バイビットから2185億円相当の仮想通貨を強奪　北朝鮮ハッカー「ラザルス」の手口　　

【KOREA WAVE】世界第3位の仮想通貨（暗号資産）取引所「バイビット（Bybit）」から14億6000万ドル（約2185億円）のイーサリアム（Ethereum、ETH）が盗まれた事件で、犯行を手掛けた北朝鮮系ハッカー集団「ラザルス」は、取引署名を偽造する手法を使っていたことがわかった。

　今回の事件では、特に安全とされるオフライン型の仮想通貨ウォレット（コールドウォレット）が狙われたことから、衝撃が広がっている。取引署名（トランザクション）の正確な確認とともに、複数人の承認を必要とするマルチシグネチャ（多重署名）方式のセキュリティ強化が急務とされる。

　バイビット側によると、盗難はコールドウォレットからオンライン上のホットウォレットへの資産移動の過程で発生した。攻撃者は署名用インターフェースを巧妙に偽造し、正常な取引と同様に見せかけ、内部コードを書き換えて不正送金を成立させたという。

　バイビットが利用するマルチシグネチャシステム「Safe」のURLも操作され、取引参加者が隠されたコード改ざんに気付かなかったことも指摘されている。また、日常的な取引のため、署名確認を怠ったことも一因として挙げられる。

　ブロックチェーン分析家が犯行のウォレットアドレスを分析し、ラザルスとの関連性を指摘した。さらにTRM Labsの報告でも、今回のアドレスが過去に北朝鮮による犯行で使われたものと一致するとされている。TRM Labsの報告書によれば、昨年、世界の仮想通貨窃取被害額の3分の1が北朝鮮系ハッカーによるものと推定される。

　韓国開発研究院（KDI）は、北朝鮮が仮想通貨ハッキングを通じて外貨を確保し、制裁回避や資金調達を図っていると分析している。

「Theori」CEOでセキュリティ専門家のパク・セジュン氏は「攻撃者が北朝鮮関連アドレスを使って追跡を撹乱させる場合もあり、北朝鮮と断定は難しい。ただ仮想通貨インフラのセキュリティへの警戒を高める重要な事例となった。マルチシグネチャであっても完全な安全は保証されないため、署名時には細部まで十分に確認することが重要だ」と強調した。(c)news1/KOREA WAVE/AFPBB News｜使用条件