北朝鮮ハッカーのZoom乗っ取り：5分で完了する「ClickFix」攻撃の恐怖

📖この記事は約14分で読めます

1. 5分で完了する完全乗っ取り、北朝鮮ハッカーの新戦術

Zoom会議が攻撃の入り口になる

2026年4月27日、セキュリティ企業Arctic Wolf Labsが衝撃的なレポートを公開しました。北朝鮮に関連するハッキング集団「BlueNoroff」による大規模なフィッシングキャンペーンの詳細です。

標的は暗号資産企業やWeb3関連組織。北米を中心に20カ国以上、100社以上が狙われています。特にCEOや創業者といった意思決定層への攻撃が集中しています。

従来のメールフィッシングとは異なり、この攻撃は「Zoom会議」を誘導材料としています。被害者がリンクをクリックした瞬間から、システム完全乗っ取りまでわずか5分以内で完了します。

ClickFix攻撃の正体

この攻撃手法は「ClickFix」と呼ばれています。クリップボード注入攻撃の一種で、ユーザーが無意識に悪意のあるコードを実行してしまう仕組みです。

被害者は偽のCalendlyカレンダー招待や、タイポスクワット（似せたドメイン）されたZoomリンクをクリックします。一見すると通常のビジネスミーティングのよう見えます。

しかし、リンクを開いた瞬間にバックグラウンドでPowerShellスクリプトが実行されます。ユーザーは何も入力せず、画面をクリックするだけで感染してしまうのです。

なぜ今、この攻撃が危険なのか

BlueNoroffは金融動機を持つグループとして知られています。2016年のバンラック銀行事件で約8100万ドルを流出させたLazarusグループのサブグループです。

2017年以降、「SnatchCrypto」作戦として暗号資産業界を継続的に標的にしてきました。今回公開されたレポートは、その攻撃手法がさらに高度化・AI化していることを示しています。

特に注目すべきは、被害者のライブカメラ映像をAIで加工し、新たな標的を誘導する「自己完結型のディープフェイクパイプライン」の構築です。これは従来のフェイク画像とは次元の違う脅威です。

2. BlueNoroffの攻撃インフラと技術詳細

PowerShellベースのC2インプラント

攻撃の核心はPowerShellベースのコマンド・コントロール（C2）インプラントです。これはWindows環境に深く根付くため、検知が極めて困難です。

感染後、ハッカーはシステムに最大66日間アクセスを維持します。この間、内部ネットワークの探索や機密データの窃取を行います。

PowerShellはWindows管理者が日常的に使うツールです。そのため、セキュリティソフトが通常の管理コマンドと区別できないケースが多いのです。

AES暗号化されたブラウザ注入ペイロード

データ窃取にはAES暗号化されたブラウザ注入ペイロードが使用されます。これは被害者のブラウザセッションを乗っ取り、ログイン情報を盗む技術です。

特に暗号資産取引所やウォレット管理システムへのアクセス権限が狙われます。セッションハイジャックにより、二段階認証を回避してログインすることが可能です。

注入されたコードはAESで暗号化されるため、ネットワークトラフィックの監視だけでは中身を確認できません。通信の異常なパターンを検知する必要があります。

Telegram Bot APIによるデータ流出

窃取したデータはTelegram Bot APIを経由して外部に流出します。Telegramは暗号化通信を提供するため、通信内容の傍受が難しいです。

ハッカーは定期的にスクリーンショットを撮影し、これをTelegram経由で送信します。被害者の画面に表示されているパスワードや取引情報などがそのまま盗まれます。

この手法の怖いところは、ファイルのアップロードを伴わないことです。スクリーンショットという形で情報を流出させるため、DLP（データ損失防止）システムをすり抜けやすくなります。

3. AI生成ディープフェイクの恐ろしさ

ライブ映像のリアルタイム加工

BlueNoroffの最大の特徴は、被害者のライブカメラ映像をAIで加工する能力です。これは単なる事前録画ではなく、リアルタイムでの顔合成技術です。

ハッカーは被害者の映像を取得し、AIモデルで顔を別の人物に置き換えます。これにより、信頼できる人物や上司のふりをして新たな標的を誘導します。

2026年現在のAI技術では、音声を同期させながら顔だけを差し替えることが可能です。Zoomなどのビデオ通話では、画面の遅延や画質低下を「通信不良」と誤認させる工夫もされています。

