスに転送された。 -
アドレス・ポイズニング: ユーザーの取引履歴にそっくりなアドレスを紛れ込ませることで、攻撃者はユーザーを騙して間違ったアドレスに送金させることができる。この場合、ユーザーは取引履歴から最新のアドレスに送金する。
しかし、ハッカーのアドレスは新しく、攻撃トランザクションの前にトランザクションを送信していないため、この方法は可能性が低い。 - アドレスの詐称: 攻撃者は、ソーシャル・エンジニアリングやマルウェアによってユーザーを騙し、秘密鍵への直接アクセスの必要性を回避して悪意のあるトランザクションを送信した可能性がある。
実際、ハッカーのアドレスはDMMのアドレスの1つと似ている:
1B6rJ6ZKfZmkqMyBGe5KR27oWkEbQdNM7P - DMM ビットコインホットウォレットのアドレス(Chainalysis Reactor で確認できる)。
1B6rJRfjTXwEy36SCs5zofGMmdv2kdZw7P - ハッカーのアドレス
暗号トランザクションにおけるアドレス・スプーフィングとは、攻撃者がユーザーを騙して、意図した受取人のアドレスではなく、攻撃者のアドレスに送金させる詐欺です。これは、暗号通貨アドレスのクリップボードを監視し、コピーされたアドレスを攻撃者のアドレスに置き換えるマルウェアによって発生します。あるいは、ハッカーが内部システムにアクセスし、対応する文書やデータベースのアドレスを置き換えることもできる。この詐欺は、ユーザーがアドレスの最初と最後の数文字しかチェックしない部分的なアドレス検証を悪用し、攻撃者はそれを照合して自分のアドレスを正当なものに見せかける。その結果、ユーザーは正しく認証されたと思い込んで、攻撃者のアドレスに誤って送金してしまいます。 - インサイダー攻撃: システムへの正当なアクセス権を持つ人物が送金を容易にする、インサイダー関与の可能性もある。その場合、攻撃者はDMM Bitcoinのホットウォレットに似たアドレスを使って資金を受け取り、検知と警告を回避する。
進行中の調査と懸賞金プログラム
Arkham Intelは、犯人を特定するための懸賞金プログラムを開始しました。懸賞金のガイドラインには、KYC(Know Your Customer)集中型取引所預金を特定すること、悪用者の身元を明らかにすること、資金の回収に成功することなどが含まれています。
盗まれたビットコインの取引が厳重に監視される中、ブロックチェーン・フォレンジックと懸賞金プログラムは、ハッカーの正体を暴き、3億400万ドルを回収する可能性につながるかもしれない。しかし、このような多額の資金を洗浄するために通常採用される洗練された手段を考えると、その作業は困難である。
推奨されるセキュリティ対策
DMM Bitcoinのハッキングは、高価値の暗号通貨口座を保護するための強固なセキュリティ慣行の重要な必要性を強調している。同様のインシデントの防止に役立つ主なセキュリティ対策は以下の通りである:
-
従業員トレーニング: 全従業員が最新のサイバーセキュリティのトレーニングを受けることで、内部脅威やソーシャル・エンジニアリング攻撃のリスクを軽減することができる。
- セキュリティ監査の実施: 頻繁かつ徹底的なセキュリティ監査を実施することで、脆弱性が悪用される前に特定し、対処することができる。
- サイバーセキュリティと暗号通貨のセキュリティ基準の採用: NIST CSF 2.0やSP 800-161のようなグローバルな情報セキュリティフレームワークに従うことは、DMM Bitcoinの署名サービスのようなサプライチェーンを含むさまざまなセキュリティリスクを管理し、全体的なセキュリティ態勢を改善するのに役立ちます。続きを読む
さらに、暗号通貨セキュリティ基準(CCSS)を実装することで、暗号通貨システムや取引所のセキュリティ確保に特化したフレームワークが提供され、暗号通貨運用のセキュリティが大幅に強化されます。 - インシデント対応計画策定:インシデント対応計画を策定し、定期的に更新することにより、組織がセキュリティ侵害に迅速かつ効果的に対応できるようにする。
- 暗号通貨の追跡と調査: 暗号通貨の追跡と調査をインシデント対応計画に加えることで、盗まれた資産や不正活動に関連するアドレスを追跡することができる。例えば、Chainalysis Reactorのようなツールは、盗まれた資金を特定して回収するためのブロックチェーン・トランザクションの追跡と分析に役立ちます。 Read more.
CISOからのメモ
1に報告、2が報告、3, 4がなくて5に報告
DMM Bitcoinのハッキングの根本的な原因は不明のままであるが、盗まれた資金の現在の状況は貴重な洞察を与えてくれる。ハッキングの直後、多くの暗号調査会社は、盗まれたBTCが10個の新しい暗号ウォレットに分割され、その後もそのままになっていることを指摘した。この透明性はブロックチェーン技術の特徴であり、誰でもこれらのアドレスを閲覧し、資金の今後の動きを監視することができる。
グローバル・コミュニティは今、ハッカーが盗んだビットコインをどのように洗浄しようとするかに注目している。通常、犯罪者はミキサーなどの様々なサービスを利用して資金の出所を難読化する。しかし、今日の高度な暗号通貨調査ツールや技術では、これらの資金がミキシングサービスを通過した後でも追跡できることが多い。
興味深いことに、ハッカーは盗まれたBTCを洗浄するためにまだ移動を開始していない。暗号犯罪の迅速な報告は、捜査を加速させ、盗まれた資産を回収する可能性を高めます。Gftd Japan株式会社では、暗号犯罪捜査の成功率を大幅に向上させるため、お客様に迅速な報告の重要性を強調しています。
ブロックチェーンの調査は、盗まれた資金を回収し、将来のハッキングを防止するための強力なツールである。自分たちの行動を追跡できることを知れば、潜在的なハッカーがそのような犯罪を試みることを抑止できるかもしれません。Gftd Japan株式会社は、ハッキングや詐欺の被害者のために包括的な暗号調査サービスを提供しています。私たちのサポートが必要な場合は、お問い合わせください。
結論
DMM Bitcoinのハッキングは、暗号通貨取引所が直面する継続的なリスクと、強固なセキュリティ対策の重大な必要性を痛感させるものであった。高度なセキュリティ対策を実施し、システムを継続的に監視・改善することで、取引所は暗号通貨をより強固に保護し、ユーザーの信頼を維持することができる。サイバーセキュリティ対策を強化しようとする組織にとって、Gftd Japan株式会社のようなサイバーセキュリティ経営の専門家に相談することで、法人のデジタル資産を効果的に保護するために必要なツールと戦略を提供することができます。サイバーセキュリティの枠組みを強化するためのサポートが必要な場合は、Gftd Japan株式会社にご相談ください。