北朝鮮ハッカーが偽Zoom会議で3億ドルを窃取:仮想通貨セキュリティの新たな脅威
デジタル資産の世界に衝撃が走っている。巧妙に仕組まれた偽のZoom会議が、業界に3億ドルの傷を残した。
高度化する攻撃手法
標的となったのは、暗号プロジェクトの開発チームだ。ハッカーは正当な関係者を装い、緊急の技術会議を要求。本物そっくりのZoomリンクを送りつけ、参加者から機密情報を引き出した。認証情報、ウォレットのシードフレーズ、取引の承認権限——すべてが数時間のうちに奪われた。
資金の追跡は困難を極める
盗まれた資金は即座に複数のブロックチェーンに分散。ミキシングサービスを通じ、追跡不可能な状態に変えられた。業界関係者は「これほど組織化された攻撃は初めてだ」と警戒を強める。取引所は緊急の入出金制限を実施したが、時すでに遅しだった。
セキュリティの盲点
問題は技術的な脆弱性だけではない。人間の心理をついたソーシャルエンジニアリングが、堅牢なセキュリティプロトコルを無力化させた。二要素認証も、マルチシグウォレットも、一度信用を勝ち取られれば意味をなさない——金融規制当局(FSA)が何度警告しても、業界は「自分たちは大丈夫」と過信していたツケが回ってきた形だ。
暗号の未来は明るいが、成長痛は続く
この事件は、分散型金融(DeFi)が成熟過程で直面する現実を露わにした。技術革新が進む一方で、悪意ある攻撃者も同じ速度で進化している。真の金融の民主化には、単なる価格上昇以上のものが必要だ——それは、自己主権と個人責任を支える、鉄壁のセキュリティ文化である。次回の「緊急会議」の招待状が届いたら、二度見することをお勧めする。伝統金融が嘲笑う前に、自らを守る術を身につけなければならない。
北朝鮮による偽会議、仮想通貨流出の手口
モナハン氏によれば、この攻撃は最近多発していたAIディープフェイクを用いた事件とは異なる動きを見せている。
その代わり、乗っ取られたTELegramアカウントや実際のインタビュー映像の繰り返し再生といった、より単純な手法を用いている。
🚨 WARNING (AGAIN)
DPRK threat actors are still rekting way too many of you via their fake Zoom / fake Teams meets.
They're taking over your Telegrams -> using them to rekt all your friends.
They've stolen over $300m via this METHod already.
Read this. Stop the cycle. 🙏 pic.twitter.com/tJTo9lkq0v
攻撃は通常、ベンチャーキャピタリストや被害者が過去に会議で出会った人物など、信頼されたTelegramアカウントを乗っ取るところから始まる。
その後、攻撃者は過去のチャット履歴を利用し、正規の人物であるかのように見せかけ、偽装したCalendlyリンクを通じて被害者をZoomやMiCROsoft Teamsのビデオ会議へ誘導する。
会議が開始すると、被害者の目には相手がライブ映像で現れているように見える。しかし、実際はポッドキャストや公の場での映像を再利用した録画の場合が多い。
そして、作為的な技術的トラブルの直後に決定的な瞬間が訪れる。
攻撃者は、音声や映像の問題を理由に、被害者へ特定のスクリプトやソフトウェア開発ツールキット(SDK)の更新を求める。被害者がこのファイルをダウンロードすると、マルウェアが仕込まれている。
インストールされると、このマルウェア(多くの場合リモートアクセス型トロイの木馬=RAT)が攻撃者に完全な制御権を与える。
これにより仮想通貨ウォレットの資金や、内部セキュリティ情報、Telegramのセッショントークンなどが盗み出され、ネットワーク内の次なる標的攻撃に悪用される。
この点を踏まえ、モナハン氏は警告している。この手法はビジネスマナーを武器化した詐欺であるという。
攻撃者は「ビジネスミーティング」という心理的プレッシャーを利用し、通常の対応依頼さえも致命的なセキュリティ事故へとつなげている。
仮想通貨業界関係者にとって、通話中にソフトウェアのダウンロードを求められた場合は、すべて即座に攻撃のシグナルとみなすべきである。
一方、こうした「偽会議」戦術は朝鮮民主主義人民共和国(DPRK)関係者による大規模な作戦の一環でもある。同グループは昨年から推定20億ドルを業界から奪取しており、Bybitへの侵害もその一例とされる。