自己完結型の攻撃パイプライン

このディープフェイク技術は「自己完結型」です。一度システムに侵入すれば、外部のサーバーに依存せずに内部で映像加工が可能になります。

GPUリソースがあれば、ローカルでリアルタイムの顔合成が可能です。BlueNoroffは被害者のPCそのものを攻撃インフラとして利用している可能性があります。

これにより、攻撃の痕跡を外部に残さず、内部から新たな標的を騙し続けることができます。チェーン状の被害拡大を防ぐのが非常に困難です。

80%が暗号資産業界という標的選定

Arctic Wolfの分析によると、被害者の80%が暗号資産業界に所属しています。そのうち45%がCEOや創業者といったトップ層です。

暗号資産企業は多額の資金を管理しており、ハッカーにとって格好の標的となります。また、新しい技術を採用する傾向があり、セキュリティ対策が追いついていないケースも多いです。

地理的分布を見ると、41%が米国、11%がシンガポール、7%が英国です。北米が最大の標的ですが、アジアや欧州も無視できません。

4. 既存のセキュリティ対策との比較検証

伝統的なマルウェア対策の限界

従来のアンチウイルスソフトは、既知のマルウェアシグネチャを検知する方式が主流です。しかし、ClickFix攻撃はPowerShellという正当なツールを利用します。

PowerShellスクリプトは動的に生成されるため、シグネチャベースの検知では対応できません。また、AES暗号化されたペイロードも中身を確認できないため、検知が困難です。

さらに、Telegram Bot APIは正当なサービスです。このAPIを使用した通信を不正と判断するには、通信の内容やパターンを高度に分析する必要があります。

EDR/XDRソリューションの役割

エンドポイント検知・対応（EDR）や拡張検知・対応（XDR）ソリューションは、行動ベースの検知が可能です。PowerShellの異常な実行パターンを検知できます。

しかし、BlueNoroffの攻撃は「5分以内」で完了します。EDRがアラートを発報し、セキュリティチームが対応するまでのタイムラグがあります。

また、PowerShellのログ記録が適切に設定されていない場合、EDRでも詳細な行動を追跡できません。ログ収集の設定が不十分な環境では、EDRの効果も限定的です。

比較表：セキュリティ対策の有効性

5. 自宅PCユーザー向けのセキュリティ対策

ローカルLLM環境のセキュリティリスク

私たちがOllamaやLM StudioでローカルLLMを動かす際、PowerShellやコマンドプロンプトをよく使います。これが攻撃者に悪用される可能性があります。

