サイバーセキュリティ企業ハントレスによると、北朝鮮のハッカーは最近、ディープフェイク技術を使って暗号通貨財団の幹部になりすまし、本物らしいズーム会議を演出して何も知らない従業員を騙そうとしたという。
ハッキングが成功したかどうかは不明ですが、捜査当局は、このグループの目的は被害者の組織に紐づく仮想通貨にアクセスし、盗み出すことだったと考えています。攻撃の標的がmacOS搭載のシステムだったという事実は、世界中でAIを活用した攻撃がますます巧妙化していることを浮き彫りにしています。
「ここ数年、macOSは脅威アクター、特に高度に洗練された国家支援の攻撃者にとって、より大きな標的となっている」とハントレスの広報担当者は最近のインタビューで語った。
それがどのように起こったのかを理解する
報道によると、この侵害は、従業員がCalendlyから、会社幹部との今後の会議への招待状(匿名)を受け取ったことから始まったという。しかし、そのリンクはユーザーを攻撃者が管理する偽のZoomドメインにリダイレクトしていたとハントレス氏は述べた。
第二段階は数週間後、予定されていたZoom会議が行われた際に明らかになった。従業員は会議に参加し、会社の幹部と思われる人物に迎えられたが、後に彼らの身元はAIによって作成されたディープフェイクであることが発覚した。
ユーザーが音声の問題に遭遇した際、問題を解決するためにZoom拡張機能をインストールするよう促されました。しかし実際には、このファイルはmacOSシステムを侵害するために設計された悪意のあるAppleScriptでした。
Huntressは2025年6月にこの事件を知りました。オリジナルのAppleScriptファイルを解析した結果、複数の悪意のあるコマンド、リモートコード、キーロガー、バックドアが含まれていることが判明しました。また、ハッキングの手口をTA444(別名BlueNoroff、Sapphire Sleet、COPERNICIUM、STARDUST CHOLLIMA、CageyChamleon)として知られる北朝鮮のグループにまで遡ることができました。
このハッキングは起動すると、ユーザーのハードドライブ内でアクセス可能な暗号通貨ウォレットを検索し、それらを乗っ取るように設計されていました。また、この悪意のあるプログラムは、ユーザーのクリップボード履歴の内容を取得し、処理後に自身でクリーンアップするようにコーディングされていました。
将来同様の攻撃を回避する
ハントレスは、このインシデントに関するレポートの中で、ユーザーが将来同様の攻撃を回避するための有益な推奨事項を提供しました。推奨事項の多くは、標的となる可能性が最も高いリモートワーカー向けのものですが、ハイブリッドワーク環境全体に広く適用できます。
- 知らない人、最近連絡を取っていない人、普段は会社の会議に出席しない人からのカレンダーの招待を決して信じないでください。
- 別のプラットフォームへの切り替え、拡張機能やプラグインのインストール、疑わしいドメイン名へのアクセス、デバイスへのリモート アクセスの許可など、突然の変更や予期しない変更は、直ちに危険信号として受け止める必要があります。
これらの兆候に気付いた場合は、直ちに会議から切断し、会社の人事チームまたはサイバーセキュリティ チームにインシデントを報告してください。
手遅れになる前にハッキング、サイバー攻撃、ディープフェイクを認識する
これは、悪意のある活動がほとんど発生しないオペレーティングシステムを標的とした、高度に洗練された技術的な攻撃でしたが、数週間にわたるこの攻撃の間には、技術に精通した従業員であれば誰もが懸念するような複数の危険信号がありました。メッセージや会議招待の正当性に疑問がある場合は、別のチャネル、できれば電話を通じて、組織内の認証済みメンバーに連絡し、真正性を確認するのが最善です。この追加措置を講じることで、高額な侵害や評判の失墜を防ぐことができます。
国家支援を受けた攻撃者が世界の脅威情勢をどのように変えつつあるのか、より深く知りたいですか?サイバー攻撃の増加と組織がどのように対応しているかに関するTechRepublicの記事をご覧ください。
