- サイバーセキュリティ・リーダーシップ
- 3月 7, 2025
リーダーシップとサイバーレジリエンス(耐性)| Vol.II
北朝鮮系ハッカーラザルスによるBybitへのハッキング: サプライチェーン攻撃の手口と教訓
史上最大の暗号資産窃取Bybit:北朝鮮ハッカー集団「ラザルス」、Bybitから約14億ドル窃取
2025年2月21日、北朝鮮の国家支援型ハッカー集団「ラザルス(Lazarus)」が、ドバイに拠点を置く世界第2位の暗号資産取引所「バイビット(Bybit)」から、約14億ドル(約2,185億円)相当の暗号資産を窃取しました。この事件は、暗号資産史上最大かつ最も複雑なハッキング事件となりました。
ホットウォレットからコールドウォレットへ:暗号資産取引所に迫る新たな脅威
Bybit事件にラザルスが関与していたことに驚きはありませんでした。2017年以降、ラザルスをはじめとする北朝鮮関連グループによる暗号資産の窃取額は60億ドル以上に達しており、2024年に盗まれた暗号資産2.2億ドルのうち61%が、北朝鮮関連グループによるものであるとされています。
2025年1月、ラザルスはシンガポールを拠点とする中央集権型取引所(CEX)であるフェメックス(Phemex)から、約7300万ドル相当の暗号資産を盗んだとみられています。北朝鮮のハッカーは、イーサリアム(ETH)、ソラナ(Solana)、リップル(Ripple)、ビットコイン(Bitcoin)を含む複数の暗号資産にアクセスし、フェメックスのホットウォレットから盗み出しました。
ホットウォレットは取引をスムーズに行えるよう常にインターネットに接続されているため、秘密鍵(プライベートキー)を不正に使用すれば、保管されている暗号資産を別のウォレットへ移すことができます。
Bybitコールドウォレットへハッキング:サプライチェーン攻撃の手口
Bybitは、今回の不正アクセスに至った経緯について、透明性を持って積極的に説明しています。
調査の結果、ラザルスはBybitのマルチシグウォレットプロバイダーであるSafe{Wallet}の開発者を標的にし、不正アクセスを行ったことが判明しました。ハッカーはSafe{Wallet}のドメインに悪意のあるコードを仕込み、特にBybitのマルチシグ認証プロセスを狙っていました。その結果、攻撃者はコールドウォレットからホットウォレットへのETH送金を承認するためのスマートコントラクトの仕組みを密かに改ざんすることに成功したのです。
「この攻撃は非常に巧妙な手口で、署名画面では正しいアドレスを表示しつつ、裏でスマートコントラクトの処理を改ざんしていました。その結果、攻撃者はETHのコールドウォレットを乗っ取り、保管されていた資産を不明なアドレスへ送金することができたのです。」
攻撃者は署名の仕組みを操作し、資金を自分たちのアカウントへ送金しながら、取引を監視している関係者には正規のアドレスが表示されるように偽装していました。
ByBit事件から見えるラザルスの攻撃手法
今回の事件により、ラザルスの攻撃手法の進化が改めて浮き彫りになりました。ラザラスは、独自のマルウェア開発能力を駆使し、長期にわたって潜伏することで検知を回避するという巧妙な手口を得意としています。最近では、取引所そのものだけでなく、ウォレットインフラ、クラウドプラットフォーム、開発環境など、暗号資産のサプライチェーンに関わる信頼されたプロバイダーも標的にしています。これらの第三者を侵害することで、単一の脆弱性から複数の被害者へアクセスできるようになります。
今回の件では、攻撃者は同社の内部手続きを徹底的に分析し、ウォレット間の資金移動を承認するマルチシグ取引に関わる全員を特定し、標的にしました。さらに、追跡を逃れるため、盗んだイーサリアムは50以上の異なるウォレットを経由し、CEXやDEXを通じて短時間で移動されました。
Bybitハッキングからの学ぶ暗号資産取引所と金融機関への教訓
Bybitと、そのコールドウォレットプロバイダーであるSafe{Wallet}は、今回の不正アクセスについてまだ解明すべき点が多く、今後さらに詳しい情報が明らかになるでしょう。暗号資産関連企業や金融業界の関係者は、この攻撃から得られた教訓を迅速に活かし、対策を強化する必要があります。
日本サイバーディフェンス(NCD)では、北朝鮮を含む国家支援型攻撃グループの手法を長年追跡してきました。企業が効果的な防御体制を構築するためには、次の3つの前提を考慮する必要があると考えます:
攻撃の広がり
ラザルスをはじめとする北朝鮮系ハッカーグループは、暗号資産業界全体について詳細な知識を持ち、サプライチェーン全体の侵害に膨大なリソースを投じています。システムやプロセスのわずかな脆弱性でも狙われる可能性があり、早急な対策が不可欠です。業界内での情報共有と連携強化が攻撃への耐性を高める鍵となります。
攻撃の深さ
ラザルスは、次の標的企業のネットワークにすでに潜入し、密かにアクセス権を確保している可能性があります。防御側はその前提で対策を講じる必要があり、ネットワークのセグメント化や高度な検知機能の導入が不可欠です。また、セキュリティオペレーションセンター(SOC)においては、NCDが提唱する「調査的アプローチ」を採用すべきです。疑わしい活動が一時的に止まったとしても、それは攻撃者が動きを止めたに過ぎず、脅威がなくなったわけではありません。
セキュリティチームの保護
ラザルスにとって、セキュリティチームを標的にすることは最優先事項の一つです。内部の防御を崩すことで、リスクを抑えながら自由に活動できるためです。セキュリティチームには特別な保護策を講じることが不可欠です。
サプライチェーンセキュリティと開発者教育の重要性:暗号資産を守る
企業はサプライチェーン全体のセキュリティ評価を徹底し、特にウォレットや署名プラットフォームのプロバイダーを含む外部ベンダーやサービスプロバイダーが、強固なセキュリティ対策を実施・維持しているかを確認する必要があります。また、これらの重要なシステムを開発するエンジニアには、より高度なセキュリティ意識を持たせるためのトレーニングを強化すべきです。国家レベルの攻撃者は、暗号資産エコシステム全体への侵入経路を確保するため、開発者を標的にするケースが増えています。
日本サイバーディフェンスからのご提案
日本サイバーディフェンス株式会社(NCD)は、国家支援型攻撃グループの監視・追跡をし、企業の防御支援を専門としています。ByBit事件を踏まえ、貴社のサイバー防衛力を強化するための具体的な対策をご提案いたします。ぜひお気軽にご相談ください。
サイバー成熟度評価
日本サイバーディフェンス株式会社(NCD)では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。
サイバーセキュリティフレームワーク(NIST)
国立標準技術研究所
サイバー評価フレームワーク(CAF)
国家サイバーセキュリティセンター
NCDのサービスに関する詳細: サイバーセキュリティコンサルタント、保護サービス、ネットワーク監視とセキュリティ運用、SIEM、インシデント管理
- 1
- 2
