Nihon Cyber Defence

リーダーシップとサイバーレジリエンス(耐性)| Vol.II

北朝鮮系ハッカーラザルスによるBybitへのハッキング: サプライチェーン攻撃の手口と教訓

Bybit Hack 2025 - $1.4 Billion Stolen by Lazarus Group

史上最大の暗号資産窃取Bybit:北朝鮮ハッカー集団「ラザルス」、Bybitから約14億ドル窃取

2025年2月21日、北朝鮮の国家支援型ハッカー集団「ラザルス(Lazarus)」が、ドバイに拠点を置く世界第2位の暗号資産取引所「バイビット(Bybit)」から、約14億ドル(約2,185億円)相当の暗号資産を窃取しました。この事件は、暗号資産史上最大かつ最も複雑なハッキング事件となりました。

ホットウォレットからコールドウォレットへ:暗号資産取引所に迫る新たな脅威

Bybit事件にラザルスが関与していたことに驚きはありませんでした。2017年以降、ラザルスをはじめとする北朝鮮関連グループによる暗号資産の窃取額は60億ドル以上に達しており、2024年に盗まれた暗号資産2.2億ドルのうち61%が、北朝鮮関連グループによるものであるとされています。

2025年1月、ラザルスはシンガポールを拠点とする中央集権型取引所(CEX)であるフェメックス(Phemex)から、約7300万ドル相当の暗号資産を盗んだとみられています。北朝鮮のハッカーは、イーサリアム(ETH)、ソラナ(Solana)、リップル(Ripple)、ビットコイン(Bitcoin)を含む複数の暗号資産にアクセスし、フェメックスのホットウォレットから盗み出しました。

ホットウォレットは取引をスムーズに行えるよう常にインターネットに接続されているため、秘密鍵(プライベートキー)を不正に使用すれば、保管されている暗号資産を別のウォレットへ移すことができます。

Bybitコールドウォレットへハッキング:サプライチェーン攻撃の手口

Bybitは、今回の不正アクセスに至った経緯について、透明性を持って積極的に説明しています。

調査の結果、ラザルスはBybitのマルチシグウォレットプロバイダーであるSafe{Wallet}の開発者を標的にし、不正アクセスを行ったことが判明しました。ハッカーはSafe{Wallet}のドメインに悪意のあるコードを仕込み、特にBybitのマルチシグ認証プロセスを狙っていました。その結果、攻撃者はコールドウォレットからホットウォレットへのETH送金を承認するためのスマートコントラクトの仕組みを密かに改ざんすることに成功したのです。

「この攻撃は非常に巧妙な手口で、署名画面では正しいアドレスを表示しつつ、裏でスマートコントラクトの処理を改ざんしていました。その結果、攻撃者はETHのコールドウォレットを乗っ取り、保管されていた資産を不明なアドレスへ送金することができたのです。」

攻撃者は署名の仕組みを操作し、資金を自分たちのアカウントへ送金しながら、取引を監視している関係者には正規のアドレスが表示されるように偽装していました。

ByBit事件から見えるラザルスの攻撃手法

今回の事件により、ラザルスの攻撃手法の進化が改めて浮き彫りになりました。ラザラスは、独自のマルウェア開発能力を駆使し、長期にわたって潜伏することで検知を回避するという巧妙な手口を得意としています。最近では、取引所そのものだけでなく、ウォレットインフラ、クラウドプラットフォーム、開発環境など、暗号資産のサプライチェーンに関わる信頼されたプロバイダーも標的にしています。これらの第三者を侵害することで、単一の脆弱性から複数の被害者へアクセスできるようになります。

今回の件では、攻撃者は同社の内部手続きを徹底的に分析し、ウォレット間の資金移動を承認するマルチシグ取引に関わる全員を特定し、標的にしました。さらに、追跡を逃れるため、盗んだイーサリアムは50以上の異なるウォレットを経由し、CEXやDEXを通じて短時間で移動されました。

Bybitハッキングからの学ぶ暗号資産取引所と金融機関への教訓

Bybitと、そのコールドウォレットプロバイダーであるSafe{Wallet}は、今回の不正アクセスについてまだ解明すべき点が多く、今後さらに詳しい情報が明らかになるでしょう。暗号資産関連企業や金融業界の関係者は、この攻撃から得られた教訓を迅速に活かし、対策を強化する必要があります。

日本サイバーディフェンス(NCD)では、北朝鮮を含む国家支援型攻撃グループの手法を長年追跡してきました。企業が効果的な防御体制を構築するためには、次の3つの前提を考慮する必要があると考えます:

攻撃の広がり

ラザルスをはじめとする北朝鮮系ハッカーグループは、暗号資産業界全体について詳細な知識を持ち、サプライチェーン全体の侵害に膨大なリソースを投じています。システムやプロセスのわずかな脆弱性でも狙われる可能性があり、早急な対策が不可欠です。業界内での情報共有と連携強化が攻撃への耐性を高める鍵となります。

