Nihon Cyber Defence

リーダーシップとサイバーレジリエンス(耐性)| Vol.II

北朝鮮系ハッカーラザルスによるBybitへのハッキング: サプライチェーン攻撃の手口と教訓

Bybit Hack 2025 - $1.4 Billion Stolen by Lazarus Group

史上最大の暗号資産窃取Bybit:北朝鮮ハッカー集団「ラザルス」、Bybitから約14億ドル窃取

2025年2月21日、北朝鮮の国家支援型ハッカー集団「ラザルス(Lazarus)」が、ドバイに拠点を置く世界第2位の暗号資産取引所「バイビット(Bybit)」から、約14億ドル(約2,185億円)相当の暗号資産を窃取しました。この事件は、暗号資産史上最大かつ最も複雑なハッキング事件となりました。

ホットウォレットからコールドウォレットへ:暗号資産取引所に迫る新たな脅威

Bybit事件にラザルスが関与していたことに驚きはありませんでした。2017年以降、ラザルスをはじめとする北朝鮮関連グループによる暗号資産の窃取額は60億ドル以上に達しており、2024年に盗まれた暗号資産2.2億ドルのうち61%が、北朝鮮関連グループによるものであるとされています。

2025年1月、ラザルスはシンガポールを拠点とする中央集権型取引所(CEX)であるフェメックス(Phemex)から、約7300万ドル相当の暗号資産を盗んだとみられています。北朝鮮のハッカーは、イーサリアム(ETH)、ソラナ(Solana)、リップル(Ripple)、ビットコイン(Bitcoin)を含む複数の暗号資産にアクセスし、フェメックスのホットウォレットから盗み出しました。

ホットウォレットは取引をスムーズに行えるよう常にインターネットに接続されているため、秘密鍵(プライベートキー)を不正に使用すれば、保管されている暗号資産を別のウォレットへ移すことができます。

Bybitコールドウォレットへハッキング:サプライチェーン攻撃の手口

Bybitは、今回の不正アクセスに至った経緯について、透明性を持って積極的に説明しています。

調査の結果、ラザルスはBybitのマルチシグウォレットプロバイダーであるSafe{Wallet}の開発者を標的にし、不正アクセスを行ったことが判明しました。ハッカーはSafe{Wallet}のドメインに悪意のあるコードを仕込み、特にBybitのマルチシグ認証プロセスを狙っていました。その結果、攻撃者はコールドウォレットからホットウォレットへのETH送金を承認するためのスマートコントラクトの仕組みを密かに改ざんすることに成功したのです。

「この攻撃は非常に巧妙な手口で、署名画面では正しいアドレスを表示しつつ、裏でスマートコントラクトの処理を改ざんしていました。その結果、攻撃者はETHのコールドウォレットを乗っ取り、保管されていた資産を不明なアドレスへ送金することができたのです。」

攻撃者は署名の仕組みを操作し、資金を自分たちのアカウントへ送金しながら、取引を監視している関係者には正規のアドレスが表示されるように偽装していました。

ByBit事件から見えるラザルスの攻撃手法

今回の事件により、ラザルスの攻撃手法の進化が改めて浮き彫りになりました。ラザラスは、独自のマルウェア開発能力を駆使し、長期にわたって潜伏することで検知を回避するという巧妙な手口を得意としています。最近では、取引所そのものだけでなく、ウォレットインフラ、クラウドプラットフォーム、開発環境など、暗号資産のサプライチェーンに関わる信頼されたプロバイダーも標的にしています。これらの第三者を侵害することで、単一の脆弱性から複数の被害者へアクセスできるようになります。

今回の件では、攻撃者は同社の内部手続きを徹底的に分析し、ウォレット間の資金移動を承認するマルチシグ取引に関わる全員を特定し、標的にしました。さらに、追跡を逃れるため、盗んだイーサリアムは50以上の異なるウォレットを経由し、CEXやDEXを通じて短時間で移動されました。

Bybitハッキングからの学ぶ暗号資産取引所と金融機関への教訓

Bybitと、そのコールドウォレットプロバイダーであるSafe{Wallet}は、今回の不正アクセスについてまだ解明すべき点が多く、今後さらに詳しい情報が明らかになるでしょう。暗号資産関連企業や金融業界の関係者は、この攻撃から得られた教訓を迅速に活かし、対策を強化する必要があります。

日本サイバーディフェンス(NCD)では、北朝鮮を含む国家支援型攻撃グループの手法を長年追跡してきました。企業が効果的な防御体制を構築するためには、次の3つの前提を考慮する必要があると考えます:

攻撃の広がり

ラザルスをはじめとする北朝鮮系ハッカーグループは、暗号資産業界全体について詳細な知識を持ち、サプライチェーン全体の侵害に膨大なリソースを投じています。システムやプロセスのわずかな脆弱性でも狙われる可能性があり、早急な対策が不可欠です。業界内での情報共有と連携強化が攻撃への耐性を高める鍵となります。

