セキュリティ界隈で話題になっていることにやっと追いつきました。暗号通貨業界にいるなら注目すべき内容です。研究者たちは、北朝鮮と関連するグループであり、過去にいくつもの大規模な暗号資産のハッキングを仕掛けてきたラザルスグループが、新たなmacOS向けマルウェアキャンペーンを展開していることを確認しました。これの名前はMach-O Manで、ClickFixと呼ばれるソーシャルエンジニアリングのフレームワークを通じて配布されています。これは伝統的なビジネスや暗号企業の両方に広くリーチをかけているものです。

実際に何が起きているかというと、被害者はZoomやGoogle Meetの招待状のように見える正規のカレンダー招待を受け取ります。普通なら普通のことに見えますよね？しかし、そこからリンクをクリックすると、裏でマルウェアを静かにダウンロードするコマンドを実行させるよう促されます。これは巧妙で、多くの標準的なセキュリティコントロールを回避しています。全体の仕組みは、資格情報、ブラウザデータ、クッキー、キーチェーンのエントリーなど、あなたのマシンにある価値のある情報を収集し、それを圧縮してTelegramを通じて送信し、最後に完全に自己削除する仕組みです。

注目すべき点は、これはもはや暗号通貨だけの問題ではないということです。ラザルスは過去数ヶ月でターゲットの範囲を着実に拡大しています。4月にはAIを活用したソーシャルエンジニアリングを使って、チームの資格情報や秘密鍵を奪取したゼリオン（Zerion）への侵入もありました。それ以前には、2025年の大規模取引所の侵害事件があり、14億ドルの損失を出しています。これは暗号資産史上最大級の損失の一つです。パターンは明らかで、彼らはより洗練され、野心的になってきています。

macOSの角度から見ると、特に興味深いのは、多くのセキュリティチームがこれまでWindows環境に重点を置いてきたことです。そのため、Appleシステム上のアプリケーションコントロールやユーザーの意識に関するギャップが生じていました。ラザルスはこれを明確に認識し、積極的に狙っているのです。

暗号通貨事業を運営している人や、重要なインフラを管理している人にとっては、これは警鐘です。ソーシャルエンジニアリングと資格情報の窃盗の組み合わせは、最も防御が難しい攻撃経路の一つです。既に最小権限のアクセスやアプリケーションのホワイトリスト化、異常なダウンロード・実行シーケンスの監視を考えていないなら、今こそ始めるべきです。また、Telegramなどの予期しないチャネルを通じて漏洩している可能性のあるデータも見直す必要があります。

この広範なポイントのまとめは、暗号通貨に特化した脅威が引き続き注目される一方で、攻撃者はその範囲を拡大しているということです。これにより、取引所、カストディアン、インフラ提供者の攻撃対象範囲はますます広がっています。今後もこの分野を注視し続けてください。さらに巧妙な回避技術を持つ新たなマルウェアのバリエーションが登場する可能性も高いです。ソーシャルエンジニアリング、自動化された資格情報窃盗、自己削除の融合は、業界全体の防御側にとって深刻な問題になりつつあります。