目次

  1. ソーシャルエンジニアリングとは
  2. ソーシャルエンジニアリング、DMM Bitcoinが被害
  3. ソーシャルエンジニアリングの流れ DMM Bitcoin事例から
    1. LinkedInでの接触
    2. 偽の採用試験
    3. マルウェア感染
    4. セッションクッキーの悪用
    5. 取引リクエストの改ざん
    6. 暗号資産の窃取
  4. 注意が必要なソーシャルエンジニアリングの手口例
    1. ソーシャルエンジニアリングによる接近手口例
    2. マルウェアを感染させる手口例
    3. 認証情報等の窃取・暗号資産窃取の手口例
  5. ソーシャルエンジニアリングへの対処例と緩和策
    1. システム管理者向け
    2. 従業員向け

 総務省の「国民のためのサイバーセキュリティサイト」などによると、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことを指します。

 電話やメールで、企業の従業員に対して同僚や情報システム管理者などの関係者を名乗り、ID やパスワードを詐取する「なりすまし」など古くからある手口ですが、様々な手口があるので万全な対策が取りにくいのが特徴です。

 警察庁の公式サイトによると、2024年5月に暗号資産関連事業者「DMM Bitcoin」から約482億円相当の暗号資産を盗まれたのは、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」(トレイダートレイター)によるものだと特定したといいます。

 「TraderTraitor」は、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)の一部であるとされています。

 手法の特徴は、同時に同じ会社の複数の従業員に対して実施される、標的型ソーシャルエンジニアリングだといい、DMM Bitcoinの手口では、日本に所在する企業向け暗号資産ウォレットソフトウェア会社「Ginco」の従業員への接触から始まりました。

 警察庁によると、DMM Bitcoinから暗号資産が盗まれたソーシャルエンジニアリングの手口は以下の通りです。

 TraderTraitorは、まずLinkedIn上でリクルーターになりすましGincoの従業員に接触しました。

 次に、GitHub上に悪意のあるPythonスクリプトをアップロードし、採用前試験と偽って、Gincoの従業員に実行させました。

 このPythonスクリプトにはマルウェアが仕込まれており、実行した従業員のPCが感染しました。

 マルウェアによって、従業員のセッションクッキーが窃取され、攻撃者はその従業員になりすましてGincoのシステムにアクセスしました。

 Gincoのシステムに侵入した後、攻撃者はDMM Bitcoinの正規取引リクエストを改ざんし、その結果、4,502.9BTC(攻撃当時約482億円相当)が喪失しました。

 最終的に、窃取された暗号資産は攻撃者であるTraderTraitorが管理するウォレットに移動されました。

 TraderTraitorは、ほかにもさまざまなソーシャルエンジニアリングの手口を駆使して攻撃しているといい、暗号資産関連事業者の従業員だけでなく、ブロックチェーンやWeb3と呼ばれる技術の技術者も標的となり得ると警察庁が注意を呼び掛けています。

 警察庁の公式サイトをもとに、ほかの手口を紹介します。

 攻撃者は、第三者の名前や顔写真を悪用し、企業幹部を装うなどして、SNSで標的対象者にメッセージを送信します。

 標的となるのは、日本人だけではなく、国内外に居住する、外国人を含む暗号資産関連事業者の従業員です。また、ブロックチェーンやWeb3と呼ばれる技術の技術者も標的となり得ます。

 攻撃者は、アプローチの際に、標的対象者のプロフィールに掲載されている経歴やスキルを元に、「あなたからプログラミングを学びたい」「私のプログラムの不具合を直してほしい」など関心を引くようなメッセージを贈ります。

 攻撃者は、異なるSNSや、メッセージングアプリでのやりとりを希望する場合があります。これは、攻撃者側が、送信したメッセージを受信者側の記録から消去できるサービスを利用したいことが理由として考えられます。

 攻撃者は、標的対象者のPCをマルウェアに感染させようとします。例えば、攻撃者がGitHubにコミットした、「不具合があってうまく動かない」と主張する、シンプルなAPIへアクセスするプログラムを、標的対象者に実行させて、不具合を特定させようとすることが考えられます。

 攻撃者は、APIの通信先に、正規のサーバーのほか、攻撃者が用意したサーバーを含めており、APIからの応答を処理する関数に、コード実行可能な関数を紛れ込ませて、マルウェアに感染させようとする可能性があります。

 攻撃者は、マルウェア感染させたPCに保存されている認証情報や、セッションクッキー等を窃取し、標的対象者になりすまして、暗号資産管理やブロックチェーン関連業務で利用するシステムにアクセスし、暗号資産等の窃取を行おうとする可能性があります。また、個人管理する暗号資産の窃取を狙うことも考えられます。

 攻撃者は、システム構成を短期間で把握し、なりすました標的対象者が持つロールや権限に応じた、暗号資産の窃取が可能なポイント・手法を見つけ出そうとするおそれがあります。

 警察庁などは、以下の対処例と緩和策の実施を推奨しています。

  • 通信先ドメインの登録日が数日~数週間前など、比較的新しくないか確認する。
  • 多要素認証を導入する。
  • 業務付与期間に限定した必要最小限のアクセス範囲と権限を付与する。(業務付与期間終了後、速やかに縮小・削除する)
  • 事前申請または通常の業務時間帯・曜日ではない期間に行われたアクセスに関する認証ログ、アクセスログがないか監視する。
  • PCが電源OFFしている期間にアクセスしていないかなど、EDRやPC内のログと矛盾がないか監視する。
  • 居住地以外の地域やVPNサービスからとみられるアクセスに関する認証ログ、アクセスログがないか監視する。
  • 貸与している業務用PC以外からとみられるアクセスに関する認証ログ、アクセスログがないか監視する。(例:UserAgentが通常と異なる)
  • 退職した従業員のアカウントは速やかにロックするとともに、認証試行があった際は、速やかに検知・対処ができるようにしておく。
  • 従業員の理解と協力を得て、ダミーの認証情報をWebブラウザに記憶させる等しておき、認証試行があった際は、速やかに検知・対処ができるようにしておく。
  • PCのログ保存期間や、マルウェアに感染した後にログが消去されるリスクを考慮し、ログを集中的に保存・検索できる仕組みを構築し、異常の把握と速やかな対処ができるようにしておく。
  • 事前に許可されている場合を除き、私用PCで機微な業務用システムにアクセスしない。
  • SNSでアプローチを受けた際は、ビデオ通話を要求する。(複数回拒否する場合は不審と判断する)
  • アプローチ元のプロフィールや、SNSでのやりとりについて、スクリーンショットを保存する。
  • ソースコードの確認や実行を急がせる兆候があれば、不審性を考慮する。
  • 内容を確認せずにコードを実行せず、コードエディタで開いて、折り返し表示にする。
  • コードを実行する際は、業務用PCを使用しない、または仮想マシンを使用する。