、ソーシャルエンジニアリング攻撃で仮想通貨ウォレットが標的に
投資家は、仮想通貨を取引するためにある程度の技術的知識を持っている必要があるが、最近は知識に乏しい個人投資家も急増しており、米国政府は、北朝鮮に拠点を置くハッカーは、これらの仮想通貨アプリの従業員をだます標的型サイバー攻撃を採用していることから、投資家に向けて警告している事が分かった。
仮想通貨投資家にとっての最新リスクは、ソーシャルエンジニアリング攻撃として知られているものから生ることが多く、ハッカーが同攻撃を使用すると、組織の従業員をだまして、ハッカーに機密情報を提供したり、悪意のあるソフトウェアをダウンロードさせたりしようとする。北朝鮮のハッカーによる最近の攻撃の場合これに当てはまり、ソフトウェアが従業員のコンピューターにダウンロードされると、ユーザーの秘密鍵が明らかになり、ハッカーはこれを使用して不正なブロックチェーントランザクションを実行し、投資家の仮想通貨ウォレットを使い果たす可能性があるとのことだ。
米国政府機関が仮想通貨アプリに対して警告
2022年4月18日(月曜日)、FBI(Federal Bureau of Investigation=米国連邦捜査局)、CISA(サイバーセキュリティ・インフラストラクチャー・セキュリティ庁)、およびUSDT(United States Department of the Treasury=米国財務省)は、北朝鮮サイバー組織のLazarusグループ、APT38、BlueNoroff、StardustChollimaに対する共同声明を発表した。
共同声明によると、2022年4月の時点で、北朝鮮のLazarus Groupは、仮想通貨を盗むためにスピアフィッシングキャンペーンとマルウェアを使用し、ブロックチェーンおよび仮想通貨業界のさまざまな企業や取引所を標的にしている。これらのアクターは、仮想通貨テクノロジー企業、ゲーム会社、および取引所の脆弱性を悪用し、北朝鮮の体制をサポートするための資金を生成およびロンダリング(資金洗浄)し続ける可能性があると警告している。
共同声明の中で、FBI、CISA、および財務省は、これらの仮想通貨取引アプリを開発および販売する企業が攻撃のリスクを軽減するために取ることができる取り組みの長いリストも提供している。最近の仮想通貨ハッキングのハッカーが北朝鮮に拠点を置いていることを考えると、攻撃の犠牲になった投資家がハッカー自身または仮想通貨取引アプリのいずれかに対して法的手段を持っているかどうかについての疑問が生じている。米国の現行法の下、仮想通貨取引アプリを作成する企業は、企業の怠慢に起因する投資家の損失に対して責任を問われる可能性がある。
企業が仮想通貨のハッキングに至るまで過失であったかどうかを判断することは、事実集約的な調査だが、従業員が悪意のあるソフトウェアのダウンロードに騙されたという事実は、会社が過失であったという証拠の可能性がある。仮想通貨ハッキングはサードパーティのハッカーによって実行されるが、投資家データ(秘密鍵を含む)を維持する企業は投資家に法的義務を負っている。この法的義務の一部として、会社は投資家の機密情報を保護するために必要な措置を講じる必要がある。