ブロックチェーン調査員ZachXBTは16日、1月10日午後11時（UTC）頃にハードウェアウォレットから2億8,200万ドル（約445億円）相当の暗号資産（仮想通貨）が盗まれたと報告した。被害額はビットコイン1,459BTCとライトコイン205万LTCで、2026年最大の個人暗号資産盗難事件となる。

ソーシャルエンジニアリングで盗難

攻撃者はソーシャルエンジニアリング手法を使用し、被害者からハードウェアウォレットへのアクセスを獲得した。ソーシャルエンジニアリングとは、技術的な脆弱性を突くのではなく、人間の心理的な弱点を悪用する攻撃手法だ。具体的には、サポート担当者や知人を装って信頼を得たり、緊急性を煽って冷静な判断を妨げたりすることで、秘密鍵やリカバリーフレーズなどの機密情報を引き出す。

ハードウェアウォレットは物理的なセキュリティが高いとされるが、心理的な操作によって秘密鍵やリカバリーフレーズが漏洩するケースが増加している。技術的には安全でも、人的要因がセキュリティの最大の弱点となる。

盗難直後、攻撃者は盗んだ資産を複数のインスタント交換所を通じてモネロへ換金し、XMR価格XMRの急上昇を引き起こした。さらにソーチェーンを利用してビットコインをイーサリアムやリップル、ライトコインへブリッジし、複数のブロックチェーンネットワークを経由して資金の追跡を困難化させた。

今回の盗難額は、2024年8月に発生した2億4,300万ドルのソーシャルエンジニアリング攻撃を上回る。2024年8月の事件では、攻撃者がグーグルやジェミニのサポート担当者を装い、被害者に二要素認証のリセットとエニーデスク経由の画面共有を促し、ビットコインコアから秘密鍵を盗み出した。

ZachXBTの調査により、2024年8月の事件では複数の逮捕者が出た。攻撃者のBoxとGreavysはマイアミとロサンゼルスで逮捕され、Wizは米国保安官に逮捕された。最終的に12名が2億4,300万ドル盗難事件で起訴され、Danny Zulfiqar Khanがドバイで逮捕された。

暗号資産業界では、ソーシャルエンジニアリング攻撃が主要な脅威となっている。詐欺師は大手プラットフォームのカスタマーサポート担当者を装い、被害者をパニック状態に追い込んで迅速な判断を強いる手法を多用する。

メタマスクのセキュリティ研究者テイラー・モナハン氏は、北朝鮮のハッカーが偽のズームやチームス・ミーティングを使用した新たなソーシャルエンジニアリング戦術を警告している。「DPRK（北朝鮮）の脅威主体は、過去の会話履歴を持って全員にメッセージを送っている」と述べ、注意を呼びかけた。