特に、GitHubや技術ブログからコピーしたスクリプトをそのまま実行するのは危険です。スクリプト内に隠れた悪意のあるコードがあるかもしれません。

また、GPUリソースを活用したAI処理は、システムへの負荷が高いため、セキュリティソフトのパフォーマンスを低下させる可能性があります。注意が必要です。

PowerShellの実行ポリシー設定

PowerShellの実行ポリシーを厳格に設定することで、無断のスクリプト実行を防げます。以下のコマンドでRemoteSigned以上の設定を確認しましょう。

Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser

RemoteSigned設定では、ローカルで作成したスクリプトは実行できますが、ネットワークからダウンロードしたスクリプトは署名されていないと実行できません。

AllSigned設定にすると、すべてのスクリプトにデジタル署名が必要になります。より厳格ですが、開発環境では不便になる可能性があります。

ブラウザ拡張機能の制限

ブラウザ注入ペイロードを防ぐには、不要な拡張機能を無効にします。特に、パスワード管理やセッション共有系の拡張機能は注意が必要です。

ChromeやEdgeの設定で、「拡張機能が常に実行される」オプションをオフにします。必要な時だけ拡張機能を有効にする習慣をつけましょう。

また、ブラウザのプロファイル分離も有効です。仕事用とプライベート用でプロファイルを分け、仕事用には最小限の拡張機能のみを有効にします。

6. ディープフェイク検知の現状と限界

リアルタイム検知の技術的課題

Zoomなどのビデオ通話でディープフェイクをリアルタイムに検知する技術はまだ発展途上です。2026年現在、完全な検知は困難です。

ディープフェイク検知AIは、顔の歪みや不自然な動きを検出しますが、高品質な生成モデルではこれらの特徴がほぼ消滅しています。

また、検知AI自体が誤検知を起こすリスクがあります。正常な映像をディープフェイクと誤判定し、会議を中断させる事態も起こり得ます。

本人確認の多要素化

映像の信頼性を高めるには、本人確認を多要素化します。映像だけでなく、音声やテキストでの確認を併用しましょう。

例えば、重要な指示や資金移動の承認は、ビデオ通話だけでなく、SMSや認証アプリでの二段階確認を行います。これにより、ディープフェイクによる騙し取りを防げます。

また、事前に共有したワンタイムパスワードや、特定の合言葉を確認する方法も有効です。ハッカーがリアルタイムでこれらの情報を入手するのは困難です。

ローカルAIによる検知の可能性

将来的には、ローカルLLMや専用AIモデルによるディープフェイク検知が普及する可能性があります。プライバシーを保護しながら、ローカルで映像を分析できます。

現在、オープンソースのディープフェイク検知モデルがいくつか公開されています。これらのモデルをローカル環境で動作させ、リアルタイムの検知を試すことができます。

ただし、検知精度はまだ十分ではありません。また、検知モデル自体が新しい生成技術に対応できないリスクもあります。継続的なモデル更新が必要です。

7. 暗号資産業界への影響と教訓

資金流出のリスク管理

暗号資産企業は、多額の資金を管理しているため、セキュリティ侵害による影響が甚大です。BlueNoroffのような高度な攻撃に対応できる体制が必要です。

特に、CEOや創業者といった意思決定層への攻撃は、組織のトップダウンでセキュリティ対策を強化するきっかけになります。リーダー自らがセキュリティ意識を持つことが重要です。

また、資金移動の承認プロセスを複数人で分散させ、一人の乗っ取りで全額流出するリスクを低減させます。多人数承認制の導入が推奨されます。

サプライチェーン攻撃への警戒

BlueNoroffはサプライチェーン攻撃も試みている可能性があります。取引先のシステムを介して、標的企業に侵入する手法です。

取引先とのデータ共有やシステム連携には、厳格なセキュリティ基準を設けます。また、定期的なセキュリティ監査を行い、脆弱性を早期に発見します。

特に、中小規模の取引先はセキュリティ対策が不十分な場合が多いです。これらを標的とした間接攻撃に警戒する必要があります。

インシデントレスポンス計画の見直し

5分以内で完了する攻撃に対応するには、迅速なインシデントレスポンス計画が必要です。検知から対応までのタイムラグを最小限に抑えます。

自動化された対応ツールを導入し、検知と同時に隔離措置が取れるようにします。また、定期的な訓練を行い、チームの対応力を高めます。

特に、PowerShellの異常な実行やTelegramへの通信を監視し、これらをトリガーとしたアラート設定を行います。早期検知が被害拡大を防ぐ鍵です。

8. まとめ：ローカルAI時代のセキュリティ意識

技術の進歩とセキュリティの重要性

AI技術の進歩は、我々の生活を便利にする一方で、新しい脅威も生んでいます。BlueNoroffの攻撃は、その典型例です。

ローカルLLMを動かす我々も、PowerShellやコマンドラインを日常的に扱います。この環境が攻撃者に悪用されないよう、セキュリティ意識を高める必要があります。

特に、スクリプトの実行やブラウザの設定は、普段から注意深く管理します。便利さを追求するあまり、セキュリティを軽視しないよう心がけましょう。

継続的な学習と対策

セキュリティの脅威は日々進化しています。BlueNoroffのような高度な攻撃に対応するには、継続的な学習と対策が必要です。

最新のセキュリティ情報を入手し、自分の環境に合わせて対策を講じます。また、コミュニティでの情報共有も重要です。他のユーザーの経験を参考にしましょう。

特に、オープンソースのセキュリティツールやAI検知モデルの進展に注目します。これらの技術を駆使して、自分たちの環境を保護します。

未来への展望

2026年、AIは私たちの生活に深く浸透しています。ローカルLLMの普及により、個人レベルでも高度なAI処理が可能になりました。

しかし、その反面、AIを利用した攻撃も高度化しています。ディープフェイクや自動化された攻撃は、今後さらに増加するでしょう。

我々は、技術の恩恵を受けながら、同時にリスクを理解し、対策を講じる必要があります。セキュリティは、技術の進歩とともに進化し続ける課題です。

---

📦 この記事で紹介した商品