2024年12月24日付けの警察庁及び米国連邦捜査局(FBI)など捜査機関からの公表のとおり、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)の一部とされているサイバー攻撃グループ「TraderTraitor」(以下、「攻撃者」といいます。)による標的型ソーシャルエンジニアリングを含む大規模なサイバー攻撃により、当社の提供する暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet(以下、「本ソフトウェア」といいます。)」を構成するインフラストラクチャの特定部へ不正アクセスが行われていたことが確認されました。
本件につきまして、お客様をはじめ関係者の皆様に多大なご心配をおかけしたことを心よりお詫び申し上げます。
当社は、捜査機関との原因の究明、再発防止策及びサイバー攻撃の高度化に応じたセキュリティ強化策の実施、お客様をはじめ関係者の皆様へのご説明に取り組んでまいりました。現在も捜査機関による調査は継続中であり、今後も全面的に協力を続けてまいります。
本件について、現在までに判明した事実関係に基づき、当社から開示できる情報を以下のとおりご報告いたします。
ー
当社が提供する本ソフトウェアは、ユーザー様の暗号資産および秘密鍵をユーザー様自身の管理下で安全に取り扱うことを支援するものです。本ソフトウェアにおいてトランザクションの指図や履歴の管理を行うサーバおよびユーザー様の操作画面は当社が契約するクラウド環境より提供しております。一方で、暗号資産および秘密鍵の管理については、専用のコールドウォレットソフトウェアを納品することでユーザー様に保管・管理および使用いただくというシステム構成です。そのため当社は暗号資産や秘密鍵を保管・管理しておらず、ユーザー様のもとでオフライン環境下で保管される当該コールドウォレットソフトウェアを当社が操作することは出来ません。また、当社は金融庁の登録を受けた暗号資産交換業者ではなく、そのためユーザー様から暗号資産および秘密鍵の管理ならびに送金に係る業務を受託する立場ではありません。
本件において、攻撃者は、LinkedIn上でリクルーターになりすましたうえで、2024年3月下旬に当社従業員に接触し、GitHub上に保管された採用前試験を装った悪意あるPythonスクリプトのURLを送付しました。攻撃者は、当該従業員が、このPythonスクリプトを実行するように誘導し、その結果、当社従業員の業務用端末が侵害され、攻撃者は、本ソフトウェアのインフラストラクチャとして契約しているクラウドサービス上のKubernetesの本番環境へアクセス可能な認証情報(Credential)を不正に取得したと認められます。この攻撃に利用されたPythonスクリプトは、Pythonの仕様を利用した高度な手法によって攻撃を行う類のものであったことが捜査当局により確認されています。
そして、2024年5月24日から31日の間において、攻撃者が当該従業員の認証情報を用いて、Kubernetesの本番環境へ不正アクセスを行った形跡が確認されています。
なお、本ソフトウェアのアプリケーション、ソースコード、当社が管理する顧客関連情報が保存されているデータベース等、その他の当社業務ツールや仕様書等への不正アクセスは確認されておりません。
本件と2024年5月31日に発生した不正送金との関係については、以下を確認しております。
当社は、株式会社DMM Bitcoin様(以下、「当該利用者様」といいます。)のシステム開発・運用を担う企業様(以下、「当該契約者様」といいます。)に対し、本ソフトウェアを提供するとともに、当該契約者様が当該利用者様に本ソフトウェアを使用させることを許諾しております。
攻撃者は、不正アクセスを行った際に、低レイヤーの通信処理に干渉する手法により、当該利用者様による正規のトランザクション指図に対し、不正なデータを追加したことが判明しております。なお、不正送金のトランザクションが本ソフトウェアから送信された事実はありません。
現在も捜査が継続中であること、当社が捜査上の情報のすべての開示を受けているわけではないこと、また、当該利用者様の業務環境および実際のオペレーションについて直接情報を取得ならびに公表できる立場ではないことから、当社からご報告できる情報は以上となります点、何卒ご理解賜りますようお願い申し上げます。
ー
本件により、お客様はじめ関係者の皆様に多大なご心配をおかけしたことについて、あらためて深くお詫び申し上げます。
皆様からの信頼の回復に努め、総合的により安全なサービスの提供の実現に向けて、引き続き尽力してまいります。
