日本とFBIはDMMからビットコインを盗んだ犯人として北朝鮮を名指し、これまでの北朝鮮の仮想通貨強盗の概要

警察庁やFBIなどは2024年12月24日、約48件の不正流出があったと断定したと発表した。

On December 24, 2024, the National Police Agency, the Tokyo Metropolitan Police Department, the FBI, and others announced that TraderTraitor, a division of the North Korean government-affiliated cyber attack group Lazarus Group, was involved in the recent Bitcoin leak. It all started in March 2024, when TraderTraitor impersonated a recruiter on LinkedIn and contacted an employee of Ginco, who had been entrusted with managing DMM Bitcoin wallets. TraderTraitor sent the employee a URL to a malicious Python script disguised as a recruitment test and had the employee copy the code onto his own GitHub page. Starting in May 2024, TraderTraitor misused session cookie information that controls access permissions, impersonating the relevant employees and illegally accessing Ginco's communications system. It then used this access to tamper with legitimate cryptocurrency transaction requests made by DMM Bitcoin employees and stole bitcoins. It then transferred the stolen bitcoins to a wallet managed by TraderTraitor.

2024年12月24日、警察庁、警視庁、FBIなどは、今回のビットコイン流出事件に北朝鮮政府系サイバー攻撃集団Lazarus Groupの一部門であるTraderTraitorが関与していたと発表した。すべては2024年3月に始まり、TraderTraitorがLinkedInの採用担当者になりすまして、DMM Bitcoinウォレットの管理を任されていたGincoの従業員に接触した。 TraderTraitor は、採用テストを装った悪意のある Python スクリプトへの URL を従業員に送信し、従業員にそのコードを自分の GitHub ページにコピーさせました。 TraderTraitorは2024年5月以降、アクセス許可を制御するセッションCookie情報を悪用し、該当する従業員になりすましてGincoの通信システムに不正アクセスした。その後、このアクセスを利用して、DMM Bitcoin 従業員による正規の暗号通貨トランザクション要求を改ざんし、ビットコインを盗み出しました。その後、盗んだビットコインをTraderTraitorが管理するウォレットに移送しました。

This incident began on May 31, 2024, when the unauthorized leakage of Bitcoin was detected from a DMM Bitcoin wallet. The total amount of Bitcoin confirmed to have been illegally leaked was 4,502.9 BTC (equivalent to approximately 48.2 billion yen), and on June 5, 2024, DMM revealed plans to raise approximately 55 billion yen to fully cover the amount of the illegally leaked Bitcoin. In August 2024, DMM Group Chairman Keiji Kameyama stated , 'We apologize for the great inconvenience caused to Bitcoin users,' and 'We will continue to disclose any information on the cause, etc. as soon as it becomes available.' 'DMM Bitcoin' announces that it will raise approximately 55 billion yen to guarantee the full amount of illegally leaked bitcoins - GIGAZINE

この事件は2024年5月31日にDMM Bitcoinウォレットからビットコインの不正流出が検知されたことに端を発した。不正流出が確認されたビットコインの総額は4,502.9BTC（約482億円相当）で、DMMは2024年6月5日、不正流出したビットコインの全額を賄うために約550億円を調達する計画を明らかにした。 2024年8月、DMMグループ会長の亀山敬二氏は「ビットコイン利用者の皆様に多大なご迷惑をおかけしたことをお詫び申し上げます」「原因等の情報が判明次第、引き続き開示してまいります」と述べた。 「DMM Bitcoin」が不正流出したビットコインの全額を保証するために約550億円を調達すると発表 - GIGAZINE

Subsequently, on September 26, 2024, the Kanto Regional Financial Bureau issued an administrative disposition to DMM Bitcoin, including an order to improve its business practices, pursuant to Article 63-16 of the Payment Services Act . This administrative disposition required DMM Bitcoin to analyze and clarify the specific facts and root causes of the unauthorized leakage of Bitcoin, respond to customers, and strengthen its system risk management system. Since the unauthorized leak occurred, DMM Bitcoin has been restricting its services, such as screening new account openings, suspending virtual currency withdrawal processing, and suspending spot trading buy orders, but has announced that it will transfer customer accounts and assets under custody to SBI VC Trade on December 1, 2024. DMM Bitcoin also reported that it plans to discontinue its business after the transfer is completed around March 2025. [IMPORTANT] Basic agreement regarding the transfer of accounts and assets held by SBI VC Trade - DMM Bitcoin (2024/12/02) https://bitcoin.dmm.com/news/20241202_01

