北朝鮮系ハッカーグループBlueNoroff(別名Sapphire Sleet、TA444)が2025年6月11日に発覚した攻撃で、暗号通貨財団の従業員を標的とした新たなサイバー攻撃を実行した。
攻撃者はTelegramで従業員に接触し、Calendlyリンクを送信してZoom会議を設定した。数週間後、従業員が参加したZoom会議には会社上級幹部の複数のディープフェイクが登場した。
会議中、マイクロフォンの問題を理由にZoom拡張機能のダウンロードを促され、従業員は「zoom_sdk_support.scpt」というAppleScriptファイルをインストールした。
このファイルは偽ドメイン「support[.]us05web-zoom[.]biz」からペイロードをダウンロードし、8種類の悪意のあるバイナリを展開した。
展開されたマルウェアには、Telegram 2、Root Troy V4、InjectWithDyld、XScreen、CryptoBot、NetChkなどが含まれる。BlueNoroffはLazarus Groupのサブクラスターで、2025年2月21日のBybit攻撃では約15億ドル(約2200億円)相当の暗号通貨を盗んだ実績がある。
From:
BlueNoroff Deepfake Zoom Scam Hits Crypto Employee with macOS Backdoor Malware
【編集部解説】
今回のBlueNoroffによる攻撃は、サイバーセキュリティ業界において複数の重要な転換点を示しています。
まず注目すべきは、ディープフェイク技術の悪用が本格的にサイバー攻撃の手段として確立されたことです。従来のソーシャルエンジニアリング攻撃では、攻撃者は偽のメールや電話を使用していましたが、今回は会社幹部の顔と声を完全に模倣したZoom会議を実施しました。この手法により、従業員の警戒心を大幅に下げることに成功しています。
macOSを標的とした攻撃の高度化も見逃せません。これまでWindowsシステムが主要な標的でしたが、暗号通貨業界でMacユーザーが増加していることを受け、BlueNoroffは専用のmacOSマルウェアを開発しました。特にRosetta 2の存在確認機能は、AppleシリコンとIntelチップの両方に対応する巧妙な設計となっています。
攻撃の長期化と段階的アプローチも特徴的です。初回接触から実際の攻撃まで数週間をかけ、信頼関係を構築してから最終的な攻撃を実行する手法は、従来の即座に攻撃を仕掛ける手法とは一線を画します。
この攻撃手法が与える影響は深刻です。リモートワークが定着した現在、オンライン会議への信頼性が根本的に揺らぐ可能性があります。特に暗号通貨関連企業では、従業員一人の判断ミスが数千億円規模の損失につながるリスクを抱えています。実際、BlueNoroffの親組織であるLazarus Groupは2025年2月21日にBybitから約15億ドル(約2200億円)相当の暗号通貨を盗み、暗号通貨史上最大のハッキング事件を起こしています。
規制面への影響も予想されます。各国政府はディープフェイク技術の悪用に対する法整備を急ぐ必要があり、企業側も従来のセキュリティ教育では対応できない新たな脅威への対策が求められています。
長期的には、この事件を契機として認証技術の革新が加速する可能性があります。生体認証や暗号化通信の強化、さらにはAIを活用したディープフェイク検出技術の開発が進むでしょう。
【用語解説】
ディープフェイク:
AIを使って人物の顔や声を別人に置き換える技術。本事件では会社幹部の顔と声を合成してZoom会議で使用された。
macOS:
Apple社が開発したMac用のオペレーティングシステム。従来Windowsが標的とされることが多かったが、近年macOSを狙った攻撃が増加している。
AppleScript:
macOS上でアプリケーションを自動化するためのスクリプト言語。攻撃者はこれを悪用してマルウェアを実行した。
Rosetta 2:
AppleシリコンMacでIntelプロセッサ用アプリを実行可能にするApple純正の互換性レイヤー。攻撃者はx86_64バイナリ実行のために利用した。
C2サーバー:
Command and Control serverの略。マルウェアが攻撃者からの指令を受け取るための通信先サーバー。
APT(Advanced Persistent Threat):
高度で持続的な脅威。国家や組織が背景にある長期間にわたる標的型攻撃を指す。
ソーシャルエンジニアリング:
技術的手段ではなく人間の心理的弱点を突いて情報を盗み取る攻撃手法。
【参考リンク】
Huntress(外部)
マネージドセキュリティプラットフォームを提供する企業。24時間365日のSOCサービスで脅威検知・対応を行う。
Cisco Talos(外部)
Cisco Systems傘下のサイバーセキュリティ研究組織。脅威インテリジェンスの収集・分析を行う。
The Hacker News(外部)
サイバーセキュリティ分野の最新ニュースを配信する専門メディア。セキュリティ研究者向けに脅威情報を提供。
【参考記事】
Inside the BlueNoroff Web3 macOS Intrusion Analysis(外部)
事件を発見したHuntress社による詳細な技術分析レポート。8種類のマルウェアの機能と攻撃の全容を解説。
North Korean hackers deepfake execs in Zoom call to spread Mac malware(外部)
BleepingComputerによる同事件の報道。Huntressの調査結果を基に攻撃手法と使用されたマルウェアを詳述。
Zoom Call With ‘Execs’ Turns Out To Be North Koreans Using AI Deepfakes(外部)
PC Magによる事件の報道。AI技術を悪用したディープフェイク攻撃の詳細と影響について分析。
【編集部後記】
ディープフェイク技術がここまで身近な脅威になった今、私たちはどのように自分自身を守れば良いのでしょう。
特に暗号通貨や金融関連のお仕事をされている方は、日々の業務でどんな対策を取られていますか?
また、会社の同僚や上司との本人確認について、新しいルールや仕組みが必要だと感じませんか?
この技術進歩の光と影について、皆さんのご意見や体験談をぜひお聞かせください。一緒に考えていければと思います。
