朝鮮ハッカーがZoom会議を偽造し暗号資産を窃取、累計損失は既に3億ドル超え

ネットワークセキュリティ機関は、北朝鮮のサイバー犯罪者が「偽Zoom / 偽Teams会議」の社会工学攻撃を通じて、大規模に暗号通貨ウォレット資産を窃取していることを明らかにしました。累計損失額は3億ドルを超えています。セキュリティ企業Security Alliance（SEAL）は、現在ほぼ毎日複数の関連攻撃事例を追跡しており、暗号業界の従事者やアクティブユーザーが主要なターゲットとなっています。

この攻撃手法は、MetaMaskのセキュリティ研究員Taylor Monahanによって最初に公開されました。彼女は、北朝鮮のハッカーが高度にリアルなオンライン会議シナリオを利用し、被害者を騙してマルウェアをインストールさせ、直接秘密鍵、パスワード、内部セキュリティ情報を取得し、迅速に暗号通貨ウォレットを空にしていると指摘しています。

攻撃の流れを見ると、通常はTelegramのグループから始まります。ハッカーは被害者の「知人」を装い、連絡先グループにメッセージを送信し、Calendlyなどの一般的なツールを使ってZoom会議の招待を送ります。会議が始まると、被害者は「知人」や「チームメンバー」のビデオ映像を見ることができますが、実際にはこれらは事前に録画された本物の映像であり、単なるディープフェイクではありません。

通話中、ハッカーは「音声異常」や「会議の不明瞭さ」を理由に、被害者にパッチファイルやSDKアップデートパッケージのダウンロードを誘導します。これらのファイルは実はマルウェアであり、通常はリモートアクセストロイの木馬（RAT）です。インストールされると、攻撃者はリモートでデバイスを制御し、ログイン証明書や秘密鍵情報を窃取し、暗号通貨ウォレットからの迅速な資金移動を行います。

セキュリティ専門家は、これが北朝鮮のハッカーによる暗号犯罪における戦略のアップグレードを示していると指摘しています。以前は、悪名高いラザルスグループを含むハッカー組織は、取引所への攻撃やフィッシングサイト、偽の求人を通じた侵入に依存していましたが、最近ではより成功率の高い「高信頼度の社会工学攻撃」に明らかにシフトしています。

つい最近、ラザルスグループは韓国最大の暗号通貨取引所を標的とした攻撃を計画し、約3060万ドルの損失をもたらしたと指摘されています。複数のデータによると、世界の暗号通貨盗難規模は2025年中頃に21.7億ドルに達すると予測されており、個人のウォレットが最も脆弱な部分となっています。

業界関係者は、ビデオ会議中にパッチやツールのダウンロードを求められた場合、直ちに会議を中断し、ネットワークを切断し、デバイスの電源を切ることを推奨しています。また、ウォレット資産の移行とセキュリティチェックを行い、潜在的な損失リスクを低減させるよう呼びかけています。