寄稿:Ben Weiss、フォーチュン誌編集:Luffy、Foresight News3月下旬、私は『フォーチュン』誌のIT管理者から、不穏な知らせを受け取った。「あるプロセスがシステムの脆弱性をさらしている」と彼は書いていた。誰かがすでに私のコンピューターに侵入しているかもしれない。「それを止める必要がある。」私は瞬時にパニックになった。IT部門が事後に確認したログによると、その日の午前11:04に私がダウンロードしたあるファイルには、キーロギング、画面録画、パスワード窃取、そして私の各種アプリへのアクセスが可能になる機能が備わっていた。私はすぐにノートPCを閉じ、ブルックリンのアパートを飛び出して最寄りの地下鉄駅へ向かった。会社に向かう途中、編集者にメッセージを送った。「たぶん北朝鮮のハッカーにフィッシングされた、笑うしかない。」私はずっと北朝鮮に関するニュースを取材してきたし、この国がアメリカの投資家を狙っていることも知っていた。だが、悪名高いこのハッカー集団が私にまで狙いを定め、彼らの欺きの手口がどれほど巧妙なのかを自分自身で体験することになるとは、まったく思っていなかった。詐欺のように感じるこの「隠者王国」は長年にわたり、暗号資産業界に継続的に侵入している。制裁を受けて北朝鮮は世界の金融システムから締め出されているため、運転資金を国家支援の暗号資産窃取に頼らざるを得ない。暗号データ分析会社Chainalysisのデータによれば、2025年の1年だけでも、北朝鮮に関連するハッカーが奪った暗号資産は20億ドル相当で、前年からおよそ50%増えている。北朝鮮は、IT要員として自分たちを企業に雇わせるよう説得する、といったおなじみの勧誘パターンを確立しており、今回私をだますために使われた手口もその一部だった。北朝鮮のハッカーは3月中旬には罠を仕掛けていた。餌は、あるヘッジファンド投資家のTelegramメッセージだった。しかも、そのアプリは暗号業界で最もよく使われるコミュニケーション手段の一つだ。この投資家の名前は明かせないが、彼は私の取材で登場した匿名の情報提供者だった。彼は、Adam Swickという人物に会うつもりがあるかと私に尋ねた。彼は、ビットコイン採掘企業のMARA Holdingsで最高戦略責任者を務めていた人物だ。私は「いいですよ」と答えた。彼はいつも感じがよく、信頼できるはずだった。そうして私はグループチャットに招き入れられた。彼は言った。Swickは新しいデジタル資産のトレジャリーを立ち上げようとしており、「すでに有望な大口のシード投資家がいる」と。プロジェクトは怪しさ満点に聞こえたが、それでも私は彼が何を言いたいのか聞くつもりだった。彼はTelegramで通話の予定を私に求めてきた。1週間後、この情報提供者が、Zoomの会議のように見えるリンクを私に送ってきた。私はそれを開いた。起動したプログラムの画面は、私が毎日使っているZoomとほぼ同じに見えたが、細部の設計が少しおかしかった。さらに音声がまったく聞こえない。システムは音声の問題を修正するためにソフトウェアを更新する必要があると警告し、その同時にSwickからメッセージが届いた。「そちらのZoomがうまくいっていないようだ。」私は更新パッケージをダウンロードした。ブラウザ内のリンクが、Telegramから送られてきたものと一致しないことに気づいた瞬間、私は警戒した。私は会議をGoogle Meetに切り替えようと提案した。「これ、詐欺っぽいよ。」私はグループ内でSwickとその情報提供者にそう伝えた。Swickはなおも言い張った。「心配しないで、私のPCではさっき試したけど問題なかった。」私はそのスクリプトをMac上で実行しなかった。即座にZoom会議を退出した。「話すならGoogle Meetで。」私はTelegramでそう返信した。すると私の情報提供者は、すぐに私をグループから追い出した。ウイルスによる連鎖的な侵入私はアパートから飛び出しIT部門に向かう途中で、ベテランのセキュリティ研究者Taylor Monahanにメッセージを送った。彼女はSEAL 911のメンバーで、暗号資産盗難の被害者を支援するボランティア団体だ。私はダウンロードしたスクリプトとビデオ会議のリンクを彼女に送った。「これは北朝鮮のハッカーの仕業です。」彼女は数秒後に返信してきた。もし私がそのときスクリプトを実行していたら、ハッカーは私のパスワード、Telegramアカウント、そして私が保有するすべての暗号資産を盗み取っていたはずだ。幸いにも私は、少量のビットコインと、いくつかの他の暗号資産しか保有していなかった。ハッキングの特徴だけでは、背後の犯人を100%特定するのは難しいが、今回の私の危うい事案についてMonahanは、リンク、スクリプト、そしてSwickを偽装したアカウントに至るまで、あらゆる手がかりが北朝鮮を指していると説明した。捜査担当者は、ブロックチェーン分析など複数の証拠を組み合わせて、この事件を北朝鮮と関連づけるという。さらに、北朝鮮のハッカーを長年追跡している別の2人のセキュリティ研究者も、私がスクリプトとリンクを送った後、この判断を裏づけた。「彼によろしくって言っといて、ハハ。」Monahanは言った。私を狙った北朝鮮のハッカーを指している。Monahanや他のセキュリティ研究者は、暗号業界における数百件もの“偽のビデオ会議”フィッシング案件をすでに扱ってきた。