これまで、デジタルウォレットの紛失はユーザーが誤って秘密鍵を公開したことが原因となることが多かったが、現在ではハッカーはユーザーが知らないうちに資産を寄付するのを「手助けする」ツールを作成している。
この傾向を示す最近の 2 つの注目されたインシデントは、悪意のある拡張機能の出現と、ブロックチェーン業界関係者を標的とした APT キャンペーンです。
TheHackerNewsは、2025年11月中旬、「Safery: Ethereum Wallet」と呼ばれるChromeブラウザ拡張機能の発見がセキュリティコミュニティに衝撃を与えたと報じました。安全で柔軟性の高いEthereumウォレットを装ったこの拡張機能は、実際には巧妙に設計された「吸血マシン」でした。
セキュリティ研究者「Safery」によると、サイバー攻撃者はブロックチェーン技術を利用して犯罪を隠蔽しているという。具体的には、ユーザーがこの偽ウォレットに復元フレーズ(シードフレーズ)を入力すると、マルウェアはそのフレーズをSuiネットワーク(Suiブロックチェーン)上のウォレットアドレスに暗号化する。
攻撃者は受信アドレスを追跡して復号するだけで、元のシードフレーズを復元し、被害者のデジタルウォレットから密かに資金を流出させることができます。危険なのは、データ窃取プロセス全体が通常のブロックチェーン取引と全く同じように見えるため、セキュリティ監視システムがほぼ「盲目」になってしまう点です。
カスペルスキーの調査により、攻撃対象が一般ユーザーだけではなく、悪名高いサイバー犯罪グループ BlueNoroff (別名 Sapphire Sleet または APT38) が、Web3 分野のプログラマーや幹部を直接狙った 2 つの新たな標的型攻撃キャンペーン、GhostCall と GhostHire を展開していることが判明しました。
GhostCallキャンペーンでは、ハッカーはベンチャーキャピタリスト(VC)を装い、Telegram経由で標的にアプローチしました。恐ろしかったのは、巧妙なソーシャルエンジニアリングでした。ハッカーは、被害者をZoomやMicrosoft Teamsなどの偽のウェブサイトでビデオ会議に参加するよう誘い込みました。
参加すると、被害者は他の参加者の動画を見ることになります。しかし、これは多くの人が誤解しているようにディープフェイクではなく、ハッカーによって盗まれた過去の被害者の実際の音声・動画記録です。
この「信頼性」により、被害者は警戒を怠り、悪意のある AppleScript (macOS の場合) や悪意のある実行ファイル (Windows の場合) を含む偽の「アップデート」を簡単にダウンロードしてしまいます。
2025 年のフィッシング手法に関するカスペルスキー社の最新レポートによると、ハッカーはカレンダー フィッシングのトリックをビジネス レベル (B2B) で「復活」させています。
大量の「スパム」メールを送信する代わりに、イベントの説明に悪意のあるリンクを記載した偽の会議招待状を送信します。ユーザーがメールを開かなくても、スマートフォンのカレンダーアプリのリマインダーで、好奇心からリンクをクリックするように誘導することができます。
さらに、QRコードの使用は新たな形態を取り、PDF添付ファイルにQRコードを埋め込むようになりました。これらのPDFは、自動ウイルススキャンツールを回避するためにパスワードで保護されている場合があります(パスワードはメールまたは別のメールで送信されます)。
QR コードをスキャンすると、ユーザーは偽のフィッシング サイトにアクセスするために、企業のコンピューターと同じ強力なセキュリティ保護が備わっていないことが多い個人のモバイル デバイスを使用する必要が生じます。
カスペルスキー社のセキュリティ研究者は、ハッカーが偽のログイン ページ (pCloud ストレージ サービスになりすますなど) を作成し、API を介して実際のサービスとリアルタイムでやり取りできる注目すべき手法を示しました。
ユーザーが偽サイトにログイン情報とワンタイムパスワード(OTP)を入力すると、サイトは即座にそのデータを本物のサービスに転送します。情報が正しければ、ハッカーはユーザーが気付く前にログインセッションを乗っ取ります。
さらに、フィッシングサイトのセキュリティフィルターによる検出と分析を回避するため、ハッカーは「検証チェーン」を設定しています。ユーザーがリンクをクリックすると、目的のページ(偽のGoogle/Microsoftログインページ)に到達するまでに、何層ものCAPTCHA認証コードや偽の検証ページを通過する必要があります。これにより、自動検証ボットがフィルタリングされるだけでなく、ウェブサイトが完全に安全であるという誤った信頼感がユーザーに生まれます。
フィッシングの危険性は「フィッシング・アズ・ア・サービス」モデルによってさらに増大します。これは、Google が最近、Lighthouse プラットフォームの背後にいるハッカーに対して起こした訴訟からも明らかです。
2025 年には、暗号通貨の世界における安全と危険の境界線はこれまで以上に薄くなります。
サイバー犯罪者はもはや単なる影のマルウェア作成者ではなく、ユーザーの行動を理解する「心理学者」であり、セキュリティ技術(ブロックチェーン、2要素認証など)を利用して被害者を攻撃する方法を知っている「エンジニア」でもあります。
投資家にとって、「秘密鍵を共有しない」というアドバイスはもはや十分ではありません。カスペルスキーの専門家は、拡張機能の出所を注意深く確認すること、オンライン会議への招待や予期せぬ求人オファーには警戒すること、そしてメールのログイン要求(PDFやCAPTCHAで保護されている場合でも)には注意することが、罠だらけのデジタル時代を生き抜くための必須スキルだと述べています。
カスペルスキーの専門家によると、Windows ノートパソコンから MacBook まで、重要なデバイスでは常にファイアウォール付きのセキュリティ ツールを使用する必要があり、小型コンピューターと見なされるスマートフォンにも保護アプリケーションが必要であることも忘れてはなりません。
投資資産を保管するデジタルウォレットには、信頼を託すための「価値のある」保護アプリケーションが本当に必要です。
出典: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html
![[写真] ラオス建国記念日50周年を祝うパレード](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F02%2F1764691918289_ndo_br_0-jpg.webp&w=3840&q=75)
![[写真] ケオパゴダにある約400年前の宝物、トゥエットソン像を拝む](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F02%2F1764679323086_ndo_br_tempimageomw0hi-4884-jpg.webp&w=3840&q=75)
コメント (0)