Zoom攻撃の新手口：ELUSIVE COMETが仕掛ける巧妙なリモートコントロール詐欺で10万ドル盗難

2025年4月25日14:03

サイバーセキュリティニュース

Zoom攻撃の新手口：ELUSIVE COMETが仕掛ける巧妙なリモートコントロール詐欺で10万ドル盗難 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-25 14:03 by admin

サイバー犯罪グループ「ELUSIVE COMET」が、Zoomのリモートコントロール機能を悪用した新たな攻撃手法で企業幹部を狙っている。この攻撃は2025年3月にSecurity Alliance（SEAL）によって警告が発せられ、4月に入って複数の被害が報告された。

攻撃者はメディア出演やポッドキャスト出演の機会を装ってターゲットにアプローチし、Zoomビデオ通話に誘い込む。通話中、攻撃者は自分の表示名を「Zoom」に変更してリモートコントロールリクエストを送信し、アプリ自体からの正当なリクエストに見せかける。被害者が承認すると、攻撃者はシステムを完全に制御し、マルウェアをインストールして資産を盗む。

具体的な被害例として、NFTプラットフォームEmblem VaultのCEOであるJake Gallenは、2025年4月初旬に「Tactical Investing」を名乗るXアカウントからポッドキャスト出演の誘いを受け、Zoom通話中に「GOOPDATE」というマルウェアをインストールされた。これにより、ビットコインとイーサリアムのウォレットから約10万ドル（約1,500万円）のデジタル資産を盗まれ、Twitter、Gmail、その他のアカウントも侵害された。

一方、サイバーセキュリティコンサルティング会社Trail of BitsのCEOは、「Bloomberg Crypto」への出演を装った同様の攻撃を受けたが、不審な点に気づき被害を免れた。

セキュリティ専門家によると、この攻撃手法は北朝鮮の脅威アクターとの関連が疑われており、2025年2月に発生した暗号通貨取引所Bybitからの15億ドル（約2,250億円）の盗難事件で使用された手法との類似性も指摘されている。

安全を確保するためには、可能な限りZoomをブラウザで使用し、アプリをインストールしないことが推奨されている。ブラウザ版ではリモートコントロール機能が制限されるため、この種の攻撃から保護される。

from:Zoom attack tricks victims into allowing remote access to install malware and steal money

【編集部解説】

テレワークの普及とともに、ビデオ会議ツールは私たちの日常に深く根付いています。特にZoomは、その使いやすさから企業からプライベートまで幅広く活用されていますが、その普及に伴いサイバー犯罪者の標的にもなっています。

今回報告された「ELUSIVE COMET」による攻撃は、特に注目すべき巧妙な手口です。彼らはソーシャルエンジニアリングとZoomの正規機能を組み合わせることで、技術的な知識がなくても実行できる攻撃を確立しました。特に危険なのは、攻撃者が自分の表示名を「Zoom」に変更することで、システムからの正当なリクエストに見せかける点です。多くのユーザーは、急いでいたり会議に集中していたりすると、このような細部を見落としがちです。

Security Alliance（SEAL）の報告によれば、ELUSIVE COMETは「数百万ドル」の資金を盗んでいるとされ、実際の被害額は報告されている約10万ドルをはるかに超える可能性があります。

注目すべきは、この攻撃が技術的な脆弱性を突くものではなく、人間の心理や行動パターンを利用した「ソーシャルエンジニアリング」であることです。サイバーセキュリティ会社Trail of BitsのCEOが被害を免れたのは、不自然な点に気づいたからであり、テクニカルな対策だけでは防ぎきれない攻撃といえるでしょう。

攻撃者は「Aureon Capital」「Aureon Press」「The OnChain Podcast」など複数の偽の組織名を使い分け、洗練されたウェブサイトやソーシャルメディアプロフィールを作成して信頼性を確立しています。これは単なる「なりすまし」を超えた、長期的かつ計画的な偽装工作です。

暗号資産関連の企業幹部が標的になっているのも特徴的です。これは、暗号資産が追跡困難で即座に換金できるため、サイバー犯罪者にとって魅力的なターゲットであることを示しています。また、北朝鮮のハッカーグループLazarusとの関連性も指摘されており、国家支援型の攻撃である可能性も考慮する必要があります。

対策としては、Trail of BitsのブログでZoomのリモートコントロール機能を完全に無効化する方法が紹介されています。また、Help Net Securityの記事では、不明な相手とのZoom会議では常に警戒することの重要性が強調されています。

日本企業においても同様の攻撃が発生する可能性は十分にあります。特に、国際的なビジネスを展開する企業や、メディア露出を求めるスタートアップの経営者などは警戒が必要でしょう。日本特有の「断りにくさ」や「権威への従順さ」という文化的背景も、こうした攻撃の成功率を高める要因になりかねません。

この事例から学ぶべきは、最新のセキュリティ対策を施していても、最終的な防御線は「人間の判断」だということです。テクノロジーの進化とともに、私たちのデジタルリテラシーも進化させていく必要があるのです。

innovaTopiaでは今後も、こうした最新のサイバーセキュリティ脅威について、タイムリーな情報と実践的な対策をお届けしていきます。

【用語解説】

ELUSIVE COMET（イルーシブ・コメット）：
Security Alliance（SEAL）によって命名されたサイバー犯罪グループ。メディア出演の機会を装ってターゲットを騙し、Zoomのリモートコントロール機能を悪用して資産を盗む手法で知られている。北朝鮮の脅威アクターとの関連が疑われている。

ソーシャルエンジニアリング：
技術的な脆弱性ではなく、人間の心理や行動パターンを利用して情報を盗み出す手法。今回の攻撃は、技術的なハッキングよりも「人間の信頼」を悪用している点が特徴である。

リモートコントロール機能：
Zoomの正規機能で、画面共有中に他の参加者がマウスやキーボードを操作できるようにする機能。本来はリモートサポートや共同作業のために設計されたものだが、悪用されると危険である。

NFT（Non-Fungible Token）：
ブロックチェーン上で所有権を証明できるデジタル資産。Emblem Vaultはこれらを管理するプラットフォームである。

【参考リンク】

Zoom（外部）
ビデオ会議サービスを提供する企業。今回悪用されたリモートコントロール機能を持つ。

Emblem Vault（外部）
NFTプラットフォーム。今回被害に遭ったJake GallenがCEOを務める会社。

Trail of Bits（外部）
サイバーセキュリティコンサルティング会社。CEOが今回の攻撃を未然に防いだ。

Calendly（外部）
会議のスケジューリングを自動化するツール。攻撃者が偽の会議設定に使用した。

【参考動画】

【編集部後記】

皆さんは、Zoomを使った会議で「これは本当に安全だろうか」と考えたことはありますか？今回のELUSIVE COMETの手口は、私たち全員が直面する可能性のある脅威です。次回のオンライン会議では、リモートコントロールのリクエストが来たとき、一度立ち止まって「これは本当に必要なのか」と自問してみてください。セキュリティは難しいものではなく、ちょっとした意識と習慣の積み重ねです。皆さんのオンライン体験について、ぜひSNSで共有していただければ幸いです。