Bitrefillは2026年3月1日に発生したサイバー攻撃の詳細を公表し、攻撃者がホットウォレットから資金を引き出し、内部インフラの一部にアクセスしたことを明らかにしました。
同社は、調査の結果、ラザルスグループに関連する過去の操作と複数の類似点を特定したと述べたが、攻撃を明確に帰属させることは避けた。
この侵害は、Bitrefillがそのサプライヤーネットワークに関連する異常な購入パターンと、そのウォレットからの不正な振替を検出した後に判明しました。同社は直ちにシステムをオフラインにし、事態の拡大を防ぎました。
攻撃は、侵害された従業員のデバイスから始まりました
Bitrefillによると、この侵入は、従業員のラップトップが侵害され、レガシーな資格情報が抽出されたことが原因です。
その資格情報は、本番環境のシークレットを含むスナップショットへのアクセスを提供し、攻撃者が企業のインフラの一部で権限昇格を可能にしました。
そこから攻撃者は内部システム、データベースの一部、および特定の仮想通貨ウォレットにアクセスしました。これにより、資金の移動と運用の混乱が発生しました。
供給チャネルが悪用され、ホットウォレットが空にされた
Bitrefillは、攻撃者がギフトカード在庫システムと暗号通貨インフラの両方を悪用したと述べました。
不審な購入活動により、供給ラインが悪用されていることが判明し、同時にホットウォレットが空にされ、資金が攻撃者制御のアドレスに移動されました。
同社は失われた資金の合計額を公表していません。ただし、この侵害がeコマース事業とウォレット残高の両方に影響を与えたことを確認しました。
18,500件のレコードがアクセスされ、データの露出が制限されています
データベースのログによると、不正アクセス中に約18,500件の購入記録が参照されました。漏洩したデータには以下が含まれます:
- メールアドレス
- 暗号通貨支払いアドレス
- IPアドレスなどのメタデータ
約1,000件の購入において、顧客名が含まれていました。このデータは暗号化されていましたが、Bitrefillは攻撃者が暗号化キーにアクセスした可能性があり、情報が漏洩した可能性があるとしています。
このカテゴリの対象ユーザーにはすでに通知済みです。
同社は、完全なデータベースの抽出の証拠はなく、クエリは限定的かつ探索的であったと強調しました。
調査でラザルス関連のパターンが検出されました
Bitrefillは、マルウェア分析、オンチェーン追跡、IPアドレスやメールアドレスなどの再利用されたインフラを基にした調査により、ラザルスグループおよびその関連ユニットであるブルーノロフが使用する既知の手口との類似性を明らかにした。
帰属については依然として慎重ですが、手法とツールの重複から、この攻撃は過去の暗号資産企業を標的としたキャンペーンと一致している可能性があります。
システムは復旧し、運用が通常に戻りました
この事件後、Bitrefillは外部サイバーセキュリティ企業、オンチェーンアナリスト、および法執行機関と協力して、不正アクセスの収束と業務の復旧を図りました。支払いや製品の可用性を含むほとんどのサービスは、すでに通常に戻っています。
同社は、財務的に安定しており、運営資本から損失を吸収すると述べました。また、事後に対応した措置として以下を示しました:
- アクセス制御の強化
- 監視とログの拡張
- 追加のセキュリティ監査およびペネトレーションテスト
Bitrefillは、顧客データが主な標的ではなかったこと、および現在の調査結果に基づけば、ユーザーは疑わしい通信に対する注意を払い続けること以外に特別な対応を必要としないと述べました。
最終サマリー
- Bitrefillは、ホットウォレットが空にされ、限定的なユーザー情報が漏洩したサイバー攻撃を確認しました。調査の結果、この攻撃はLazarusグループの手法と類似していることが示唆されています。
- この出来事は、暗号資産インフラにおける継続的なセキュリティリスク、特に運用上の弱点を狙う洗練された国家関連の脅威アクターの存在を浮き彫りにしています。