北朝鮮のハッカーTraderTraitorがDMMビットコインから約482億円相当の暗号資産を強奪

12月25日：サイバーセキュリティ関連ニュース

北朝鮮のハッカーグループがDMMビットコインから約482億円相当の暗号資産を強奪

The Hacker News – Dec 24, 2024

日米当局は2024年5月に暗号資産取引所DMMビットコインから約482億円相当のビットコインが盗まれた事件について、北朝鮮のサイバー犯罪グループ「TraderTraitor」による犯行だと特定した。このハッキングを受け、DMMビットコインは今月初めに業務を停止している。

日本の警察庁、米国のFBIおよび国防総省サイバー犯罪センターは合同で声明を発表し、この事件は「Jade Sleet、UNC4899、Slow Piscesとしても追跡されているTraderTraitorの脅威活動と関連している」と説明。同グループの活動は「多くの場合、同じ会社の複数の従業員を同時に狙った標的型ソーシャルエンジニアリングを特徴としている」と付け加えた。今回のビットコイン窃取も、DMMビットコインの委託先であるGinco社の従業員にソーシャルエンジニアリング攻撃を仕掛けることによって達成されたという。

関連記事：4,000万ドル規模の暗号通貨強盗に北朝鮮関連のグループTraderTraitorが関与か、FBIが警告

TraderTraitorは北朝鮮系の持続的脅威活動クラスターとの関連が疑われるハッカーグループで、遅くとも2020年から活動していることが知られている。Web3部門の複数企業を狙い、マルウェアを仕込んだアプリをダウンロードさせて暗号資産を盗むことを主な目的としており、近年には偽求人によるソーシャルエンジニアリング、あるいはGitHubプロジェクトでの提携を口実にターゲットへアプローチし、有害なnpmパッケージの展開につながる一連の攻撃を組織してきた。さらに、昨年話題となったJumpCloudシステムを狙った攻撃も、同グループが首謀者であるとされている。

リンクトラップ：プロンプトインジェクション攻撃の新たな展開

Securityexpress[.]info – December 24, 2024

生成AIが進化するにつれて新しい脆弱性が見つかり、新たな脅威も現れるものだが、プロンプトインジェクションはそういった脅威の1つに挙げられる。これは攻撃者が巧妙に細工された入力データを使ってAIシステムを騙し、出力に関して定められた制限を回避させる手法を指す。

このプロンプトインジェクションに基づく新しいタイプの攻撃「リンクトラップ」について、トレンドマイクロの研究者が詳述した。その説明によると、この攻撃はユーザーまたは組織にデータ漏洩のリスクをもたらすもので、外部接続のないAIシステムさえも安全ではないとのこと。手短に言うとプロンプトに不正なコンテンツを埋め込み、有害なURLを含むレスポンスを出力させ、ユーザーがそのリンクをクリックするとリモートの攻撃者に情報が送られる仕組みだという。

コマンドインジェクション攻撃に対する予防策としては、AIに送られたクエリを検証する、出力に記されたリンクに注意するといった方法が紹介されている。しかし、この話題を報じたThe Information Technology Dailyは、セキュリティの脅威が増大する中、生成AIを扱うユーザーや組織にとっては、攻撃のメカニズムを理解し、強力な防御策を実装することが最も重要だと述べた。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート