![David ZhangがX(旧ツイッター)で公開したフィッシング攻撃の事例に関する投稿 [ソース:https://x.com/dazhengzhang/status/1937773747068682432]](https://i0.wp.com/criminalipdotcodotjp.wpcomstaging.com/wp-content/uploads/2025/07/%E5%8C%97%E6%9C%9D%E9%AE%AE%E3%81%AE%E3%83%8F%E3%83%83%E3%82%AB%E3%83%BC%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%80%8CKimsuky%E3%80%8D1.jpg?resize=592%2C580&ssl=1)
2025年6月25日、ステーブルコインサービスの「Stably」と公共補助金用プロトコル「dTRINITY」の共同創業者であるDavid Zhangは、自分のX(旧ツイッター)を通じて、Zoomを装った巧妙なフィッシング攻撃の事例を公開しました。
この攻撃は、単に悪意のあるリンクを送ってクリックを誘導する仕組みではなく、知り合いのアカウントを乗っ取って信頼を装い近づくソーシャルエンジニアリングの手法でした。攻撃者はZoomでのビデオ通話を口実に、Zoomのインストールファイルを装ったマルウェアを送信し、相手が疑いを示すとGoogle MeetではなくZoomのみを主張するなど、事前のシナリオまで用意した緻密な攻撃でした。
本記事では、攻撃プロセスと共に、Criminal IPを活用してフィッシングドメインから関連する脅威インフラまでを追跡し、実際の背後の組織を特定したプロセスを詳細に分析します。
Zoomを装った悪質なミーティングの招待
![David ZhangのX(旧ツイッター)投稿:攻撃者がZoomを装ったフィッシングサイトへのアクセスを誘導している [ソース:https://x.com/dazhengzhang/status/1937773756346433608]](https://i0.wp.com/criminalipdotcodotjp.wpcomstaging.com/wp-content/uploads/2025/07/%E5%8C%97%E6%9C%9D%E9%AE%AE%E3%81%AE%E3%83%8F%E3%83%83%E3%82%AB%E3%83%BC%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%80%8CKimsuky%E3%80%8D2-1024x250.jpg?resize=1024%2C250&ssl=1)
攻撃者は「zkVerify」と「DeFi」プロトコルのコラボの可能性を話題に挙げ、ミーティングを要請しました。会議当日に送付されたリンクは、一見Zoomの公式URLのように偽装されていました。しかし、実際にはマルウェアが埋め込まれた「.pkg」ファイルが自動的にダウンロードされるフィッシングサイトでした。
リンクをクリックすると、デバイスに自動的に『Zoom.pkg』というファイルがダウンロードされ、このファイルはZoomのインストールファイルを装ったマルウェアである可能性が高いと推定されます。攻撃者はGoogle Meetなどの代替プラットフォームを提案してもZoomの使用をこだわるなど、事前のシナリオが綿密に構成されていました。
Criminal IPを活用した脅威インフラの分析
まず、Criminal IPのドメイン検索でフィッシングリンクに使用されたドメインを調査した結果、そのドメインは2025年5月14日に登録された匿名ドメインであり、「HOSTWINDS」というホスティング業者を通じて運営されていることが確認されました。
接続されたIPアドレスは23.254.247.XXでした。
その後、当IPアドレスをCriminal IPのIT資産検索で照会した結果、北朝鮮政府の支援を受けるハッキング組織である「Lazarus」とその傘下組織の「Bluenoroff」が使用する脅威インフラの一つとして特定されました。
David Zhangのように暗号資産業界の関係者を標的としている点から、金銭的利益を目的とした攻撃を行う「Bluenoroff」によるものと見られます。
| ハッキンググループ | 説明 |
|---|---|
| Lazarus | 北朝鮮政権の支援を受けるハッキンググループ。 政治的・軍事的・経済的な目的の攻撃を実施する。 |
| Bluenoroff | Lazarusの傘下組織。主に暗号資産の窃取を目的とした攻撃を実施する。 |
該当IPアドレスではRDP(3389ポート)が開放されており、Criminal IPで関連するSSL証明書を追跡した結果、攻撃者が利用している追加の悪意あるインフラまで確認することができました。
また、Criminal IPのハッキンググループで「Bluenoroff」を検索すると、そのハッキンググループの活動が検出された日付をはじめ、関連記事、被害国など、多角的な情報を1ページで包括的に把握できます。
FAQ(よくある質問)
Q1. フィッシングドメインが実際のハッキンググループと関連しているかどうかをどのように判断しますか?
Criminal IPは、世界中の数十億の資産(IP、ドメインなど)に関する脅威インフラDBとメタデータを基に、当該ドメインが使用された場所、IP接続、SSL証明書、関連する悪意のある行為などを総合的に分析し、既知のハッキンググループとの関連性を自動的に特定します。単一のドメインであっても、関連するインフラを一緒に分析すれば、状況証拠がより明確になります。
Q2. 単にドメインを照会するだけで、ハッカーの正体を特定できますか?
単一のドメインだけでは、ハッカーの正体を100%特定することは困難です。しかし、Criminal IPはドメインに接続されたIPアドレス、ホスティング情報、SSL証明書、ポート状態など複数の要素を基に、攻撃インフラ全体のパターンを追跡し、これにより特定のハッキンググループが使用してきたインフラとの関連性を定量的に分析できます。
結論
今回の攻撃は、単なるメールフィッシングのレベルを超え、信頼を装って悪意のあるファイルの拡散を試みた高度なソーシャルエンジニアリング攻撃の事例です。
しかし、単一のフィッシングリンクであっても、Criminal IPを活用することでドメイン、IP、SSL証明書などインフラのレベルで脅威アクターの正体と関連性を追跡することができます。脅威インテリジェンスに基づくインフラレベルでの追跡と分析の重要性を示す好例です。
関連内容については、「Kimsukyのハッカーが作った高麗大学のフィッシングサイト、研究機関全体を狙うのか」もぜひご参照ください。
データソース:Criminal IP(https://www.criminalip.io/ja)、David Zhang(https://x.com/dazhengzhang)
関連記事:
