セキュリティ調査機関「Ctrl-Alt-Intel」は2日、北朝鮮と関連するとみられるハッカー集団が、複数の仮想通貨関連企業を標的にしたサイバー攻撃を行っていたと報告した。
調査によると、攻撃者はまず仮想通貨の「ステーキング(預け入れ運用)」サービスを提供する企業のウェブサイトの脆弱性を突いて侵入。バックエンドのプログラムや、ウォレットの秘密鍵などの機密情報を盗み出した。
さらに別のルートでは、何らかの方法で入手したクラウドサービス(AWS)の認証情報を悪用。企業の内部システムに不正アクセスし、データベースの接続情報やAPIキーなど高価値な情報を次々と窃取した。攻撃者はクラウド上に保存された設定ファイルやインフラ管理ツールのデータも詳細に調査し、組織的かつ手際よく情報を収集していた。
最終的には、グローバルなブロックチェーン技術・デジタル資産企業「ChainUp(チェーンアップ)」が提供する取引所向けソフトウェアも盗み出された。同ソフトウェアにはデータベースへのアクセス情報がそのまま埋め込まれており、悪用されれば実際の資産窃取につながる恐れがある。今回の被害はChainUpの顧客にあたる取引所で発生したとみられている。
攻撃には韓国を拠点とするサーバーが使用されており、通信経路も韓国のVPNサービスを経由していた。これは追跡を困難にするための偽装工作とみられている。
同機関はこの攻撃について「北朝鮮関連の脅威グループとの関連を中程度の確信をもって評価する」としながらも、決定的な証拠はないと慎重な姿勢を示した。根拠として、2025年2月に発生した仮想通貨流出事件「Bybitハッキング」で確認された手口と酷似していることや、北朝鮮系ハッカー集団「TraderTraitor」が過去にJumpCloud(2023年)やBybit(2025年)など同様のサプライチェーン攻撃を繰り返してきた点を挙げている。
今回の攻撃では直接的な資産流出は確認されていないが、盗まれたソースコードや認証情報は将来的な大規模窃取への「事前準備」として使われる可能性があると同機関は警告している。
関連: 2025年の仮想通貨盗難被害額5300億円突破、北朝鮮関連グループの犯行目立つ=チェイナリシス
関連: アップビットの48億円ハッキング、当局が北朝鮮ラザルス集団の関与を本格調査
