北朝鮮のハッカー集団「ラザルス」が世界中で暗躍し、暗号資産を強奪、窃盗している事実について前編で解説しました。後半ではその手口や有効な対策について解説します。
「ラザルス」って何？今暗号資産に何が起きているの？という方は、まず前編からお読みいただくと理解しやすいと思います。

手口は意外に原始的？

ハッキングはハイテク犯罪の一種なので手口もハイテク化していると思われがちですが、実は意外に原始的な手口が今も横行しています。
その代表的なものが、ソーシャルエンジニアリングです。ソーシャルエンジニアリングとは標的となっている人が持っているIDやパスワードといった情報を、さまざまな方法で聞きだす手口です。「セキュリティ確保のためにIDとパスワードを入力してください」というWebページに誘導したり、電話で聞きだしたり、直接本人から聞き出したりと方法はさまざまですが、共通しているのは人間の隙を狙っている点です。
ビジネス用SNSであるLinkedInやメッセージアプリのWhatsAppなどが悪用されていることはよく知られていますが、暗号資産の窃盗行為でも同様です。

サイドチェーン自体が標的になることも

暗号資産はブロックチェーンと呼ばれる世界的な分散型ネットワーク上に台帳を記録することで通貨としての機能を保っています。このブロックチェーンはとても堅牢な仕組みなので、ブロックチェーンに対する改ざんなどで暗号資産を盗み出すことは困難です。
そこでハッカー集団は、サイドチェーンといってブロックチェーンだけに負荷が集中しないように設けられる小型ブロックチェーンのようなものを設置し、そこで暗号資産を盗み出す手口を編み出しました。実際にアメリカでゲーム提供企業のサイドチェーンから700億円相当以上の暗号資産が盗み出されたことがありました。
新しいNFTゲームを立ち上げてそこに集まった資金を運営側が根こそぎ持ち逃げするラグプルという手口も、プロジェクトそのものを悪用した手口といえます。

個人ができるハッキング対策

こうした事情を踏まえて「ラザルス」などのハッカー集団から自分の大切な暗号資産を守るには、やはり個人のセキュリティ意識向上が欠かせません。
心当たりのない人物やサービスから暗号資産を管理しているIDやパスワード、公開鍵などを尋ねられても安易に答えてはいけません。本当に必要な処理であっても暗号資産の情報を明かさなければサービスの提供が遅れるだけです。盗み出されるリスクを考えると用心しすぎるほどでもちょうどいいのではないでしょうか。
また、サイドチェーンへの攻撃やラグプルなどの対策としては、運営主体がよく分からない暗号資産やプロジェクトに参加しないことです。
どちらも人間そのものがセキュリティ意識を高めることで高い有効性を発揮できる対策なので、今この瞬間から意識をもつようにしましょう。