北朝鮮関連ハッカー、仮想通貨企業を標的に大規模サイバー攻撃か＝レポート

この記事のポイント

クラウド環境に侵入し、取引所ソフトウェアや機密情報を窃取
直接的な資産流出はないが、将来の大規模攻撃への準備とみられる

ウェブサイトの脆弱性を悪用

セキュリティ調査機関「Ctrl-Alt-Intel」は2日、北朝鮮と関連するとみられるハッカー集団が、複数の仮想通貨関連企業を標的にしたサイバー攻撃を行っていたと報告した。

調査によると、攻撃者はまず仮想通貨の「ステーキング（預け入れ運用）」サービスを提供する企業のウェブサイトの脆弱性を突いて侵入。バックエンドのプログラムや、ウォレットの秘密鍵などの機密情報を盗み出した。

さらに別のルートでは、何らかの方法で入手したクラウドサービス（AWS）の認証情報を悪用。企業の内部システムに不正アクセスし、データベースの接続情報やAPIキーなど高価値な情報を次々と窃取した。攻撃者はクラウド上に保存された設定ファイルやインフラ管理ツールのデータも詳細に調査し、組織的かつ手際よく情報を収集していた。

最終的には、グローバルなブロックチェーン技術・デジタル資産企業「ChainUp（チェーンアップ）」が提供する取引所向けソフトウェアも盗み出された。同ソフトウェアにはデータベースへのアクセス情報がそのまま埋め込まれており、悪用されれば実際の資産窃取につながる恐れがある。今回の被害はChainUpの顧客にあたる取引所で発生したとみられている。

攻撃には韓国を拠点とするサーバーが使用されており、通信経路も韓国のVPNサービスを経由していた。これは追跡を困難にするための偽装工作とみられている。

同機関はこの攻撃について「北朝鮮関連の脅威グループとの関連を中程度の確信をもって評価する」としながらも、決定的な証拠はないと慎重な姿勢を示した。根拠として、2025年2月に発生した仮想通貨流出事件「Bybitハッキング」で確認された手口と酷似していることや、北朝鮮系ハッカー集団「TraderTraitor」が過去にJumpCloud（2023年）やBybit（2025年）など同様のサプライチェーン攻撃を繰り返してきた点を挙げている。

今回の攻撃では直接的な資産流出は確認されていないが、盗まれたソースコードや認証情報は将来的な大規模窃取への「事前準備」として使われる可能性があると同機関は警告している。

CoinPostの特集記事New!