リップル社は4日、北朝鮮関連の脅威インテリジェンスをクリプト情報共有・分析センター(Crypto ISAC)を通じて暗号資産(仮想通貨)業界に提供開始すると発表した。リップル社が社内で蓄積・AI分析した高精度データを初めて外部共有し、特に雇用・委託先審査での人的リスク検知を目的とした実用的な内容が特徴となっている。
Crypto ISACは、仮想通貨業界におけるサイバー脅威の情報共有・分析を目的に設立された非営利団体。デジタル資産を標的としたサイバー攻撃への対処をサポートする。主要メンバーには、リップル社をはじめ、コインベースやコンセンシス、サークル、クラーケンなどの仮想通貨企業が名を連ねている。
リップル社が提供するデータセットには、以下の情報が含まれる。
Crypto ISACによると、今回提供されるデータは従来の脅威情報とは異なり、攻撃者の特定・追跡を容易にする「文脈豊富な情報」が特徴だという。プロフィールには、氏名、LinkedInプロフィール、メールアドレス、所在地、電話番号、特定キャンペーンとの関連シグナルなどが含まれている。
Crypto ISACのジャスティン・ボーン事務局長は、「情報共有はもはやオプションではなくセキュリティの基盤であり、リップル社の取り組みは共有データを実践的な防御戦略に転換できることを示した」と高く評価している。
この情報共有強化の直接的契機となったのが、4月初めに発生したドリフトプロトコル(Drift Protocol)の大規模ハッキング事件だ。被害額は約2億8,500万ドル(約440億円相当)に上り、TRM LabsやEllipticの調査報告で北朝鮮系ハッカー集団「UNC4736」の関与が強く疑われている。
この事件は、従来のスマートコントラクトなどへの技術的攻撃から、長期的なソーシャルエンジニアリングによる「内部浸透型」へと戦術が変化したことを示す象徴的事例として、仮想通貨業界に強い警鐘を鳴らした。
ドリフトプロトコルの調査報告によると、この事件は半年以上かけて綿密に構築された「組織的な潜入工作」だった。攻撃者は、数ヶ月にわたるやりとりを通じて信頼関係を築いた後、悪意あるリンクやマルウェアを用いて関係者の端末を侵害し、マルチシグウォレットへのアクセスを得て巨額の資金を流出させた。
Crypto ISACは、仮想通貨企業だけでなく一般金融機関においても、北朝鮮系工作員による「内部からの攻撃」が増加していると指摘。これまでとは次元の異なるソーシャルエンジニアリング攻撃であり、セキュリティチームは「内部の信頼できるパートナーに見える人物を、どうやって見抜くのか」という深刻な課題に直面していると、同団体は警告している。
リップル社はX上で、「仮想通貨における最も強力なセキュリティ体制は、共有にある」と強調した上で、「ある企業で身元調査に弾かれた攻撃者は、同じ週に別の3社に応募するだろう。情報共有がなければ、すべての企業がゼロからスタートせざるを得ない。」と指摘した。
こうした課題に対処するため、Crypto ISACはメンバー企業が脅威アクターを検知した際に詳細情報を即座に全メンバーで共有できる仕組みを提供している。それが今回新たに開発されたAPIである。
Crypto ISACは、「文脈が豊富で信頼性の高い仮想通貨データ」を表現するために、特別に設計された新たなAPIを開発したと発表した。このAPIは、Web2・Web3の脅威情報を統合し、各企業のセキュリティ運用に直接組み込める形で提供されている。
リップル社やコインベースなどはすでにこのAPIの活用を開始しているという。
コインベースの最高セキュリティ責任者であるジェフ・ラングルホーファー氏は、「最大の課題は生のシグナルと実際の意思決定のギャップだった。新APIにより、文脈・信頼度を含むデータモデルが確立され、Web2・Web3両環境でのリアルタイム対応が可能になった」と評価している。
Crypto ISACは、仮想通貨業界は北朝鮮による新たな攻撃をすべて予測することはできないが、業界全体での集団防衛をセキュリティの新たな基準とすることで対抗すべきだと強調。「共有されるすべての詳細プロフィール、DPRK関連ウォレットの報告、ブランド偽装ドメインの情報は、単独企業では構築できない集団防衛の構成要素となる。」と指摘し、以下のように結んだ。