攻撃の深さ

ラザルスは、次の標的企業のネットワークにすでに潜入し、密かにアクセス権を確保している可能性があります。防御側はその前提で対策を講じる必要があり、ネットワークのセグメント化や高度な検知機能の導入が不可欠です。また、セキュリティオペレーションセンター(SOC)においては、NCDが提唱する「調査的アプローチ」を採用すべきです。疑わしい活動が一時的に止まったとしても、それは攻撃者が動きを止めたに過ぎず、脅威がなくなったわけではありません。

セキュリティチームの保護

ラザルスにとって、セキュリティチームを標的にすることは最優先事項の一つです。内部の防御を崩すことで、リスクを抑えながら自由に活動できるためです。セキュリティチームには特別な保護策を講じることが不可欠です。

サプライチェーンセキュリティと開発者教育の重要性:暗号資産を守る

企業はサプライチェーン全体のセキュリティ評価を徹底し、特にウォレットや署名プラットフォームのプロバイダーを含む外部ベンダーやサービスプロバイダーが、強固なセキュリティ対策を実施・維持しているかを確認する必要があります。また、これらの重要なシステムを開発するエンジニアには、より高度なセキュリティ意識を持たせるためのトレーニングを強化すべきです。国家レベルの攻撃者は、暗号資産エコシステム全体への侵入経路を確保するため、開発者を標的にするケースが増えています。

日本サイバーディフェンスからのご提案

日本サイバーディフェンス株式会社(NCD)は、国家支援型攻撃グループの監視・追跡をし、企業の防御支援を専門としています。ByBit事件を踏まえ、貴社のサイバー防衛力を強化するための具体的な対策をご提案いたします。ぜひお気軽にご相談ください。

John Noble
ジョン・ノーブル

日本サイバーディフェンス 非常勤役員 シニアエグゼクティブアドバイザー

英国政府で40年の経験を持ち、NCSCの設立に寄与。現在はサイバーセキュリティと戦略的変革に関して世界中の組織に助言している。

Edit Template

サイバー成熟度評価 ​

日本サイバーディフェンス株式会社(NCD)では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。

サイバーセキュリティフレームワーク(NIST)

国立標準技術研究所

サイバー評価フレームワーク(CAF)

国家サイバーセキュリティセンター

Edit Template

その他の記事を読む

鳥海晋氏が日本サイバーディフェンスのCOOに就任

NCDは、鳥海晋氏を最高執行責任者(COO)に任命し、日本発のサイバー防衛ソリューションを重要インフラ分野で拡大・展開していくための体制を強化しました。...

ソフトウェアが変える戦争のかたち

ソフトウェア技術の進化により、国家防衛の概念が変わりつつあります。日本や米国、そしてその同盟国が、ソフトウェア主導型戦争とサイバーセキュリティにおけるリーダーシップの変化にどのように対応しているのか、その戦略を探ります。...

UNC3944と企業のトップが認識しておくべき課題

UNC3944の攻撃手法は従来型のランサムウェアではありません。重要セクターは、持続的なアクセス、リアルタイムの業務妨害、IDを狙った攻撃への備えが求められています。...

ロバート・スチーブンソン氏 日本サイバーディフェンスのCROに就任

ロバート・スチーブンソン氏は、日本におけるサイバーセキュリティ、OT、エンタープライズ・テクノロジー分野で培った数十年の経験を生かし、最高収益責任者(CRO)として日本サイバーディフェンスに参画しました。...

RansomHubの崩壊とランサムウェアのカルテル型モデルへの移行:サイバーリーダーが知っておくべきこと

RansomHubの崩壊は、ランサムウェアのカルテルモデルへの移行を示唆している。NCDの名和利男氏(CTO)が、日本のサイバーリーダーが重要分野を守るために知っておくべきことを解説します。...

ジョン・ムーア氏、日本サイバーディフェンスのCFOに就任

NCDは、ジョン・ムーア氏をCFOに迎えました。20年以上にわたり日本やアジア太平洋地域(APAC)を含むグローバル市場を牽引してきたムーア氏が、今後はNCDの財務戦略を指導し、「日本の安全保障におけるサイバーセキュリティ強化」というミッションを推進していきます。...

日本の重要インフラを脅かす中国系APT

Salt、Volt、Silk Typhoonなど中国系APTが日本の重要インフラを標的に。脅威の実態と防御戦略を詳しく解説。...

未来のサイバーセキュリティを担う女性たちの育成

NCDが北アイルランドの首府ベルファストで開催されたEmpower Girlsに出展。全国22校から約600人の女子学生にサイバーセキュリティの体験と職業意識を提供しました。...

NCDとNetcraft社が戦略的パートナーシップを締結

日本サイバーディフェンス(NCD)がNetcraft社と戦略的パートナーシップを締結。リアルタイムでのフィッシング検知とテイクダウンを実現。この企業連携が国内のサイバーセキュリティ強化にどう貢献するのかを紹介。...
Edit Template