DMMビットコインから約482億円相当の仮想通貨が流出した事件で、警視庁が北朝鮮系ハッカー集団の関与を特定。手口とその背景、事件の影響を詳報する。
DMMビットコインからの巨額流出事件
2024年5月、暗号資産交換業者DMMビットコインから約482億円相当のビットコインが不正に流出する事件が発生した。同社は即座に一部サービスを停止し、流出額に相当する補償資金550億円を確保することで顧客の被害を回避したが、事件は仮想通貨市場全体に大きな衝撃を与えた。今回の流出額は国内で発生した暗号資産の窃取事件として過去最大規模にあたる。これを受けて警視庁は調査を開始し、同年12月24日、米連邦捜査局(FBI)との連携により、北朝鮮に関連するハッカー集団「トレイダートレイター」が関与していると発表した。
事件発生以降、DMMビットコインでは顧客が保有している暗号資産取引が制限される状況が続き、2024年12月には事業の廃業を決定。顧客資産はSBIグループのSBIVCトレードに移管されることが明らかとなった。
北朝鮮系ハッカー「トレイダートレイター」の関与を特定
警視庁と米連邦捜査局(FBI)の調査により、この事件には北朝鮮系ハッカー集団「トレイダートレイター」が関与していることが特定された。同集団は北朝鮮軍の外郭機関「朝鮮人民軍偵察総局」の下部組織「ラザルスグループ」の一部とされる組織で、これまでも暗号資産取引所などを標的にサイバー攻撃を行ってきたとみられる。
今回の事件では、トレイダートレイターはビジネス向けSNS「リンクトイン」を悪用し、不正プログラムを用いて取引システムへの侵入を試みた。最初の接触は2024年3月下旬、DMMビットコインが暗号資産の管理を委託していた企業「Ginco」の従業員に対して行われた。犯行グループはリクルーターになりすまして従業員に接触し、採用試験を装って悪意のあるプログラムが仕込まれたリンクを送付。このリンクを開いたことで、従業員のパソコンが不正プログラムに感染し、攻撃者は取引システムへのアクセス権を奪取した。
トレイダートレイターはこれを足がかりに、暗号資産の送金先や送金額を改ざんする手法で不正流出を実行。流出したビットコインは、同集団が管理するとみられる口座に送金されたことが確認されている。また、警視庁やFBIの詳細な調査により、不正プログラムが接続したサーバーが北朝鮮が管理するものであることが判明している。
日本と米国の合同調査で特定に至るまで
DMMビットコインからの巨額流出事件に対し、日本と米国の捜査当局が迅速な合同調査を実施した。この過程で、警視庁は内閣サイバーセキュリティセンター(NISC)および米連邦捜査局(FBI)と連携し、サイバー攻撃の発端や手口、背後に存在する組織を精査した。特に、北朝鮮系ハッカー集団による過去の攻撃事例や、攻撃に使用されたインフラを詳細に分析することで「トレイダートレイター」の関与を特定するに至った。
そのうえで、日本政府はサイバー攻撃の防止や抑止を目的とした取り組み「パブリック・アトリビューション」を実施。これは関与が疑われる国家や組織を名指しで公表するものであり、今回の発表は日本では8例目となる。そのうち、北朝鮮関連の事例としては3例目である。警察庁やFBIはこうした公表によって、今後の被害防止や攻撃者への国際的な非難を促す狙いがあると説明した。
事件がもたらす仮想通貨市場への影響
DMMビットコインの不正流出事件は国内外に広がる仮想通貨市場にも深刻な影響をもたらした。仮想通貨のセキュリティに対する信頼性が揺らぐ中、取引所運営者や投資家にとって、セキュリティ対策の強化が急務となっている。
北朝鮮系ハッカー集団によるサイバー攻撃の標的は、仮想通貨交換業者や関連企業が主であり、彼らが窃取した資金は核・ミサイル開発の資金源となっているとされる。米国のブロックチェーン分析企業「チェイナリシス」によれば、北朝鮮系ハッカー集団が2024年に窃取した仮想通貨の総額は約2033億円にのぼり、世界全体の被害額の約6割を占めている。今回の事件はその一環であり、国際的にも仮想通貨市場へのリスクが浮き彫りとなった。
暗号資産取引所にとって、攻撃者に狙われるリスクが高まる一方で、顧客からの信頼を維持するためには、システムの堅牢性を確保することが不可欠だ。また、利用者側にもセキュリティ意識の向上が求められる時代となっている。
DMMビットコインの廃業と顧客資産の対応
今回の不正流出事件を受け、DMMビットコインは2024年12月2日に事業の廃業を発表した。同社は事件発生後、迅速にグループ企業からの支援を受けて550億円を調達し、流出相当額の全額を利用者に補償している。しかし、その後もサービスの利用制限が続き、経営の継続が難しいとの判断に至った。
顧客が保有する口座および預かり資産については、大手証券会社SBIグループの仮想通貨交換業者「SBIVCトレード」に移管されることが決定した。移管手続きは2025年3月までに完了する予定であり、顧客に対する資産保全の継続が確保されている。
DMMビットコインの廃業は、仮想通貨交換業者にとってセキュリティ対策の重要性を改めて認識させる事例となった。流出事件の発端は「Ginco」の従業員が攻撃者の仕掛けた罠にかかったことによるものであり、一見些細に見える人為的なミスが巨額の損失につながるリスクを浮き彫りにした。
北朝鮮系サイバー攻撃への国際的な対応
北朝鮮系ハッカー集団「トレイダートレイター」の活動は今回のDMMビットコイン事件だけにとどまらない。近年、同様の手口で仮想通貨取引所や関連企業を標的としたサイバー攻撃は増加しており、国際的な課題となっている。2023年には米国政府が北朝鮮系ハッカーによる3件の仮想通貨交換業者への攻撃を確認しており、被害額は総額約300億円にのぼるとされる。
北朝鮮によるサイバー攻撃は、国連制裁下での外貨獲得手段として位置づけられていると指摘されており、窃取した仮想通貨は核・ミサイル開発の資金源となっている。専門家によれば、この動きは2017年以降急激に増加しており、サイバー攻撃による北朝鮮の外貨収入は全体の約半分を占めるという。
こうした状況を受け、各国政府や国際機関は仮想通貨に対する規制の強化やセキュリティ向上に向けた取り組みを進めている。しかし、仮想通貨はその特性上、匿名性が高く、追跡が困難な場合が多い。特に、北朝鮮のような「国家ぐるみ」のサイバー犯罪に対しては、国際的な連携と迅速な対応が不可欠である。