GincoがDMMビットコイン不正流出事件について情報開示

国内暗号資産（仮想通貨）取引所DMMビットコイン（DMM Bitcoin）で昨年5月に発生したビットコイン（BTC）不正流出事件にあたり、同取引所が資産管理にあたり利用していたソフトウェア開発元のGinco（ギンコ）が、同事件に関する情報開示を1月28日に行った。

その情報によると「①同ソフトウェアは、暗号資産や秘密鍵の保管・管理はユーザーが自身で行うものでGincoは操作できないこと」、「②同ソフトウェアは、DMMビットコインのシステム開発・運用を担う企業が契約し、同企業が同取引所へ使用許諾を出し、同取引所が利用していた」、「③攻撃者は同取引所によるトランザクション指図に不正データを追加した」、「④不正送金のトランザクションが同ソフトウェアから送信された事実はないこと」が報告されている。

同事件は、北朝鮮当局の下部組織とされる「Lazarus Group（ラザルスグループ）」の一部とされているサイバー攻撃グループ「TraderTraitor（トレイダートレイター）」による標的型ソーシャルエンジニアリングを含む大規模なサイバー攻撃により発生したものであると、警察庁および米国連邦捜査局（FBI）が昨年12月24日に公表していた。そして同攻撃は、Ginco提供の暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet」を構成するインフラストラクチャの特定部への不正アクセスが確認されたと報告されていた。

同件について今回Gincoは、「現在までに判明した事実関係に基づき、同社から開示できる情報」として、以下の報告を行った。

Gincoからの開示情報：「Ginco Enterprise Wallet」について

ここでは上記「①同ソフトウェアは、暗号資産や秘密鍵の保管・管理はユーザーが自身で行うものでGincoは操作できないこと」についてまとめる。

開示情報ではGincoはまず、「Ginco Enterprise Wallet」が、ユーザーの暗号資産および秘密鍵を「ユーザー自身の管理下」で安全に取り扱うことを支援するソフトウェアだと説明。

そして同ソフトウェアにおいてトランザクションの指図や履歴の管理を行うサーバおよびユーザーの操作画面は、Gincoが契約するクラウド環境より提供しているとした。

また一方で、暗号資産および秘密鍵の管理については、専用のコールドウォレットソフトウェアをユーザーへ納品することでユーザーに保管・管理および使用してもらうというシステム構成であるという。

そのためGincoは暗号資産や秘密鍵を保管・管理しておらず、ユーザーのもとでオフライン環境下で保管される当該コールドウォレットソフトウェアをGincoが操作することは出来ないとした。またGincoは金融庁の登録を受けた暗号資産交換業者ではなく、そのためユーザー様から暗号資産および秘密鍵の管理ならびに送金に係る業務を受託する立場ではないと前置きした。

Gincoからの開示情報：「Gincoへの攻撃の詳細」

報告によると本件において攻撃者は、LinkedIn上でリクルーターになりすましたうえで、2024年3月下旬にGinco従業員に接触し、GitHub上に保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付したという。

攻撃者は、当該従業員が、このPythonスクリプトを実行するように誘導し、その結果、Ginco従業員の業務用端末が侵害され、攻撃者は「Ginco Enterprise Wallet」のインフラストラクチャとして契約されているクラウドサービス上の「Kubernetes」の本番環境へアクセス可能な認証情報（Credential）を不正に取得したことが認められたとのこと。

そして、2024年5月24日から31日の間において、攻撃者が当該従業員の認証情報を用いて、「Kubernetes」の本番環境へ不正アクセスを行った形跡が確認されているという。

なお「Ginco Enterprise Wallet」のアプリケーション、ソースコード、Gincoが管理する顧客関連情報が保存されているデータベース等、その他のGincoの業務ツールや仕様書等への不正アクセスは確認されていないとのこと。

ちなみにこの攻撃に利用されたPythonスクリプトは、Pythonの仕様を利用した高度な手法によって攻撃を行う類のものであったことが捜査当局により確認されているとのことだ。

Gincoからの開示情報：「Gincoへの攻撃と不正送金の関係」

Gincoは、「Ginco Enterprise Wallet」をDMMビットコインのシステム開発・運用を担う企業へ提供しているとのこと。そして、「Ginco Enterprise Wallet」の契約者である同企業が、同ソフトウェア利用者であるDMMビットコインへ同ソフトウェア使用を許諾しているという。

そして本件で攻撃者は、不正アクセスを行った際に、低レイヤーの通信処理に干渉する手法にて、当該利用者であるDMMビットコインによる正規のトランザクション指図に対して、不正データを追加したことが判明したとのことだ。

なお不正送金のトランザクションが、「Ginco Enterprise Wallet」から送信された事実はないとGincoは伝えている。

DMMビットコイン不正流出事件について

DMMビットコインでは昨年5月31日、482億円相当となる4,502.9BTCが同社のウォレットから不正流出した。同社は、DMMグループ内から合計550億円の資金調達を実施し、顧客より預かっているビットコインを全量保証したものの、関東財務局より同社の「システムリスク管理態勢等」及び「暗号資産の流出リスクへの対応」について、重大な問題が認められたとして行政処分を受けていた。

その後昨年12月2日には、DMMビットコインの暗号資産取引サービスの全ての口座及び預かり資産を、同じく国内暗号資産取引所SBI VCトレードへ来春に移管することが発表されている。これによりDMM Bitcoinは暗号資産交換業を廃業することになった。

参考：Ginco
画像：iStocks/berya113

関連ニュース

• DMM Bitcoin不正流出の手口明らかに、北朝鮮ハッカーがGinco社員に接触＝警察庁
• DMMビットコイン、不正流出に関する今後の対応発表、警察庁の公表受け
• SBI VCトレード、DMM Bitcoinからの口座・預かり資産移管の本契約締結
• DMM Bitcoinが廃業へ、来春SBI VCトレードに資産移管へ
• 今年のWeb3どうなる？ 暗号資産/ブロックチェーン業界を牽引する88人が語る「2025年の展望」

参照元：ニュース – あたらしい経済