2026年2月、Google傘下のセキュリティ企業Mandiantは、北朝鮮を拠点とする金銭目的の脅威アクター「UNC1069」が、仮想通貨企業の幹部を標的とした極めて巧妙なサイバー攻撃の詳細を公表しました。この攻撃は、単一の標的に対して異常なほど大量のツールを展開し、深層偽造(ディープフェイク)技術と「ClickFix」と呼ばれる独創的な手口を組み合わせることで、被害者から最大限の情報を搾取しようとするものでした。
UNC1069は、2018年からMandiantによって追跡されており、その手口は年々進化を遂げています。特に近年は、中央集権型取引所、金融機関のソフトウェア開発者、ハイテク企業、ベンチャーキャピタルファンドの個人を標的とする傾向が強まっています。今回の事件は、その最新の進化を示すものであり、サイバーセキュリティ業界に新たな警戒を促すものとなっています。
この攻撃の目的は明確で、仮想通貨の窃盗と、被害者の身元やデータを悪用した将来のソーシャルエンジニアリングキャンペーンの燃料とすることでした。Mandiantの研究者たちは、この攻撃が単なる金銭目的を超え、長期的な情報収集戦略の一環として実行された可能性を指摘しています。その手口の巧妙さと執拗さは、国家が支援するハッカー集団の脅威の深刻さを改めて浮き彫りにしています。
今回の詳細な分析は、UNC1069がどのようにして標的の信頼を勝ち取り、システムに侵入し、機密データを窃取したのかを明らかにするものです。特に、AI技術の悪用は、現代のサイバー脅威が直面する新たな局面を示唆しており、企業や個人がこれまで以上に警戒を強める必要性を訴えかけています。
偽りの会議室:深層学習が織りなすソーシャルエンジニアリングの舞台裏
攻撃は、被害者がTelegram上で別の仮想通貨幹部の乗っ取られたアカウントからメッセージを受け取るところから始まりました。この偽装されたアカウントは、標的の信頼を築き、警戒心を解くために利用されました。その後、攻撃者はCalendlyのリンクを送信し、30分間のZoom会議への参加を促しました。しかし、この会議は実際には攻撃者によって構築された偽のインフラ上でホストされており、そのURLは「zoom.uswe05[.]us」のような正規のZoomを模倣したものでした。
被害者が会議に参加すると、驚くべきことに、別の仮想通貨企業のCEOとされる人物のビデオが表示されました。被害者はこれを深層偽造(ディープフェイク)であると報告しており、Mandiantはフォレンジック証拠を独立して検証することはできなかったものの、同様の特徴を持つ過去の事件でディープフェイクが使用されたとされる事例があることを指摘しています。The Hacker Newsの報道によれば、Kasperskyは「GhostCall」という名称で同様のキャンペーンを2025年10月に文書化しており、被害者のウェブカメラ映像が密かに録画され、攻撃者によって再利用されていた可能性も示唆されています。
この偽のビデオ会議は、標的を欺き、本物の会議に参加していると信じ込ませるための巧妙な仕掛けでした。攻撃者は、AIツール、特にGoogleのGemini AIを運用調査やツール開発、さらには仮想通貨関連の誘引資料やメッセージの作成に利用していることがGoogle Threat Intelligence Group(GTIG)によって昨年11月に報告されています。深層偽造技術の進化は、ソーシャルエンジニアリング攻撃の信憑性を飛躍的に高め、従来の防御策をすり抜ける新たな脅威となっています。
このような手口は、単に技術的な脆弱性を突くだけでなく、人間の心理を巧みに操ることで、最も強固なセキュリティ対策をも無力化する可能性を秘めています。信頼できる人物になりすますことで、被害者は無意識のうちに攻撃者の指示に従い、自らのデバイスにマルウェアをインストールしてしまうという、恐ろしいシナリオが現実のものとなったのです。
音声トラブルを装った「ClickFix」攻撃:マルウェア感染の巧妙な手口
偽の会議が進行する中、攻撃者は被害者に対して「音声に問題がある」と主張し、その解決のためにデバイス上でいくつかの操作を行うよう指示しました。この「音声トラブル」は、マルウェアをインストールするための巧妙な口実、すなわち「ClickFix」攻撃の始まりでした。ClickFixとは、架空の技術的問題を解決するふりをして、被害者にマルウェアをインストールさせる手口です。