攻撃の深さ

ラザルスは、次の標的企業のネットワークにすでに潜入し、密かにアクセス権を確保している可能性があります。防御側はその前提で対策を講じる必要があり、ネットワークのセグメント化や高度な検知機能の導入が不可欠です。また、セキュリティオペレーションセンター(SOC)においては、NCDが提唱する「調査的アプローチ」を採用すべきです。疑わしい活動が一時的に止まったとしても、それは攻撃者が動きを止めたに過ぎず、脅威がなくなったわけではありません。

セキュリティチームの保護

ラザルスにとって、セキュリティチームを標的にすることは最優先事項の一つです。内部の防御を崩すことで、リスクを抑えながら自由に活動できるためです。セキュリティチームには特別な保護策を講じることが不可欠です。

サプライチェーンセキュリティと開発者教育の重要性:暗号資産を守る

企業はサプライチェーン全体のセキュリティ評価を徹底し、特にウォレットや署名プラットフォームのプロバイダーを含む外部ベンダーやサービスプロバイダーが、強固なセキュリティ対策を実施・維持しているかを確認する必要があります。また、これらの重要なシステムを開発するエンジニアには、より高度なセキュリティ意識を持たせるためのトレーニングを強化すべきです。国家レベルの攻撃者は、暗号資産エコシステム全体への侵入経路を確保するため、開発者を標的にするケースが増えています。

日本サイバーディフェンスからのご提案

日本サイバーディフェンス株式会社(NCD)は、国家支援型攻撃グループの監視・追跡をし、企業の防御支援を専門としています。ByBit事件を踏まえ、貴社のサイバー防衛力を強化するための具体的な対策をご提案いたします。ぜひお気軽にご相談ください。

John-Noble (1)

ジョン・ノーブル

日本サイバーディフェンス 非常勤役員 シニアエグゼクティブアドバイザー

ジョン・ノーブル

日本サイバーディフェンス 非常勤役員 シニアエグゼクティブアドバイザー
英国政府で40年の経験を持ち、NCSCの設立に寄与。現在はサイバーセキュリティと戦略的変革に関して世界中の組織に助言している。
Edit Template

サイバー成熟度評価 ​

日本サイバーディフェンス株式会社(NCD)では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。

サイバーセキュリティフレームワーク(NIST)

国立標準技術研究所

サイバー評価フレームワーク(CAF)

国家サイバーセキュリティセンター

Edit Template

その他の記事を読む

英国のCyberFirstプログラムに学ぶ:サイバーセキュリティ人材育成の成功モデル

官民連携でサイバー人材を育成。企業パートナーシップを活用し、実践的教育と雇用機会を拡大し、日本のセキュリティ体制を強化。...

サイバーセキュリティ人材不足への対応——未来を創る教育戦略と革新

日本のサイバーセキュリティ人材不足解決へ。教育改革、RISS認定、高専・大学の拡充、官民連携の取り組みを解説し、未来の育成策を探る...

AI主導の戦争の台頭

人工知能(AI)の進化により、現代における戦争のあり方は変わりつつあります。自律型ドローン攻撃やAI駆動のサイバー攻撃が重要インフラを標的としている中、国家や企業はどのように対抗すべきか?詳しく学びましょう。...

リーダーシップとサイバーレジリエンス(耐性)| Vol.II

2025年2月、北朝鮮ハッカー集団LazarusがBybitから14億ドルの仮想通貨を窃取。コールドウォレットへの攻撃手口と今後の対策を解説。...

拡大する日本のサイバーセキュリティ人材不足とその影響

日本のサイバーセキュリティ人材不足は11万人超。課題と影響、解決策を探り、企業や政府が直面するリスクと対応策を解説します。...

能動的サイバー防御への備え

日本の能動的サイバー防御(ACD)政策が、重要インフラ事業者に新たな報告義務を課し、サイバーセキュリティを変革。市田章(元海上自衛隊海将補)が、その影響と企業が取るべき対策を解説。...

日本サイバーディフェンスとファイブキャスト、 日本のサイバー脅威インテリジェンス強化にむけた協業を発表

ファイブキャストと日本サイバーディフェンスが、日本のサイバー脅威インテリジェンス強化のため戦略的提携を発表。AI駆動のOSINTと専門的知見を融合し、サイバー犯罪・偽情報対策を強化。...

サイバーインシデントへの適切な対応方法

適切なサイバーインシデント対応がなければ、被害は拡大します。迅速な意思決定とプロアクティブな対応フレームワークの構築を、ジェイミー・サンダース博士が解説。...

日本の重要インフラを守る

日本のエネルギー・食料安全保障を守るため、重要インフラのOTシステムのサイバーセキュリティ対策が急務です。サプライチェーンの脆弱性と防御戦略を、青木弘道氏が徹底解説...
Edit Template