韓国外交部が北朝鮮のハッキンググループを制裁対象とし、その暗号資産アドレスを特定

2023年6月1日、韓国外交部は、北朝鮮のハッキンググループKimsukyを経済制裁の対象とし、それに関連する2つの暗号資産アドレスを特定しました。外交部は大韓民国国家情報院及び警察庁、そして米国の連邦捜査局（Federal Bureau of Investigation: FBI）、国務省（Department of State）、国家安全保証局（National Security Agency: NSA）と連携し、北朝鮮のサイバー諜報活動に関連する勧告を共同で発表しました。 Kimsukyとは何か? Kimsukyは、少なくとも2012年から活動している北朝鮮のサイバー諜報部隊であり、北朝鮮政府のために、兵器や衛星の開発に関する技術や、外交政策の情報を盗んでいたことで知られています。Kimsukyのインテリジェンス収集の対象は、他国の政府（とりわけ韓国）や政治団体、学術団体です。また、Kimsukyは、民間に対しても詐欺や窃盗、クリプトジャッキングやセクストーションを行っており、これらは自身の資金調達のためとみられています。 Kimsukyの暗号資産アクティビティの分析 Kimsukyは、多くのケースで、トランザクションの追跡をしづらくするために暗号資産を利用しています。ProofpointのSenior Threat ResearcherであるGreg Lesnwich氏は、Kimsukyについて次のように述べています。「暗号資産を含むKimsukyのオペレーションは、北朝鮮の文化的教義である主体（チュチェ）思想、自立精神の反映とも言えるでしょう。Kimsukyは暗号資産をマイニングして生成した後それをロンダリングしたり、合法的なサービスを運営してビットコインやEthereumを稼いだり、不定期に暗号資産の業者に対して悪意のある攻撃を仕掛けたり、個人に対してセクストーションを行ったりしています。」同様に、MandiantのPrincipal AnlysisであるJoseph Dobson氏は、「Kimskyは、トークンフィッシングやクリプトジャッキング、ウォレットの窃取などを実行するための資金として、主に盗まれた暗号資産を使っている」と指摘します。 韓国外交部が制裁対象のリストに加えた2件の暗号資産アドレスは、bc1qmkh9s8qju9tkk2qckcz79we2084h2ckeqxylnqと、bc1qu9303km9mnq03hxehvtf2tzchvmkqnzyzm928dです。以下のChainalysis Reactorのグラフにて、それら2つのアドレスが主要取引所やマイニングプールと取引していたといった動きが確認できます。 外交部はKimsukyのウォレットが具体的にどのような悪事に使われていたかは明らかにしていませんが、ブロックチェーン上のアクティビティから若干のヒントが得られます。以下のスクリーンショットは　外交部によって識別されたKimsukyのアドレスの一つに関連する一連のトランザクションです。 継続的に発生している、同様の少額の暗号資産の受取は、Kimsukyのセクストーションや脅迫の被害者が払ったものかもしれません。このような手口では典型的に、脅迫メールを数千〜数万件の個人にばらまき、少額のビットコインを脅迫者のアドレスに送らなければ、性的な暴露画像や動画を公開すると脅迫します（ただし、実際にはどのような画像や動画は脅迫者は持っていないことが多い）。そのような脅迫メールの例が以下です。 出典: Proofpoint しかし、これらの資金の受取は詐欺による可能性もあります。セキュリティ分野のリサーチャーは、Kimsukyが慈善活動を装い、暗号資産による韓国のNGOへの寄付金だと騙すこともあったと指摘しています。 [...]

The post 韓国外交部が北朝鮮のハッキンググループを制裁対象とし、その暗号資産アドレスを特定 appeared first on Chainalysis.

agency chainalysis department department of state fbi federal federal bureau of investigation investigation national national security national security agency nsa proofpoint security state threat