北朝鮮ハッカー、AIディープフェイクでCEO偽装し仮想通貨狙う

GoogleのMandiantは、北朝鮮のハッカー集団がAIディープフェイクを用いた偽のビデオ会議で仮想通貨企業を攻撃していると警告した。

Googleの脅威インテリジェンス部門Mandiantは10日、北朝鮮のハッカー集団がAI技術を悪用した高度な攻撃手法で仮想通貨企業を標的にしているとの調査報告書を発表した。

報告書によると、北朝鮮の国家支援を受けるハッカー集団「UNC1069」が、AI生成のディープフェイク映像を偽のビデオ会議で使用しているという。この集団は2018年から活動しており、2023年以降は従来の金融機関からWeb3業界へと標的を移している。

攻撃の手口は極めて巧妙だ。まずTelegramを通じて企業の幹部アカウントになりすましてターゲットに接触し、信頼関係を構築する。その後、カレンダー共有サービスのCalendlyを装ったリンクを送り、偽のZoom会議へと誘導する仕組みだ。

偽の会議中、被害者は実在する仮想通貨企業のCEOを模したディープフェイク映像を目撃することになる。攻撃者はこのリアルな映像を利用して信用させ、悪意のあるファイルをダウンロードさせたり、認証情報を盗み出したりする。

AIディープフェイクによる巧妙な手口

Mandiantは、最近のフィンテック企業への侵入事例を調査し、7種類の独自のマルウェアファミリーが展開されていたことを明らかにした。

これには、ホストデータを収集する「SILENCELIFT」や、データを外部へ送信する「DEEPBREATH」などが含まれる。

また、ブラウザから認証情報を盗む「CHROMEPUSH」というツールも確認された。

これらのツールは、従来のフィッシングメールよりも検知が難しく、声や表情の動きをリアルに再現するディープフェイク技術によって成功率が高まっている。

攻撃の背景には、北朝鮮による兵器開発プログラムへの資金調達という緊急の目的がある。米国財務省も、盗まれた仮想通貨が同国の経済および安全保障上の最優先事項に使われていると指摘している。

新たなマルウェアと攻撃の目的

AI技術の進歩により、高度な偽装映像の作成障壁が下がったことが脅威を拡大させている。リモートワークやハイブリッドワークの普及も、ビデオ会議の本人確認プロセスにおける脆弱性を突く要因となっている。

仮想通貨はその匿名性と取引額の大きさから、国際的な制裁を回避したい北朝鮮にとって理想的な標的となっている。特に市場規模の大きいビットコインなどが主なターゲットとされている。セキュリティ企業のCrowdstrikeも、北朝鮮による企業への侵入が前年比で220%増加したと報告している。

Mandiantは、UNC1069が即時の資金窃盗だけでなく、将来の攻撃に向けた長期的なデータ収集も行っていると警告する。盗まれた個人情報は、さらに巧妙ななりすまし攻撃に利用される恐れがある。

推奨される対策と今後のリスク

攻撃者は「ClickFix」と呼ばれる手法も悪用している。これは、ビデオ会議中に偽の技術的な問題が発生したと装い、解決策に見せかけた悪意あるファイルを実行させる手口だ。

Mandiantは企業に対し、予期せぬ会議への招待には厳格な本人確認プロトコルを設けるよう推奨している。

既知の連絡手段を使った二次認証や、外部ファイルの実行制限などが有効な対策となる。また、資産管理においては仮想通貨ウォレットおすすめ記事などを参照し、コールドウォレットの活用も検討すべきである。

また、採用プロセスにおいて面接官になりすますディープフェイク攻撃にも注意が必要だ。こうした戦術はすでに軍事技術の窃盗などにも悪用されており、継続的な警戒が求められている。