ラザルスが新たなサイバー攻撃キャンペーンを展開
北朝鮮サイバー軍ラザルス(Lazarus)グループが、偽のオンライン会議招待を利用して仮想通貨企業やフィンテック企業幹部を標的とした新たなサイバー攻撃キャンペーンを展開している事が明らかになった。
ブロックチェーンセキュリティ企業CertiK(サーティック)によると、北朝鮮のラザルスグループは、偽のオンライン会議招待を利用して仮想通貨企業やフィンテック企業の幹部を騙し、自身のデバイス上で悪意のあるコマンドを実行させる新たなmacOSマルウェアキャンペーン「Mach-O Man」を開始した。
CertiKのナタリー・ニューソン(Natalie Newson)上級ブロックチェーンセキュリティ研究員によると、北朝鮮のラザルスグループは、仮想通貨企業、フィンテック企業、その他の高価値企業の幹部を標的とした新たなキャンペーン「Mach-O Man」を展開。2026年4月22日(水曜日)に明らかになったこのキャンペーンは、同グループがこれまで用いたソーシャルエンジニアリング手法の中でも、最も高度なものの一つだ。
日常的なビジネスコミュニケーションに潜む
このキャンペーンは、ClickFixと呼ばれる手法を用いて企業システムに侵入し、攻撃者は、Telegram経由で緊急会議の招待状を標的に送信し、ZoomやMicrosoft Teams、Google Meetのリンクに見せかけたページに誘導している。
しかし、表示されるページは偽物で、ユーザーは、接続の問題を解決するためにターミナルコマンドを貼り付けるよう指示され、指示に従うと、攻撃者は被害者の企業システム、SaaSプラットフォーム、および金融口座に即座にアクセスできるようになる。
コマンドが実行されると、Apple環境向けに最適化されたネイティブMach-Oバイナリーから構築されたモジュール型マルウェアキットがインストールされる。このキットはホストのプロファイリング、永続的なアクセス確立、そしてTelegramベースのコマンド&コントロールチャネルを介した認証情報とブラウザーデータの窃取を行う。
重要な点は、このツールキットはタスク完了後に自動的に削除されるため、検出とフォレンジック分析が極めて困難になることだ。
緊急性を煽るメッセージや不審な送信元アドレスを利用する従来のフィッシング攻撃とは異なり、Mach-O Manキャンペーンは、配信時点では完全に日常的なメールに見えるように設計されていることから、不信感を持ちにくい。実際、ほとんどの被害者は、マルウェアが自己削除されるまで、自分が侵害されたことに気づかない。
ニューソン氏は、ラザルスの活動ペースから、従来のハッキング集団というよりも、国家主導の金融組織に近いと指摘したうえで次のように指摘している。
これは無作為なハッキングではなく、国家主導の金融組織であり、その規模とスピードは機関投資家並みだ。仮想通貨業界はラザルスを、銀行が国家主導のサイバー攻撃者を扱うのと同じように、組織的な時間軸で活動する、資金力のある継続的な脅威として扱う必要がある。