被害者は、macOSシステムとWindowsシステムの両方に対応するトラブルシューティング手順が記載されたウェブページに誘導されました。この一連のコマンドの中に、感染チェーンを開始させる悪意のある一行が埋め込まれていました。被害者は指示通りにトラブルシューティングコマンドを実行し、その結果、macOSデバイスが感染してしまいました。この手口は、ユーザーが日常的に行う「問題解決」の行動を悪用するため、非常に見破りにくいのが特徴です。
Mandiantの分析によると、最初に展開された悪意のあるファイルは「WAVESHAPER」と「HYPERCALL」と名付けられたバックドアでした。これらのバックドアは、攻撃者が被害者のデバイスへの足がかりを拡大し、さらなるツールをインストールするための道を開きました。WAVESHAPERはC++で書かれた実行可能ファイルで、システム情報を収集し、Go言語ベースのダウンローダーであるHYPERCALLを展開します。
HYPERCALLは、さらに「HIDDENCALL」というGolangベースのバックドアコンポーネントを送り込み、これにより攻撃者は侵害されたシステムへのハンズオンキーボードアクセスを獲得します。また、別のC++ダウンローダーである「SUGARLOADER」も展開され、これが「CHROMEPUSH」を送り込む役割を担います。さらに、「SILENCELIFT」というミニマリストなC/C++バックドアも確認されており、システム情報をコマンド&コントロール(C2)サーバーに送信します。これらの多層的なマルウェア展開は、攻撃者の執拗な情報窃取への意欲を示しています。
デバイスを蝕む多層的なマルウェア:情報窃取の全貌
UNC1069が単一のホストに展開したマルウェアの量は「異常に多い」とMandiantは指摘しており、これは可能な限り多くの情報を窃取するための周到な計画があったことを示唆しています。初期のバックドアが確立された後、攻撃者はさらに高度な情報窃取ツールを展開しました。その中でも特に注目されるのが、「DEEPBREATH」と「CHROMEPUSH」という2種類のデータマイナーです。
DEEPBREATHは、macOSのTransparency, Consent, and Control(TCC)データベースを操作し、ファイルシステムへのアクセス権を獲得する能力を持っています。これにより、iCloud Keychainの認証情報、Google Chrome、Brave、Microsoft Edgeといった主要なブラウザのデータ、Telegramのユーザーデータ、さらにはApple Notesからのデータまでを窃取することが可能になります。窃取された情報はすべてZIPアーカイブに圧縮され、リモートサーバーへと外部送信されます。
一方、CHROMEPUSHは、Google Docsをオフラインで編集するための無害なブラウザ拡張機能に見せかけた悪意のあるツールです。しかし、その実態は、キーストロークを記録し、ユーザー名とパスワードの入力を追跡し、ブラウザのクッキーを窃取するなど、広範な情報収集活動を行うスパイウェアです。これはC++で書かれており、Google ChromeとBraveブラウザに展開されます。
これらのマルウェアは、被害者のデジタルライフのほぼすべての側面から機密情報を引き出すことを目的として設計されています。認証情報、ブラウザ履歴、メッセージデータ、さらには個人メモに至るまで、攻撃者はこれらの情報を利用して仮想通貨を窃取するだけでなく、被害者のデジタルアイデンティティを乗っ取り、将来のソーシャルエンジニアリングキャンペーンに悪用しようと企んでいます。この多角的なアプローチは、UNC1069の攻撃が単発的なものではなく、長期的な戦略に基づいていることを示しています。
UNC1069の進化と標的:Web3業界へのシフト
UNC1069は、2018年から活動が確認されている北朝鮮関連の脅威アクターであり、サイバーセキュリティコミュニティでは「CryptoCore」や「MASAN」といった別名でも追跡されています。彼らは長年にわたり、偽の会議招待や、Telegram上で評判の良い企業の投資家を装うなど、ソーシャルエンジニアリングキャンペーンを通じて金銭的利益を得ることを目的としてきました。
しかし、Googleの報告によれば、2023年以降、このグループは標的を従来のフィッシングや伝統的な金融(TradFi)セクターから、Web3業界へとシフトさせています。具体的には、中央集権型取引所(CEX)、金融機関のソフトウェア開発者、ハイテク企業、そしてベンチャーキャピタルファンドの個人が新たな主要な標的となっています。この戦略的な転換は、仮想通貨市場の拡大と、そこから得られる莫大な利益に目をつけたものと考えられます。
