概要
北朝鮮のサイバー犯罪グループが、偽のビデオ会議を用いた巧妙なソーシャルエンジニアリング攻撃により、3億ドル以上の暗号通貨を窃取した。MetaMaskのセキュリティ研究者、テイラー・モナハン氏(通称Tayvano)が詳細を警告しており、この手口は暗号通貨業界の関係者を標的とした、信頼関係を悪用する「長期的詐欺(long-con)」である。
背景
北朝鮮(朝鮮民主主義人民共和国:DPRK)関連の脅威行為者は、暗号通貨セクターを標的にした攻撃を継続しており、過去1年間で推定20億ドルを窃取している。今回の「偽会議」攻撃は、その一環として確認された新たな戦術的転換である。近年のAIディープフェイクを利用した攻撃とは異なり、より直接的な手法を採用している。
テクニカル詳細
攻撃は、まずベンチャーキャピタリストやカンファレンスで知り合った人物など、信頼できる関係者のTelegramアカウントが乗っ取られることから始まる。攻撃者は過去のチャット履歴を悪用して正当性を装い、偽装されたCalendlyリンクを通じて被害者をZoomまたはMicrosoft Teamsのビデオ会議に誘導する。会議が始まると、被害者は接触相手のライブ映像のように見えるものを見せられるが、実際にはポッドキャストや公開イベントの録画映像をループ再生したものが使用される。その後、攻撃者は偽造した技術的問題(音声や映像の不具合)を口実に、接続を回復するためとして特定のスクリプトやソフトウェア開発キット(SDK)の更新をダウンロードするよう被害者に強く促す。この時提供されるファイルに悪意のあるペイロードが含まれており、インストールされるとリモートアクセス型トロイの木馬(RAT)などのマルウェアが実行される。このマルウェアは、暗号通貨ウォレットの資金を抜き取るだけでなく、内部セキュリティプロトコルやTelegramのセッショントークンなどの機密データを窃取し、次の被害者を標的とするために悪用される。
マーケット動向
今回の「偽会議」手法による窃取額は、すでに3億ドル(約300億円)に上る。これは、北朝鮮関連攻撃者が過去1年間に暗号セクターから窃取した推定総額20億ドル(約2000億円)の一部を構成する。具体的な被害事例として、暗号取引所Bybitへの侵害も言及されている。
影響と展望
モナハン氏は、この攻撃手法が「職業上の礼儀」を武器化している点を指摘している。ハッカーは「ビジネス会議」という心理的圧力を利用して判断力を鈍らせ、日常的なトラブルシューティングの要求を致命的なセキュリティ侵害へと変容させている。業界関係者にとって、通話中にソフトウェアをダウンロードするよう要求されることは、もはや能動的な攻撃の兆候と見なすべき状況だ。この手口は、乗っ取ったTelegramアカウントを使って被害者の知人ネットワーク全体を攻撃する連鎖(サイクル)を生み出しており、警戒の徹底が求められる。
まとめ
北朝鮮関連のサイバー犯罪グループは、偽のビデオ会議という新たなソーシャルエンジニアリング手法を用いて、暗号通貨業界の関係者を標的にし、巨額の資金を窃取し続けている。攻撃は信頼関係の悪用と心理的圧力を基盤としており、ビデオ通話中における不審なソフトウェアダウンロード要求には極めて高い警戒が必要である。