北朝鮮と関連が指摘されるサイバー組織が、ソーシャルエンジニアリングの手法を高度化させている。米グーグル傘下マンディアントの最新報告によると、同組織はZoom会議でのディープフェイク技術など生成AIを活用し、暗号資産を狙ったハッキングに巧妙な誘導手法を組み込んでいるという。
暗号資産分野を標的とする国家関与型のサイバー活動は進化を続けており、2025年には関連インシデントが顕著に増加した。デジタル資産市場の拡大に伴い、セキュリティーリスクも一段と高まっている。
Sponsored偽Zoom通話で暗号資産企業にマルウェア攻撃
Mandiantの最新レポートでは、暗号資産分野のFinTech企業を標的とした侵害調査の詳細をまとめている。攻撃はUNC1069に帰属された。同グループは2018年以降活動が確認されている金銭目的の脅威グループで、北朝鮮との関連がある。
「Mandiantはこの脅威アクターが戦術、技術、手順(TTPs)、ツール、標的を進化させていることを観察してきた。少なくとも2023年以降、同グループはスピアフィッシングや従来型金融(TradFi)のターゲティングから、中央集権型取引所(CEX)、金融機関のソフトウェア開発者、ハイテク企業、ベンチャーキャピタルファンドの関係者といったWeb3業界へとシフトしている」とレポートは述べている。
調査担当者によれば、侵害はある暗号資産業界の幹部のTelegramアカウントが乗っ取られることから始まった。攻撃者はハッキングしたプロフィールで被害者に接触し、徐々に信頼を築いたうえで、Calendly経由でビデオ会議への招待を送った。
会議用リンクは、脅威アクターが管理するインフラ上にホストされた偽のZoomドメインに被害者を誘導した。通話中、被害者は別の暗号資産企業のCEOとされるディープフェイク映像を目撃したという。
「Mandiantは本件に関してAIモデル使用を独自に検証するためのフォレンジック証拠は回収できなかったが、報告された手口は、過去に公表された類似事例と一致し、そこでもディープフェイクの使用が疑われていた」とレポートは付け加えた。
攻撃者は会議中に音声トラブルを装うことで次の段階の正当化を図った。被害者に対し、デバイス上でトラブルシューティング用のコマンドを実行するよう指示した。
SponsoredこれらのコマンドはmacOSとWindowsの両方向けに用意され、密かに感染チェーンを開始した。これにより複数のマルウェアが展開された。
Mandiantは、侵入時に展開された7種類の異なるマルウェアファミリーを特定した。これらのツールはKeychain認証情報の窃取、ブラウザのクッキーやログインデータの抽出、Telegramのセッション情報へのアクセス、その他の機密ファイルの収集を目的として設計されていた。
捜査担当者は、暗号資産窃盗の可能性と、今後のソーシャルエンジニアリング攻撃に活用できる情報の収集という2つの目的があると評価した。
調査によれば、単一のホストに大量のツールが投入された点が特異だった。これは、標的の個人からできる限り多くのデータを抜き取る極めて狙いを絞った動きであることを示していた。
この事例は、単発のものではなく、より広範なパターンの一部である。2025年12月、BeInCryptoが報じたところによれば、北朝鮮関連のアクターは、偽装したZoomやMicrosoft Teams会議を通じて信頼される業界関係者を装い、3億ドル超を不正流出させていた。
年間を通じた活動規模はさらに際立っていた。2025年、北朝鮮の脅威グループは合計で20億2000万ドルのデジタル資産を盗み、前年から51%増加した。
また、Chainalysisは、ブロックチェーン上でAIサービス提供者とつながりのある詐欺集団が、そうでない集団と比べてはるかに高い運用効率を持つことを明らかにした。同社によれば、この傾向はAIが今後ほとんどの詐欺に標準搭載される未来を示唆している。
AIツールが一段と高機能で身近になり、説得力のあるディープフェイクを作ることはかつてないほど容易になった。今後、暗号資産業界がこうした高度な脅威に十分に対応できるかどうか、その真価が問われる。
