Web3業界を震撼させる新たな脅威
近年、Web3業界で働く個人を狙った、巧妙な仮想通貨窃盗の手口が報告されています。一見、普通のビデオ会議プラットフォームに見せかけた悪意のあるソフトウェアを使用し、ユーザーの重要な情報を盗み出すというものです。本記事では、この新たな脅威の実態と、身を守るための対策について解説します。
巧妙化する手口
攻撃者はまず、Telegramなどのコミュニケーションチャネルを通じて標的となる人物に接触し、ビジネスチャンスについて話し合ったり、ビデオ通話を設定したりしようとします。この際、攻撃者は、標的が知っている人物になりすましたり、本物と見分けがつかないような投資資料を送信したりして、信頼を得ようとします。
そして、標的に対し、一見正規のものに見えるWebサイトから会議用アプリケーションをダウンロードするよう誘導します。これらのWebサイトは、ブログ記事やソーシャルメディアアカウントなどを含むAI生成コンテンツによって支えられており、一見すると本物の企業サイトと区別がつきません。しかし実際には、これらのWebサイトにはマルウェアが仕込まれており、アプリケーションをダウンロードしたとたんに、端末がウイルスに感染してしまうのです。
盗まれる情報
「Realst stealer」として知られるこのマルウェアは、WindowsとmacOSの両方に対応しており、以下の情報を盗み出すことが確認されています。
- Telegramのログイン情報
- 銀行のカード情報
- キーチェーンのログイン情報
- 複数のブラウザのクッキーと自動入力情報
- LedgerやTrezorなどのハードウェアウォレットの情報
- ウェブブラウザに保存されている仮想通貨
特に、マルウェアがインストールされる前から、偽の会議用Webサイトに仕込まれたJavaScriptによって、ウェブブラウザに接続されている仮想通貨ウォレットから仮想通貨が盗まれるケースも報告されています。
巧妙な偽装
攻撃者は、セキュリティソフトによる検出を回避するために、偽の会議ソフトウェアの名前やブランドを「Clusee」「Cuesee」「Meetone」「Meetio」など、頻繁に変更しています。また、macOSではマルウェアは「CallCSSetup.pkg」としてパッケージ化されており、ユーザーにシステムパスワードの入力を求めるために「osascript」ツールを使用し、権限昇格を行います。Windowsでは、マルウェアは、盗難された可能性のある正規の署名で署名されたNullsoft Scriptable Installer System (NSIS) ファイルを介して配布されます。これらの巧妙な偽装により、ユーザーは自分が騙されていることに気づかないまま、重要な情報を盗み出されてしまう危険性があります。
対策
このような被害に遭わないためには、以下の点に注意することが重要です。
- ソフトウェアをダウンロードする際は、提供元が信頼できるものであることを必ず確認する
- 不審なメールやメッセージに記載されているリンクをクリックしたり、添付ファイルを開いたりしない
- セキュリティソフトを最新の状態に保ち、ファイアウォールを有効にする
- OSやソフトウェアのアップデートは、常に最新の状態を保つ
Web3業界で働く人々は、特にこれらの脅威に対して注意を払い、自らの資産と情報を守るようにしてください。怪しいと思ったら、安易に信用せず、まずはセキュリティ対策を徹底しましょう。
