12月26日にはDMM BitcoinもGinco(ギンコ)への原因説明を求めることを発表している
ずいぶん前のことだが、とあるセキュリティ会社の方から、ソーシャルエンジニアリングを仕掛けられたことがある。会話の中で「大谷さん、ネットでずいぶん話題になってましたね」と言われたのだ。当時は若かったし、記者という職業柄、悪いことを書かれていたのではないかと気になって仕方がない。特に私の場合、名前がかなり特徴的である。
その日は仕事にも手がつかず、自分の名前をひたすらエゴサしたわけだが、痕跡らしきものもなく、自分の記名記事が出てくるだけ。結局、当人に確かめたところ、「すいません、悪い冗談でした」とのこと。ホントに悪い冗談だと思いながら、人間とはこんなに脆弱なものなのだと痛感した。
482億円相当の暗号資産が流出したDMMビットコインの事件でサイバー攻撃グループが仕掛けたのは、こうした人の弱点を突くソーシャルエンジニアリング攻撃だ(関連記事:DMMビットコイン482億円流出、北朝鮮が背景 具体的な手口が判明)。昨年の3月、Linkedin経由でDMMビットコインが利用する暗号資産の基盤を運用するGincoの社員に接触し、リクルーターのふりをして悪意のあるスクリプトが埋め込まれたURLを送り込み、そこから流出させたという。なお、廃業に追い込まれたDMMビットコインは12月26日、暗号資産窃取の具体的な手口や被害を防止できなかった原因について、Gincoに説明を求めていく旨を発表している。
Gincoは事件後の昨年9月にセキュリティ認定規格としてグローバル標準となっているSOC2 TypeⅡを取得したことを発表している。同社は2022年には情報セキュリティマネジメントシステム(ISMS)認証を取得しているが、ここまでセキュリティに意識を向ける会社でも人は脆弱性になりうる。生成AIの利活用がますます現実的になる中、人という脆弱性をシステムでいかにカバーするかは、2025年以降の大きなテーマになると思う。
文:大谷イビサ
ASCII.jpのクラウド・IT担当で、TECH.ASCII.jpの編集長。「インターネットASCII」や「アスキーNT」「NETWORK magazine」などの編集を担当し、2011年から現職。「ITだってエンタテインメント」をキーワードに、楽しく、ユーザー目線に立った情報発信を心がけている。2017年からは「ASCII TeamLeaders」を立ち上げ、SaaSの活用と働き方の理想像を追い続けている。
