攻撃手法

AhnLab が発表した『2025年ネットワーク脅威トレンドと2026年セキュリティ展望』レポートによると、北朝鮮背景のハッカー組織 Lazarus が過去12ヶ月で最も多く言及されており、主に「標的型フィッシング」を利用して攻撃を実施し、講演会の招待や面接のリクエストなどのメールに偽装してターゲットを誘導しています。レポートでは、Lazarus が今年2月21日の Bybit のハッキング事件（損失14億ドル）や最近の韓国取引所 Upbit の3000万ドルの脆弱性攻撃など、複数の重大な攻撃の主要な容疑者と見なされていると述べています。AhnLab は、セキュリティを向上させるために、企業は定期的なセキュリティ監査、迅速なパッチ更新、従業員教育の強化を含む多層防御システムを構築する必要があると述べています。同社はまた、個人ユーザーに対して多要素認証の使用、未知のリンクや添付ファイルの慎重な取り扱い、個人情報の過度な露出の回避、公式チャネルからのみコンテンツをダウンロードすることを推奨しています。AhnLab は、AI アプリケーションの普及に伴い、攻撃者が識別が難しいフィッシングメール、偽装ページ、ディープフェイクコンテンツを生成しやすくなるため、今後関連する脅威がさらに複雑化する可能性があると指摘しています。（Cointelegraph）

ChainCatcher のメッセージ、SlowMist の情報セキュリティ責任者 23pds が X プラットフォームで発表したところによると、新型 WebAuthn キーによるログインバイパス攻撃手法が存在します。攻撃者は悪意のあるブラウザ拡張機能やウェブサイトの XSS 脆弱性を利用して WebAuthn API をハイジャックし、パスワードログインへの強制的なダウングレードや、資格情報を盗むためのキー登録プロセスの改ざんを実現できます。この攻撃は、デバイスへの物理的接触や生体認証機能へのアクセスを必要としません。WebAuthn は W3C と FIDO アライアンスによって策定された重要な Web 認証標準であり、ハードウェアキーや生体認証など多様な認証方式をサポートしており、現在はウェブサイトの安全なログインに広く利用されています。関連企業やユーザーは、このセキュリティリスクに迅速に注意を払うことをお勧めします。

ChainCatcher のメッセージによると、SlowMist の創設者である余弦はソーシャルプラットフォームで次のように述べています。「証拠分析と関連追跡を通じて、CEX の盗難事件の攻撃者が北朝鮮のハッカー組織 Lazarus Group であることを確認しました。これは暗号通貨取引プラットフォームに対する国家レベルの APT 攻撃です。関連する IOC（Indicators of Compromise）を共有することに決定しました。その中にはいくつかのクラウドサービスプロバイダーやプロキシなどの IP が利用されています。注意が必要なのは、本記事の開示ではどのプラットフォームであるかは言及されておらず、Bybit であるとも言っていません。もし類似の事例があれば、それは本当に不可能ではありません。」攻撃者は pyyaml を利用して RCE（リモートコード実行）を行い、悪意のあるコードを配信し、ターゲットのコンピュータやサーバーを制御しました。この方法はほとんどのウイルス対策ソフトウェアの検出を回避しました。パートナーと情報を同期した後、さらに複数の類似の悪意のあるサンプルを取得しました。攻撃者の主な目標は、暗号通貨取引プラットフォームのインフラを侵入し、ウォレットの制御を取得し、その結果としてウォレット内の大量の暗号資産を不正に移転することです。SlowMist は Lazarus Group の攻撃方法を明らかにするまとめ記事を発表し、社会工学、脆弱性の悪用、権限の昇格、内部ネットワークへの侵入、資金移転などの一連の戦術を分析しました。また、実際のケースに基づいて APT 攻撃に対する防御の提案をまとめ、業界に参考を提供し、より多くの機関がセキュリティ防護能力を向上させ、潜在的な脅威の影響を減少させることを願っています。

チェーンキャッチャーのメッセージ暗号金融サービスプラットフォーム Amber Group がツイートし、彼らのチームが Wintermute の 1.6 億ドルの盗難事件において、ハッカーが構築した脆弱性を再現し、攻撃を開始する手法を成功裏に再現したと述べています。現在、M1 プロセッサーと 16G メモリを搭載した MacBook を使用して、48 時間以内に秘密鍵を再現できるようになりました。関連する完全な詳細の記事は、今後数日以内に公開される予定です。チェーンキャッチャーは以前、暗号マーケットメーカー Wintermute の創設者 Evgeny Gaevoy が 9 月 20 日にツイートし、Wintermute が DeFi のハッカー攻撃で 1.6 億ドルを失ったと述べたことを報じました。現在、同社の CeFi および OTC ビジネスには影響がないとのことです。SlowMist セキュリティチームの分析によると、盗まれた理由は Wintermute の盗まれた EOA ウォレットが Profanity を使用して作成された番号付きウォレット（先頭 0x0000000）である可能性があります。（出典リンク）