『フォーチュン』誌記者:北朝鮮のハッカーが横行していることは承知の上で、それでも私は被害に遭いました
TechFlow厳選深潮セレクト
『フォーチュン』誌記者:北朝鮮のハッカーが横行していることは承知の上で、それでも私は被害に遭いました
北朝鮮のハッカーが、暗号化分野のジャーナリストを騙した。
Web3業界の深掘り報道に専念し潮流を洞察執筆:ベン・ワイス(『フォーチュン』誌)
翻訳編集:ルフィー(Foresight News)
3月下旬、私は『フォーチュン』誌のIT管理者から不安を覚えるメッセージを受け取りました。「システムの脆弱性を暴露するプロセスが実行されています」と彼は書き、「誰かがすでにあなたのパソコンに侵入している可能性があります。これを即座に停止する必要があります」。私は一瞬でパニックに陥りました。
その後、IT部門が確認したログによると、その日の午前11時04分に私がダウンロードしたファイルには、キーロガー機能、画面録画機能、パスワード窃取機能、および各種アプリへの不正アクセス機能が備わっていました。
私はすぐにノートパソコンを閉じ、ブルックリンのアパートを飛び出し、最寄りの地下鉄駅へと走りました。会社へ向かう地下鉄の待ち時間に、私は編集者にメッセージを送りました。「どうやら北朝鮮のハッカーにフィッシングされたようです。笑
私はこれまで一貫して北朝鮮関連のニュースを取材しており、同国が米国の投資家を標的にしていることも熟知していました。しかし、この悪名高いハッカーグループが私自身を狙い、その巧妙な詐欺手法を実際に体験させようとしているとは、まったく予想していませんでした。
まるで詐欺のような感覚
この「隠士の王国」は長年にわたり、暗号資産業界を継続的に攻撃しています。制裁措置により、北朝鮮は国際金融システムから事実上排除されており、国家主導の暗号資産盗難によって財政を維持せざるを得ません。
暗号資産データ分析企業チェイナリシス(Chainalysis)の調査によると、2025年1年間だけで、北朝鮮関係のハッカーが窃取した暗号資産の総額は20億ドルに達し、前年比で約50%増加しました。
北朝鮮のハッカーは、企業にIT担当者として雇用されるよう誘導するなど、確立された詐欺手口をいくつも持っています。今回、私を騙すために使われたのも、まさにその一つです。
北朝鮮のハッカーは3月中旬から罠を仕掛けていました。餌となったのは、あるヘッジファンド投資家から送られたTelegramのメッセージでした。このアプリは暗号資産業界で最も広く使われるコミュニケーションツールです。この投資家の氏名は、私が過去に報道した匿名情報提供者であるため、ここでは明かしません。
彼は、「アダム・スウィック(Adam Swick)という人物を紹介しましょうか?」と尋ねてきました。スウィック氏はビットコイン採掘企業MARA Holdingsの元最高戦略責任者(CSO)です。私は「ぜひ」と返事をし、「彼はいつも親切で信頼できる人ですよ」と付け加え、その後、グループチャットに招待されました。
そこで彼は、スウィック氏が新しいデジタル資産金庫の設立を準備中であり、「すでに有力な大型シード投資家が1名確保済み」と話しました。このプロジェクトには明らかに不審な点が多くありましたが、それでも私は彼の話を聞いてみようと思いました。
彼はTelegram上で通話の日程を提案しました。1週間後、この情報提供者が、一見Zoomミーティングのリンクに見えるURLを私に送付してきました。私はそのリンクをクリックしました。
起動したプログラムのインターフェースは、私が日常的に使用しているZoomとよく似ていましたが、デザインの細部に違和感があり、また音声がまったく出ませんでした。システムからは「音声問題を修正するため、ソフトウェアを更新してください」というメッセージが表示され、同時にスウィック氏から「どうやらあなたのZoomに問題があるようです」というメッセージが届きました。私はそのまま、提示されたアップデートパッケージをダウンロードしてしまいました。
ところが、ブラウザで開いたリンクとTelegramで送られてきたものとが一致していないことに気づき、私はたちまち警戒心を高めました。そこで私は、ミーティングをGoogle Meetに切り替えることを提案しました。「これは完全に詐欺っぽいですね」と、私はグループチャット内でスウィック氏とこの情報提供者に対して言いました。
スウィック氏は依然として押し通しました。「心配しないでください。私のパソコンで今さっき試しましたが、問題なく動作しましたよ」
私はMac上でそのスクリプトを実行せず、即座にZoomミーティングを退出しました。「お話ししたいなら、Google Meetでお願いします」と、私はTelegramで返信しました。すると、この情報提供者は私を即座にグループチャットから追放しました。
ウイルス的連鎖攻撃
私はアパートを飛び出し、IT部門へ急ぐ途中で、ベテランのセキュリティ研究者テイラー・モナハン(Taylor Monahan)氏に連絡を取りました。彼女はSEAL 911という団体のメンバーで、暗号資産被害者を支援するボランティア組織です。私はダウンロードしたスクリプトとビデオ会議のリンクを彼女に送付しました。
「これは北朝鮮のハッカーによるものです」と、彼女は数秒後に即座に返信しました。
もし当時、私がそのスクリプトを実行していたら、ハッカーは私のパスワード、Telegramアカウント、そして保有するすべての暗号資産を盗んでいたでしょう。幸運にも、私は少量のビットコインと数種類の他の暗号資産しか保有していませんでした。
