リップルは、北朝鮮(朝鮮民主主義人民共和国)のサイバー攻撃者に関する独自の脅威インテリジェンスを、暗号資産企業間のセキュリティ情報の共有とデジタル資産を標的とするサイバー脅威からの防御を支援する非営利組織「Crypto ISAC」に提供開始した。
このインテリジェンスには、北朝鮮による現在進行中のハッキングキャンペーンから把握したドメイン、ウォレット、コンプロマイズ(被害発生)の指標が含まれる。さらに、暗号資産企業への潜入を試みる北朝鮮のIT技術者とされる人物の詳細なプロファイルも含まれる。
Driftハッキング事件、業界に警鐘
Driftのハッキング事件は、業界にとって目覚めの契機となった。攻撃者は数か月をかけてDriftの開発者との信頼関係を築き、その後、端末を侵害し従来の被害指標を回避するマルウェアを投入した。
侵入者は個人を巧妙に操り、マルチシグウォレットの支配権を握り、資金を盗み取った。
同様の手法は暗号資産企業だけでなく、従来型の金融機関でも確認されている。北朝鮮の脅威組織は、スマートコントラクトの脆弱性を突くのではなく、組織内部から攻撃を行う。
Crypto ISACはこの攻撃手法を“新次元のソーシャルエンジニアリング”と評価する。記事は、信頼できると見なされる人物の正体をどう見抜くかという根本的な課題を指摘した。
DPRK脅威インテリジェンスフィードの中身
提供されるデータは、不正ドメインやウォレット、北朝鮮の現行オペレーションによる被害発生の各種指標まで多岐にわたる。
北朝鮮関与が疑われるIT技術者のプロファイルには、LinkedInアカウントやメールアドレス、所在地、連絡先番号が記載される。さらに、その人物が大規模作戦と関係するシグナルも捕捉している。
リップル、コインベースなどの創設メンバーは、Crypto ISACの新APIを通じてデータを統合する。Web2とWeb3環境全体で指標を標準化し、加盟企業のセキュリティ運用に直接反映する仕組みとなる。
「情報共有は長らく“任意”とみなされてきたが、今やセキュリティのゴールドスタンダードである」と、Crypto ISACのジャスティン・ボーン事務局長は話す。
なぜ“集団防衛”が重要なのか
脅威者が一社の審査に落ちても、同じ週に3社へ応募しているケースが多いという。Crypto ISACは、情報共有がなければ、ラザルス型戦術に直面するたびに各企業がゼロから対応する事態を招くと警告する。
コインベースのジェフ・ラングルーハファー最高情報セキュリティ責任者は、今回のデータモデルは単なる生データでなく、文脈や信頼度も維持すると強調した。
今後、このモデルはさらに多くの加盟企業へと拡張される予定。過去のクラーケン侵入未遂のような事件を上回る実効性があるかは、今後の普及次第となる。
リップルによる今回の情報提供は、同社のセキュリティ強化施策の一環。今回の動きは、暗号資産業界全体で防衛を共有する流れにつながる可能性。今後数か月で、他の主要取引所やプロトコルの動向が注目される。
