北朝鮮のハッカーがZoomの機能を悪用し、数百万ドル相当の仮想通貨を盗む

仮想通貨のトレーダーや投資家を標的とした、新たなサイバー犯罪キャンペーンが、お馴染みのビデオ会議プラットフォームZoomを攻撃経路として利用しています。非営利団体Security Alliance（SEAL）とサイバーセキュリティ企業Trail of Bitsの報告書は、仮想通貨業界への執拗な攻撃で知られる北朝鮮のハッカーが仕掛けた巧妙な作戦を明らかにしました。「Elusive Comet（とらえどころのない彗星）」と名付けられたこのキャンペーンは、ソーシャルエンジニアリングの脅威がいかに巧妙化しているか、そして日常的に利用されているビジネスツールが悪者の手に渡ればいかに武器となり得るかを明らかにしています。

ビジネスチャンスを装ったフィッシング詐欺

攻撃者のアプローチは、説得力がありながらも巧妙です。ベンチャーキャピタリストやポッドキャストの司会者になりすまし、ハッカーはまず、正当なビジネス提案を装って連絡を取ります。被害者は多くの場合、Calendlyのリンクを通じて連絡を受け、投資やポッドキャスト出演について話し合うためのZoomミーティングのスケジュールを組むよう誘われます。最初のやり取りは、脅迫ではなく、むしろ機会のように見せかけるように設計されており、ミーティングの詳細をギリギリまで先延ばしにすることで、標的の防御を弱め、緊迫感を醸成します。

被害者がZoomのスケジュールされた通話に参加すると、攻撃者は行動を開始します。画面共有を要求します。これはビジネス上の話し合いではよくあることです。しかしその後、ハッカーはZoomのリモートコントロール機能を悪用し、被害者のコンピューターの制御を要求します。この要求は巧妙な仕掛けによってさらに危険になります。攻撃者はZoomの表示名を「Zoom」に変更し、許可ダイアログを通常の無害なシステム通知に見せかけます。

ワンクリックで完全な妥協

このワンクリックで、被害者のマウスとキーボードの完全な制御権を奪取できます。攻撃者は、ブラウザセッション、保存されたパスワード、暗号通貨ウォレットのシードフレーズ、その他の機密情報を探す情報窃盗型マルウェアやリモートアクセス型トロイの木馬（RAT）を迅速に展開します。SEALのログによると、これらの戦術によって「数百万ドル」もの資金が盗まれたとされており、犯罪者は偽のソーシャルメディアプロフィールや洗練されたウェブサイトのネットワークを利用して、自らの策略に信憑性を与えていると指摘しています。

Trail of Bitsは、この攻撃を直接目にしました。同社のCEOは、ブルームバーグのプロデューサーを名乗るX（旧Twitter）アカウントからメッセージを受信しました。彼らは仮想通貨に関するZoomでの直前インタビューを執拗に迫ってきました。詳しく調べてみると、Zoomミーティングのリンクは正規の企業アカウントではなく、一般ユーザー向けのアカウントにつながっていました。攻撃者はメールでのやり取りを一貫して拒否し、エクスプロイトを実行できるZoomでのやり取りを強く主張しました。

欠陥のある機能が攻撃ベクトルに

攻撃の根源はZoomのリモートコントロール機能です。この機能は共同作業用に設計されていますが、ユーザーが注意を怠ると悪用される可能性があります。主催者はアカウント、グループ、またはユーザーレベルでこの機能を無効にすることができますが、企業の設定ではデフォルトで有効になっていることがよくあります。許可ダイアログにはサードパーティからのリクエストであることを示す明確なマークがないため、ユーザーは一見するとありきたりなプロンプトに騙されやすいのです。

Trail of Bitsは、この種の攻撃はソフトウェアのバグではなく人間の行動に依拠しているため、特に効果的だと警告しています。多くの専門家はZoomの通知を素早く承認することに慣れており、攻撃者はこの慣れを悪用して、経験豊富なユーザーの防御さえも回避します。同社は、この攻撃キャンペーンと、コードの脆弱性を悪用するのではなく、正当なワークフローを操作することに依拠した15億ドル規模のBybitハッキングなどの最近の注目を集めた事件との関連性を指摘しています。

とらえどころのない彗星の脅威から身を守る

より広範な影響は憂慮すべきものです。ブロックチェーン業界が成熟するにつれ、攻撃者は技術的な脆弱性を突くことから人間の脆弱性へと焦点を移しつつあります。運用セキュリティ、つまりユーザーのプロセスと意思決定を保護することは、ソフトウェアの欠陥に対する防御と同様に重要になっています。

これに対し、Trail of Bitsは強力な対策を講じ、Zoomのリモートコントロール機能を無効化し、このような攻撃を可能にするアクセス権限をブロックしました。ただし、通常のビデオ会議の使用には支障をきたしません。同社は、暗号資産業界の組織や個人に対し、Zoomの設定を見直し、画面共有やリモートコントロールのリクエストを盲目的に受け入れることの危険性についてユーザーへの啓蒙活動を行うよう呼びかけています。

すでに数百万人が被害に遭い、攻撃者の手口も巧妙化が続いている現状において、メッセージは明確です。ビデオ会議ツールをリスクフリーとは決して考えないでください。仮想通貨業界で取引、投資、あるいは業務に携わっている方は、予期せぬ会議依頼を受け入れる前によく考えてください。また、リモートコントロールのプロンプトは、その正当性に絶対的な確信が持てない限り、決して承認しないでください。脅威は一見、日常茶飯事のように見えるかもしれませんが、その危険性はかつてないほど高まっています。