580億円の仮想通貨流出は標的型攻撃だった

仮想通貨交換業者コインチェックから約580億円相当の仮想通貨NEMが流出した１年前の事件はハッカーによる標的型攻撃によるものだったことが明らかになった（朝日新聞2019-1-26）。ハッカーは実行の半年前からコインチェックの社員とメールや電話でやり取りして信頼関係を築いたうえでウイルスを含む添付ファイルを送り付けたという。

発端は２０１７年７月。２か月前にNEMのお披露目の場となったアメリカでの仮想通貨イベントの参加者を名乗る人からコインチェックの複数の社員に英文のメールが届き、その後仮想通貨の技術などに関して頻繁にメールをやりとりするようになった。電話で直接話すことさえあったという（すべて英語）。そして２０１８年１月に「このソフトを使ってみてほしい」としてダウンロード先のリンクが送られてきたのだが、そこにウイルスが仕込まれていた。盗み取られた情報にNEM管理口座を自由に操作できる「管理鍵」が含まれていたので、これでNEMが奪われたという。

まさに「私が心配している標的型攻撃メール」で危惧していたことだ。不特定多数向けのメールなら怪しいと判断できるが、何度かやり取りした相手からその延長上でメールが届いたりすると警戒心も低くなる。防ぐにはどうすればいいだろうか。

やはりメールや電話で連絡したことのある相手であっても、身元がわかっていない人からの添付ファイルを開くことには慎重になるという当たり前のことしか言えない。「すみませんが社内規則で公式な取引先以外からの添付ファイルは開けないことになっています」のように返すのが無難だろう。相手が新規取引をちらつかせたりすると断りにくいこともあるだろうが、だとしてもソフトを実行するのはもっと慎重になるべきだった。どうしても必要ならオフラインにしたパソコンにデータをコピーして試してみる、という手もあるかもしれないが、一見して感染がわからないウイルスもあるので、あまり有効ではないかもしれない。（たとえばasahi.comにあるように、中国のハッカー集団によるウイルスは経団連の職員のパソコンに２年間潜伏して感染を広げながら潜伏していた。）

追記：朝日新聞2021-1-23によれば、ハッカーはコインチェックが提携していた海外の大学の関係者を装い、特定の社員に「あなたの暗号資産の記事を学術誌に掲載したい」とメールしてやり取りを続けた後、メールに添付したマルウェアをダウンロードさせたという。この件では、NEMを盗んだハッカーはみつかっていないが、ダークウェブで盗まれた計約１８８億円分のコインを別の暗号資産と交換したとして、６人が逮捕され、２５人が書類送検されたという。