その後、2024年9月26日、関東財務局は、資金決済法第63条の16に基づき、DMM Bitcoinに対し業務改善命令を含む行政処分を行いました。この行政処分により、DMM Bitcoinは、ビットコイン不正流出の具体的事実と根本原因の分析・解明、顧客への対応、システムリスク管理体制の強化が求められました。不正流出発生以来、DMM Bitcoinは新規口座開設の審査、仮想通貨の出金処理の停止、現物取引の買い注文の停止などサービスを制限してきましたが、顧客の口座と預かり資産をSBI VCに移管すると発表しました。 2024年12月1日に取引。DMM Bitcoinは2025年3月頃の譲渡完了後、事業を終了する予定であることも報じられた。 【重要】アカウント及び保有資産の譲渡に関する基本合意についてby SBI VCトレード - DMMビットコイン (2024/12/02) https://bitcoin.dmm.com/news/20241202_01

After that, the American analysis company Chainalysis published the results of its investigation that the unauthorized access to DMM Bitcoin was linked to a North Korean cyber attack group. When Chainalysis traced the stolen cryptocurrency, it was revealed that the group had been laundering the money by using a service called ' Mixer ' that anonymizes transaction history and then funneling it to the Cambodian online marketplace 'Huione Guarantee.' The theft of virtual currencies through cyber attacks from North Korea has beensteadily increasing since 2017, and in December 2022, South Korea's intelligence agency, the National Intelligence Service, reported the results of an investigation stating that 'North Korean cyber attack groups stole 8,000 billion won (approximately 86 billion yen) of virtual currencies and other assets in 2022 alone, totaling 1.5 trillion won (approximately 162 billion yen) over the five years from 2017.' In North Korea, the income generated by theft of virtual currencies is one of the main sources of income for the regime , and it has been pointed out that the stolen virtual currencies are being used for the development of ballistic missiles and weapons of mass destruction. The terrifying reality that North Korea is funding its weapons development program through cyber-attacks and cryptocurrency heists - GIGAZINE

その後、アメリカの分析会社チェイナリシスは、DMM Bitcoinへの不正アクセスは北朝鮮のサイバー攻撃グループと関連があるとする調査結果を公表した。 Chainaracyが盗まれた仮想通貨を追跡したところ、このグループは取引履歴を匿名化する「Mixer」と呼ばれるサービスを利用し、カンボジアのオンライン市場「Huione ギャランティー」に資金を流していたことが明らかになりました。北朝鮮によるサイバー攻撃による仮想通貨の盗難は2017年以降増加の一途をたどっており、2022年12月には韓国の情報機関である国家情報院が「北朝鮮のサイバー攻撃集団が8兆ウォンを盗んだ」とする調査結果を報告した。 2022年だけで仮想通貨等の資産総額は約860億円、5年間で総額1兆5000億ウォン（約1,620億円）に上る2017年から。北朝鮮では、仮想通貨の盗難によって得られる収入が政権の主要な収入源の一つとなっており、盗まれた仮想通貨が弾道ミサイルや大量破壊兵器の開発に利用されていると指摘されている。北朝鮮がサイバー攻撃や仮想通貨強盗を通じて兵器開発計画に資金提供しているという恐るべき現実 - GIGAZINE

Additionally, cryptocurrency trading platform Hyperliquid reported on December 23, 2024 that addresses and signs of activity used by North Korean hackers to test potential security bugs had been found.

さらに、仮想通貨取引プラットフォームのハイパーリキッドは2024年12月23日、北朝鮮のハッカーが潜在的なセキュリティバグをテストするために使用したアドレスと活動の兆候が発見されたと報告した。

DPRK's trading career is...uh....going....???? tbh if i was the dude Hyperliquid's 4 validators (or those fucking ghetto ass binaries on gh) I would be shitting my pants right now. Hyperliquid dudes dont seem worried at all though so im sure its fine. ???? pic.twitter.com/JrrU7t1sJe

北朝鮮の貿易キャリアは...ええと...行く....????ところで、私が Hyperliquid の 4 つのバリデーター (または gh のクソゲットーのバイナリ) だったら、今すぐズボンを脱いでしまうでしょう。 Hyperliquid の人たちはまったく心配していないようなので、きっと大丈夫です。 ???? pic.twitter.com/JrrU7t1sJe

Security expert Taylor Monahan said, 'We found no signs of funds being leaked or misused

セキュリティ専門家のテイラー・モナハン氏は「資金の漏洩や悪用の兆候は見つからなかった」と述べた。