UNC1069の攻撃におけるAIツールの活用は、特に注目すべき点です。Mandiantは、この北朝鮮のグループがGoogleのGemini AIツールを運用調査、ツール開発、そしてソーシャルエンジニアリングキャンペーンのための誘引資料やメッセージの作成に利用していることを確認しています。深層偽造ビデオの使用疑惑と合わせて、AIがサイバー攻撃の効率性と信憑性を劇的に向上させている現実を浮き彫りにしています。
国連では、米国当局が先月、北朝鮮のハッカーによる仮想通貨窃盗事件が数十カ国で発生していると報告しました。北朝鮮は2025年だけで20億ドル以上の仮想通貨を窃取したとされており、これは同年に盗まれた仮想通貨全体の60%以上を占めるとされています。UNC1069のようなグループの活動は、北朝鮮の国家的な資金調達戦略の一環として位置づけられており、その脅威は単なるサイバー犯罪の枠を超えています。
AI時代のサイバー脅威:深まる警戒の必要性
今回のUNC1069による攻撃事例は、現代のサイバー脅威が新たな段階に入ったことを明確に示しています。深層偽造技術とAIの悪用は、ソーシャルエンジニアリング攻撃の信憑性をかつてないほど高め、人間が視覚や聴覚で判断する信頼の基準を揺るがしています。もはや、ビデオ会議の相手が本物であるという確信を持つことすら困難になりつつあります。これは、企業や個人がデジタルコミュニケーションにおいて、より深い警戒心を持つ必要があることを意味します。
特に、仮想通貨業界や金融テクノロジー企業は、UNC1069のような国家支援型ハッカー集団にとって魅力的な標的であり続けています。これらの組織は、多額の資産を扱い、高度な技術を持つ人材が集まるため、攻撃者にとっては大きな利益をもたらす可能性があります。そのため、これらのセクターに属する企業は、一般的なセキュリティ対策だけでなく、AIを活用した高度なソーシャルエンジニアリング攻撃に対する特化した防御戦略を構築することが急務となっています。
Mandiantが指摘するように、単一の標的に対してこれほど大量のマルウェアツールが展開されたことは、攻撃者の執拗な意図と、可能な限りの情報を搾取しようとする決意を示しています。これは、単なる仮想通貨の窃盗に留まらず、被害者のデジタルアイデンティティを完全に掌握し、それを将来の攻撃の足がかりとしようとする長期的な戦略の一環であると考えられます。このような包括的な情報窃取は、企業秘密の漏洩や、さらなるサプライチェーン攻撃へと繋がる可能性も秘めています。
AI技術の進化は、サイバーセキュリティの攻防両面に大きな影響を与えています。攻撃者はAIを利用してより洗練された攻撃を仕掛け、防御側はAIを活用して脅威を検知・分析する能力を高めようとしています。この終わりのない戦いにおいて、企業は従業員への継続的なセキュリティ意識向上トレーニング、多要素認証の徹底、そして最新の脅威インテリジェンスに基づいた防御システムの導入を怠ってはなりません。UNC1069の事例は、AI時代のサイバー脅威に対する警戒を一層深めるための重要な教訓となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -North Korean hackers targeted crypto exec with fake Zoom meeting, ClickFix scam | The Record from Recorded Future News - https://therecord.media/north-korean-hackers-targeted-crypto-exec-clickfix
- -North Korean Hackers Use Deepfake Video Calls to Target Crypto Firms - Infosecurity Magazine - https://www.infosecurity-magazine.com/news/north-korea-hackers-deepfake-crypto/
- -North Korea-Linked UNC1069 Uses AI Lures to Attack Cryptocurrency Organizations - https://thehackernews.com/2026/02/north-korea-linked-unc1069-uses-ai.html