ハッカー攻撃の特性上、犯人の特定は100%確実に行うことが難しいですが、今回の私の危機一髪の事件において、モナハン氏は「リンクやスクリプト、さらには偽のスウィック氏のアカウントに至るまで、すべての手がかりが北朝鮮を指し示しています」と語りました。調査員は、ブロックチェーン分析などの複数の証拠を統合することで、こうした事件を北朝鮮と結びつけます。また、北朝鮮のハッカー活動を長年にわたり追跡している別の2人のセキュリティ研究者にも、私が送付したスクリプトとリンクを提示したところ、彼らも同様の判断を下しました。
「代わりに、あの北朝鮮のハッカーに、よろしく伝えてあげてください(笑)」と、モナハン氏は、私を標的にした北朝鮮のハッカーについて述べました。
モナハン氏をはじめとするセキュリティ研究者たちは、これまでに数百件の暗号資産業界向け偽ビデオ会議フィッシング事件を処理してきました。この手口はパターン化されていますが、非常に効果的です。
ハッカーはまず、実在するユーザーのTelegramアカウントを乗っ取り、その連絡先リスト内の人物に接触します。被害者はビデオ会議への参加を促されますが、会議中に音声が正常に機能しないように設定されています。その後、被害者は「音声を修復するためのアップデートプログラム」を実行するよう誘導されます。このスクリプトを実行すると、ハッカーは被害者の暗号資産、パスワード、およびTelegramアカウントを不正に取得できるようになります。
実際、グーグルが水曜日に発表した報告書によると、私を標的にしたこの北朝鮮ハッカーグループは、広範なソフトウェア開発者層を対象とした新たな攻撃も同時並行で計画中です。
私はランボルギーニを所有するビットコイン富豪ではありませんが、モナハン氏は「北朝鮮のハッカーは金持ちだけをターゲットにしていない」と指摘しました。彼女によれば、最近は暗号資産関連のジャーナリストが次々と標的にされており、その理由は、彼らのTelegramに多数の関係者が登録されているためだということです。これらの連絡先の中には、おそらく多くの暗号資産富豪が含まれているでしょう。
ウイルスが健康な細胞を乗っ取るように、ハッカーはこうしたアカウントを支配し、そこからさらに連絡先リスト内の人物へと攻撃を拡大していきます。私もまさにそのような形で、危うく被害に遭うところでした。私は知っている人物と話していると思い込んでいたため、油断してしまったのです。
「偽の私」
私はパソコンを完全に初期化し、すべてのパスワードを変更した後、何度もIT管理者に感謝の意を伝えました。そして最終的に、この情報提供者に電話をかけました。予想通り、彼のTelegramアカウントは3月初旬にすでに乗っ取られていたのです。
「私のTelegramにはたくさんの連絡先が登録されていますが、スマートフォンやパソコンには一切保存していません」と彼は言いました。「でも、それ以上に辛いのは、誰かが私のふりをして、私の名前を使って他人を騙しているという事実です。このような個人的な侵害は、本当に耐え難い気分です」
さらに、彼は3週間にわたり何度かTelegramに支援を要請しましたが、一向に返答はありませんでした。Telegramの広報担当者は声明で「Telegramはあらゆる手段を尽くしてアカウント保護に努めていますが、いかなるプラットフォームもユーザーが詐欺に遭うことを100%防ぐことはできません」と述べました。また、私が連絡した後、プラットフォーム側はこのヘッジファンド投資家のアカウントをすでに凍結したと補足しました。
私はまた、本物のアダム・スウィック氏にも連絡を取りました。2月初旬から、Telegram上で彼を装った偽アカウントが多数出現し、元MARA幹部のスウィック氏は、無数のSMSや電話を受け、「なぜミーティングを設定したのか」と問い質されています。彼は毎回謝罪するしかありません。
「でも、相手から『おい、何を謝ってるんだ?』と返されることがあります」とスウィック氏は言います。「そんなときは、『わかりませんが、偽の私が謝っているつもりで……本当に申し訳ありません』と答えるしかないんです」
スウィック氏は、ハッカーがなぜ自分を装うのかは不明ですし、私の情報提供者も、自分のTelegramアカウントがどのように乗っ取られたのかはわかっていません。しかし、電話での会話の終わり際に、私たち二人は突然、その可能性のある答えに気づきました。
この投資家のTelegramアカウントが乗っ取られる直前に、最後に連絡を取っていた人物の一人が、偽のスウィック氏だったのです。「私は彼とZoomでミーティングをしましたが、彼の側の音声が接続できませんでした」と、私の情報提供者は言いました。「うっすらと、何かをダウンロードした記憶があります」
つまり、私の情報提供者も、同一のハッカーグループによって標的にされていた可能性が高いということです。彼のパソコンもすでに感染しているのではないかと気づいた瞬間、このヘッジファンド投資家は電話を急いで切り、自らのパソコンを即座に初期化しました。
私はTelegramで偽のアダム・スウィック氏のアカウントにメッセージを送りました。「このアカウントは北朝鮮のハッカーによって制御されていますか?」
現在に至るまで、私は一切の返信を受けていません。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@FortuneMagazine
