GoogleのMandiantセキュリティチームは、北朝鮮のハッカーがAIによって生成されたディープフェイク技術を偽のビデオ会議に組み込み、暗号通貨企業を標的としたますます巧妙な攻撃キャンペーンの一環として使用していると月曜日に発表した。
Mandiantは最近、UNC1069(別名「CryptoCore」)と呼ばれる北朝鮮と高い関係を持つ脅威アクターによるフィンテック企業への侵入を調査したと述べている。この攻撃は、乗っ取られたTelegramアカウント、偽のZoom会議、ClickFix技術を用いて被害者に悪意のあるコマンドを実行させる手口を含む。調査官はまた、AI生成の動画がターゲットを欺くための偽会議で使用された証拠も発見した。
報告によると、MandiantはUNC1069がこれらの技術を展開し、暗号通貨業界の組織や個人を標的にしていることを確認した。対象にはソフトウェア企業、プログラマー、ベンチャーキャピタルファンド、そして彼らのスタッフやリーダーも含まれる。
この警告は、北朝鮮に関連した暗号資産の窃盗事件が規模を拡大し続けている状況の中で出された。12月中旬、ブロックチェーン分析企業のChainalysisは、北朝鮮のハッカーが2025年に2.02億ドルの暗号資産を盗み出し、前年より51%増加したと報告した。北朝鮮と関係のあるグループによるデジタル資産の総盗難額は約67.5億ドルと推定されているが、攻撃の件数は減少している。
これらの発見は、国家関係のサイバー犯罪グループの運営方法に変化が見られることを示している。従来の広範囲なフィッシング攻撃から、CryptoCoreや類似グループは、個別化された攻撃に焦点を当て、信頼を利用したデジタルインタラクション(会議招待やビデオ通話など)を狙うようになっている。その結果、攻撃者は少ない事件数でより大きな価値を盗み出すことが可能となっている。
Mandiantによると、攻撃は、暗号通貨業界の関係者に見える人物からTelegramを通じて連絡が来ることから始まる。そのアカウントは実際にはハッカーに制御されている。信頼を築いた後、攻撃者はCalendlyのリンクを送り、30分の会議を設定し、被害者をグループのインフラ上に保存された偽のZoom通話へ誘導する。通話中、被害者は有名な暗号通貨CEOのディープフェイク動画を見たと述べる。
会議が始まると、ハッカーは音声トラブルを理由に、「修正コマンド」を実行させる指示を出す。これはClickFixの亜種技術であり、これによりマルウェアが起動される。フォレンジック分析により、被害者のシステムには7種類の異なるマルウェアが検出され、これらは認証情報、ブラウザデータ、セッショントークンを盗み、資金窃盗やなりすましに利用されている。
cheqdの共同創設者兼CEOであるFraser Edwardsは、今回の事例は、オンライン会議やリモート協力に依存する個人を標的とするハッカーの傾向を反映していると指摘している。彼によると、この手法の効果は、明らかな異常の兆候がほとんど見られない点にある。送信者は馴染みのある人物、慣れ親しんだ会議形式、添付ファイルや明らかな脆弱性もなく、信頼を巧みに利用している。防御策が介入する前に、信頼が先に崩されるのだ。
エドワーズは、ディープフェイク動画は、会議中の段階でしばしば使われると述べている。例えば、顔の画像が変化したり、馴染みのある人物の顔が登場したりすることで、不審や技術的な問題の疑念を払拭し、次の行動を促すためだ。目的は長引かせることではなく、あくまでリアルに見せて被害者に次のステップを踏ませることにある。
また、AIは、直接の通話以外の詐欺にも利用されている。メッセージの作成、話し方の調整、親しい人や同僚の話し方の模倣などだ。これにより、日常的なメッセージが疑われにくくなり、受信者が一時停止して内容を確認する可能性が低くなる。
エドワーズは、AI技術がコミュニケーションや意思決定の現場に深く浸透するにつれ、リスクは増大すると指摘している。自動的にメッセージを送信したり、通話をスケジューリングしたり、ユーザーに代わって行動したりできるシステムは、悪用されるとディープフェイクの音声や映像を自動的に展開し、手動の詐欺行為を大規模に拡大させる可能性がある。
彼は、ユーザーがディープフェイクを自ら見抜くことは現実的ではないと考えている。むしろ、デフォルトで保護システムを構築し、認証やコンテンツの真正性を示す仕組みを改善する必要があると述べている。これにより、ユーザーは情報が本物かAI生成か、検証済みかどうかを直感や慣れだけに頼らずに判断できるようになる。
