北朝鮮のサイバー犯罪者が、ソーシャルエンジニアリング攻撃において戦略的な転換を図った。業界内で信頼される人物を装い、偽のビデオ会議を通じて3億ドル以上を不正に取得した。
この警告は、MetaMaskのセキュリティ研究者テイラー・モナハン(Tayvanoの名で知られる)によるものだ。同氏は、暗号資産業界の経営者を狙った高度な「長期的詐欺」について解説している。
Sponsored北朝鮮による偽会議、暗号資産流出の手口
モナハン氏によれば、この攻撃は最近多発していたAIディープフェイクを用いた事件とは異なる動きを見せている。
その代わり、乗っ取られたTelegramアカウントや実際のインタビュー映像の繰り返し再生といった、より単純な手法を用いている。
攻撃は通常、ベンチャーキャピタリストや被害者が過去に会議で出会った人物など、信頼されたTelegramアカウントを乗っ取るところから始まる。
その後、攻撃者は過去のチャット履歴を利用し、正規の人物であるかのように見せかけ、偽装したCalendlyリンクを通じて被害者をZoomやMicrosoft Teamsのビデオ会議へ誘導する。
会議が開始すると、被害者の目には相手がライブ映像で現れているように見える。しかし、実際はポッドキャストや公の場での映像を再利用した録画の場合が多い。
Sponsoredそして、作為的な技術的トラブルの直後に決定的な瞬間が訪れる。
攻撃者は、音声や映像の問題を理由に、被害者へ特定のスクリプトやソフトウェア開発ツールキット(SDK)の更新を求める。被害者がこのファイルをダウンロードすると、マルウェアが仕込まれている。
インストールされると、このマルウェア(多くの場合リモートアクセス型トロイの木馬=RAT)が攻撃者に完全な制御権を与える。
これにより暗号資産ウォレットの資金や、内部セキュリティ情報、Telegramのセッショントークンなどが盗み出され、ネットワーク内の次なる標的攻撃に悪用される。
この点を踏まえ、モナハン氏は警告している。この手法はビジネスマナーを武器化した詐欺であるという。
攻撃者は「ビジネスミーティング」という心理的プレッシャーを利用し、通常の対応依頼さえも致命的なセキュリティ事故へとつなげている。
暗号資産業界関係者にとって、通話中にソフトウェアのダウンロードを求められた場合は、すべて即座に攻撃のシグナルとみなすべきである。
一方、こうした「偽会議」戦術は朝鮮民主主義人民共和国(DPRK)関係者による大規模な作戦の一環でもある。同グループは昨年から推定20億ドルを業界から奪取しており、Bybitへの侵害もその一例とされる。
