Home / サイバー犯罪 / ブルーノロフ、Web3開発者狙う偽投資会議と採用詐欺攻撃を確認

ブルーノロフ、Web3開発者狙う偽投資会議と採用詐欺攻撃を確認

2025年10月31日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

ブルーノロフによるWeb3開発者狙いの偽投資会議&採用詐欺攻撃を確認

サイバー攻撃グループ「BlueNoroff(ブルーノロフ)」が、Web3やブロックチェーン業界の開発者や経営層を標的にした巧妙な攻撃キャンペーンを展開しています。2025年に確認された「GhostCall」と「GhostHire」という二つの攻撃は、偽のオンライン会議や採用詐称を通じてマルウェアを感染させる手口で、AIを活用した高度な手法が特徴です。

主要なポイント

  • BlueNoroffの狙い:Web3/ブロックチェーン業界の開発者やCレベル経営者を対象にした攻撃「SnatchCrypto」作戦を実施。
  • GhostCallキャンペーン:macOSユーザーを中心に、ZoomやMicrosoft Teamsを装った偽オンライン会議でマルウェアを感染させる。
  • GhostHireキャンペーン:GitHub上の偽リポジトリからマルウェアをダウンロードさせる採用詐称攻撃。
  • AI活用:攻撃の精度と効率を高めるためにAI技術を導入し、被害者の行動をリアルタイムで監視するビーコン機能も搭載。
  • 攻撃の進化:2023年からWindowsを標的に開始し、macOSへと標的をシフト。2025年9月以降はZoomからMicrosoft Teamsの偽装へと変化。

技術的な詳細と背景

GhostCallでは、攻撃者がTelegramを使って投資家や起業家を装い、Calendlyで偽の会議を設定します。被害者はZoomを模した偽サイトに誘導され、実際の被害者の録画映像を流すことでライブ通話のように見せかけられます。会議中に提示される「Zoom SDKアップデート」リンクをクリックすると、macOSではAppleScriptファイル(Zoom SDK Update.scpt)がダウンロード・実行されます。

このAppleScriptはさらに別のスクリプトをcurlコマンドでダウンロードし、偽のZoomやMicrosoft Teamsアプリを一時ディレクトリ(/tmp)にインストール。macOSのTCC(透明性・同意・制御)機能を巧妙にバイパスし、ユーザーの許可なしにカメラやファイルアクセス権限を付与します。これにより、パスワード管理アプリ(Bitwarden、LastPassなど)、メモアプリ、Telegramのデータが盗まれます。

Windows環境では「ClickFix」と呼ばれる手法で、クリップボードの内容を悪意あるコードに書き換える攻撃を実施。マルウェアは複数の感染チェーンを持ち、キーロガーや情報窃取ツールを含みます。

影響と重要性

この攻撃は特にWeb3/ブロックチェーン業界の開発者や経営層、マネージャーを狙っており、macOSを利用するテック企業の経営者やベンチャーキャピタル関係者も被害対象です。TelegramやGitHubのユーザーも標的に含まれ、業界全体のセキュリティリスクが高まっています。

攻撃者が被害者の録画映像を再利用する巧妙な手口や、偽装プラットフォームの切り替え(ZoomからMicrosoft Teamsへ)など、攻撃の進化が顕著です。また、リアルタイムで感染成功率を追跡するビーコン機能を実装している点も注目されます。

推奨される対策

  • TelegramやCalendly経由の不審な招待やリンクに注意し、安易にクリックしない。
  • ZoomやMicrosoft Teamsのアップデートは必ず公式サイトやアプリ内から行う。
  • macOSでのAppleScript実行を慎重に扱い、不審なスクリプトは許可しない。
  • TCC設定の変更や不審なアプリのインストールを常に監視する。
  • パスワード管理アプリや重要データのバックアップ、多要素認証(MFA)の導入を徹底する。
  • セキュリティベンダーの最新情報を確認し、マルウェア検知ツールを活用する。
  • 社内でのフィッシング教育を強化し、疑わしい通信の監視体制を整備する。

まとめ

BlueNoroffによる「GhostCall」と「GhostHire」キャンペーンは、Web3業界の発展とともに高度化するサイバー攻撃の一例です。偽のオンライン会議や採用詐称を通じてマルウェアを感染させる手口は、AIを活用した精巧なものとなっており、特にmacOSユーザーに対する脅威が増大しています。業界関係者は今回の攻撃手法を理解し、適切な対策を講じることが重要です。常に最新のセキュリティ情報を追い、疑わしい通信やファイルに注意を払うことが被害防止の鍵となります。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です