北朝鮮のBlueNoroffハッカーが、偽のZoom通話とAIディープフェイクを用いて暗号資産企業に侵入し、世界中の100人超のWeb3経営幹部を侵害した。
重要ポイント
- BlueNoroffはフィンテック企業の弁護士を装い、細工したカレンダー招待を送り、標的を偽のZoom通話に誘導した。
- ClickFix系のクリップボード攻撃により、ファイルレスのPowerShellが実行され、5分足らずで認証情報と暗号資産ウォレットのデータを奪取した。
- 盗まれたウェブカメラ映像がAIディープフェイクに利用され、過去の被害者になりすまして次の標的を釣るために使われた。
BlueNoroff、Zoom通話を乗っ取りウォレットを空に
Arctic Wolf の研究者は、数カ月にわたる侵入を北朝鮮のLazarus Groupの金銭目的の一派であるBlueNoroffに追跡した。このキャンペーンは2026年1月23日に北米のあるWeb3企業を襲い、オペレーターは66日間にわたり静かにアクセスを維持していた。攻撃者はフィンテック企業の法務担当幹部を装い、5カ月先に予定された定例の打ち合わせとしてCalendly経由で招待を送信した。
標的が参加を確定すると、予約に記載されたGoogle Meetのリンクが、実在のアドレスとほとんど見分けがつかないタイポスクワッティングのZoomアドレスに差し替えられた。後のテレメトリから、被害者が「ソフトが不安定なだけ」と信じて、4分間に3回も不正リンクをクリックしていたことが判明した。
関連記事: ビットコインが5万9,000ドル割れ、FRB利上げ懸念が再燃しクリプト市場を圧迫
ClickFixプロンプトでファイルレスPowerShellを仕込み
偽の会議室に入ると、「Zoom SDKの更新が必要」とするポップアップが表示され、簡単な修正を装った。この手口はClickFixとして知られている。被害者が提示されたコマンドをコピーすると、ページが密かにクリップボードを書き換え、隠れたPowerShellペイロードを注入した。その1回のペーストだけで、ディスクにファイルを落とすことなく攻撃者に足掛かりを与えてしまった。
そのインプラントはリモートサーバーへビーコン通信を行い、ブラウザのログイン情報や暗号資産ウォレットのデータを収集し、さらにアクティブなTelegramセッションを抜き取り、信頼済みアカウントから新たな標的へ接触するために再利用した。最初のクリックからシステム全面侵害に至るまで、全チェーンは5分未満という異例の速さだった。
ディープフェイクで被害者を「再利用」し新たな標的を釣る
偽の通話が本物らしく感じられたのは、参加者のタイルすべてに、盗まれたウェブカメラ映像、AI生成の顔写真、あるいは合成ディープフェイク動画が映し出されていたからだ。これらは20カ国にまたがる100人以上の過去の被害者から集められたライブラリから引き出されたものだった。調査担当者は、これらの合成顔をOpenAIのGPT-4oモデルに結び付け、編集作業を行ったオペレーターの1人がメタデータに残したmacOSのユーザー名「king」まで特定している。盗まれた顔は次のルアーに再利用されるため、侵害が起きるたびに、その後の攻撃はさらに見抜きにくくなっていく。
特定された被害者のうち、米国が41%を占め、次いでシンガポールと英国が続いた。約80%は暗号資産、ブロックチェーン金融、またはその周辺の投資分野で働いており、創業者や最高経営責任者(CEO)がほぼ半数を占めていた。
BlueNoroffはこの分野では新顔ではない。同グループは2016年のバングラデシュ中央銀行ハッキングで8000万ドル超を動かした際に表舞台に現れ、その後は長年にわたるSnatchCrypto作戦を通じて暗号資産に軸足を移した。今回のキャンペーンは、同じプレイブックがAIによって強化されていることを示しており、防御側である暗号資産チームにとってハードルは一段と高くなっている。