Solanaベースの分散型取引プラットフォーム「Drift Protocol」が2026年4月1日に受けた約2億8,000万ドル(日本円換算で約400億円超)の暗号資産窃盗事件の調査が進み、その全貌が明らかになってきた。単なるゼロデイ攻撃ではなく、半年以上にわたる周到な人間工作(ヒューマン・オペレーション)が組み合わさった、現代のサイバー攻撃の新しい教科書とも言える事案だ。
「量的取引会社」を装った6ヶ月の潜伏工作
攻撃者グループは、正規のクオンツ(量的取引)企業として偽装し、複数の国際的な暗号資産カンファレンスでDriftのコントリビューターと対面接触を繰り返した。ブロックチェーン情報企業のEllipticおよびTRM Labsの調査により、北朝鮮系のサイバー攻撃グループ「UNC4736」(AppleJeus、Labyrinth Chollimaとも呼ばれる)の関与が中高度の信頼性で示されている。
注目すべきは、カンファレンス会場で直接接触してきた人物は「非韓国系」の仲介者だったとDriftが明記している点だ。多国籍の中間者を使い、帰属追跡を困難にする手法は、同グループの典型的な手口と合致する。
対面接触後は、TelegramグループでDriftの技術仕様や取引戦略について継続的にコミュニケーションを取り、「普通のオンボーディング交渉」を演じ続けた。犯行直後にそのTelegramグループは削除されている。
開発者ツールチェーンを標的にした2つの攻撃ベクター
Drift Protocolが現在調査中とする侵入経路のうち、技術的に見てとりわけ重要なのが次の2点だ。
1. 悪意あるコードリポジトリ(VSCode/Cursor脆弱性の悪用)
攻撃者はコントリビューターにコードリポジトリを共有し、VSCodeまたはCursorの脆弱性を利用してサイレント(無音)コード実行を行った可能性がある。AIコーディング支援ツールとして急速に普及したCursorが攻撃ベクターとして名指しされている点は、開発者にとって看過できない警告だ。
2. 偽TestFlightアプリ(ウォレット製品と称したiOSアプリ)
AppleのTestFlightは開発者向けのベータテストプラットフォームであり、通常のApp Storeレビューを経ない。攻撃者はこれを活用し、悪意あるiOSアプリをウォレット製品として提示した。TestFlightを経由した攻撃は以前から報告されており、特に暗号資産関連コミュニティで有効な手法となっている。
SecurityCouncilの管理権限ハイジャックと12分での資産流出
侵入後、攻撃者はDriftのSecurity Council(セキュリティ評議会)の管理者権限を乗っ取り、わずか12分でユーザー資産を引き出した。現在、全機能が凍結され、侵害されたウォレットはマルチシグプロセスから除外されている。取引所やブリッジオペレーターに対して攻撃者のウォレットアドレスが共有され、資金移動の阻止が試みられている。
UNC4736は2023年の3CXサプライチェーン攻撃、2024年のRadiant暗号資産5,000万ドル窃盗、Chromeゼロデイ悪用事案など多数の大規模攻撃に関与しており、MandiantはLazarusグループとの関連性も指摘している。
実務への影響:日本のエンジニア・IT管理者が明日から取るべきアクション
この事案は暗号資産業界だけの問題ではない。開発ツールチェーンと信頼関係を武器化した攻撃は、あらゆるソフトウェア開発組織に刺さる教訓を持っている。
開発環境のセキュリティ見直し
- VSCode/CursorなどのIDEに対する拡張機能・スクリプトの自動実行を制限する
- 外部から共有されたリポジトリをサンドボックス環境で開く運用ルールを策定する
.vscode/settings.jsonやlaunch.jsonのtasks設定を必ずレビューする習慣をつける
TestFlight・ベータ配布経由のアプリへの警戒
- 社内外から「試してみて」と共有されるテストアプリは、必ず出所確認を行う
- 特に秘密鍵やシード情報を扱うウォレット系ツールは、公式ストア以外からの取得を原則禁止にする
コントリビューター・管理者の権限管理
- 常時付与された特権アカウントをなくし、Just-In-Time(JIT)アクセスモデルに移行する
- 多要素認証はもちろん、Security Councilのような重要権限グループはマルチシグ構成で守る
- Telegramなどの非公式チャネルで技術的に機微な情報を共有しない運用ルールを徹底する
カンファレンス参加時の意識
- 名刺を渡してきた相手がすぐにコラボ提案や「コード見せて」という流れになる場合は一度立ち止まる
- 特定のロールを持つ開発者は、所属・担当範囲の公開情報を最小化することも選択肢に入れてよい
筆者の見解
今回の事案が示しているのは、ゼロデイ脆弱性よりも「人の信頼」を攻撃するコストが下がっているという現実だ。6ヶ月間、複数カ国でカンファレンスに出没し、専門知識を持った人物が技術的に自然な会話を続けて侵入口を作った。このレベルの持続的な工作は、テクニカルなセキュリティ対策だけでは防ぎきれない。
特に気になるのが、VSCode/Cursorが攻撃ベクターとして挙げられていること。AIコーディングツールとして急速に普及しているエディタ環境が標的になるという構造は、開発者コミュニティ全体に対する警告だ。便利なツールが普及すれば、当然そこを狙う攻撃者も出てくる。ツールの採用と同時にそのリスクプロファイルを理解し、組織として何らかの緩和策を持つことが求められる。
日本の大手エンタープライズ環境で「外部との接触はすべて禁止」という方向に走りたくなる気持ちはわかる。だが禁止アプローチは必ず失敗する。外部リポジトリを一切cloneできない環境では開発が止まるし、TestFlightの利用を一律禁止すれば業務に支障が出る。大事なのは「安全に使える仕組みを用意する」こと。開発者が公式・安全な方法を選べる環境を作り、それが一番便利に感じる状態にすることだ。
特権アカウントの常時付与をやめ、Just-In-Timeアクセスを徹底する。これは今回の事案に限らず、あらゆる組織に適用できる原則だ。今動いているから大丈夫、という判断が一番危ない。この事案もまた、そのことを証明している。
出典: この記事は Drift $280M crypto theft linked to 6-month in-person operation の内容をもとに、筆者の見解を加えて独自に執筆したものです。