この手口は型化されているが、とても効果的だ。ハッカーはまず、実在するユーザーのTelegramアカウントを乗っ取り、その連絡先にいる人々へ連絡する。被害者はビデオ会議に参加するよう求められるが、通話中の音声は常に正常に機能しない。次に被害者は「音声を修復する」更新プログラムを実行するよう誘導される。スクリプトを実行すると、ハッカーは被害者の暗号資産、パスワード、Telegramアカウントを手に入れられる。実際、Googleは水曜日に出したレポートで、私を狙ったこの北朝鮮のハッカー集団が、広範なソフトウェア開発者を対象にした攻撃も企てていると述べている。私はランボルギーニに乗るビットコインの大富豪ではないが、Monahanによれば、北朝鮮のハッカーは金持ちだけを狙っているわけではない。彼女は、暗号業界の記者が標的になっているケースが増えていることを見つけた。おそらく理由は、記者のTelegramには人的つながりが大量にあるからだ。そうした連絡先の中には、おそらくかなりの暗号資産の大富豪が潜んでいる。ウイルスが健康な細胞を乗っ取るのと同じように、ハッカーはこれらのアカウントを侵害し、さらにそのアカウント内の連絡先を攻撃していく。私はまさにその手口で、危うく巻き込まれかけた。知り合いとチャットしていると思い込んで警戒心が緩んでしまった。「偽物の私」私はPCを完全にフォーマットし、すべてのパスワードを変更し、何度もIT管理者に礼を伝えたうえで、最終的に例の情報提供者に電話をかけた。案の定、彼のTelegramアカウントは3月の初めにはすでに盗まれていた。「俺のTelegramには連絡先がたくさんある。携帯もPCもどこにも保存してないんだ。」彼は言った。「でも一番つらいのは、自分になりすまして騙してくるやつがいるってことだ。自分の身に“侵害”が起きた感じが最悪だ。」さらに、彼は3週間の間に何度もTelegramで助けを求めて連絡したのに、ずっと返事がなかった。Telegramのスポークスマンは声明で私にこう伝えた。「Telegramはアカウントを守るためにできる限りの努力をしますが、どのプラットフォームも、ユーザーが騙されるのを完全には止められません。」加えて、私が連絡した後、プラットフォームはこのヘッジファンド投資家のアカウントを凍結したという。私も本物のAdam Swickに連絡した。2月の初めから、Telegram上で彼になりすます人間が出ていた。この元MARA幹部は、無数のSMSや電話を受け取り、なぜ会議をセッティングしたのかと詰められていた。彼はそのたびに謝るしかなかった。「でも中には俺に聞いてくる奴がいるんだ、『兄弟、お前は何を謝ってるんだ?』って。」Swickは言った。「俺はこう言うしかない。『わからない。偽物の俺に謝ってるんだよ……本当にこんなことが起きてしまって申し訳ない。』」Swickは、なぜハッカーが彼の名を使ったのか分からなかったし、私の情報提供者も自分のTelegramがどのように盗まれたのかは分かっていなかった。だが通話が終わる直前、私たちは、あり得る答えを突然見つけた。この投資家のTelegramが盗まれる前に、最後に連絡した人の中に“偽物のSwick”がいた。私の情報提供者は言った。「俺は彼とZoomを開いた。向こうの音声がつながらなかった。たぶんそのとき何かをダウンロードした記憶がある。」つまり、私の情報提供者は同じハッカー集団に狙われていた可能性が高い。そして、私たちが彼のPCも感染しているかもしれないことに気づくと、このヘッジファンド投資家はすぐに電話を切り、自分のPCをフォーマットした。私はTelegram上で偽物のAdam Swickにメッセージを送った。「このアカウントは北朝鮮のハッカーが操作してますか?」いまのところ、私はまだ何の返信も受け取っていない。
フォーチュン誌の記者:北朝鮮のハッカーが横行していると知りながら、私はやられてしまった
寄稿:Ben Weiss、フォーチュン誌
編集:Luffy、Foresight News
3月下旬、私は『フォーチュン』誌のIT管理者から、不穏な知らせを受け取った。「あるプロセスがシステムの脆弱性をさらしている」と彼は書いていた。誰かがすでに私のコンピューターに侵入しているかもしれない。「それを止める必要がある。」私は瞬時にパニックになった。
IT部門が事後に確認したログによると、その日の午前11:04に私がダウンロードしたあるファイルには、キーロギング、画面録画、パスワード窃取、そして私の各種アプリへのアクセスが可能になる機能が備わっていた。
私はすぐにノートPCを閉じ、ブルックリンのアパートを飛び出して最寄りの地下鉄駅へ向かった。会社に向かう途中、編集者にメッセージを送った。「たぶん北朝鮮のハッカーにフィッシングされた、笑うしかない。」
私はずっと北朝鮮に関するニュースを取材してきたし、この国がアメリカの投資家を狙っていることも知っていた。だが、悪名高いこのハッカー集団が私にまで狙いを定め、彼らの欺きの手口がどれほど巧妙なのかを自分自身で体験することになるとは、まったく思っていなかった。
詐欺のように感じる
この「隠者王国」は長年にわたり、暗号資産業界に継続的に侵入している。制裁を受けて北朝鮮は世界の金融システムから締め出されているため、運転資金を国家支援の暗号資産窃取に頼らざるを得ない。
暗号データ分析会社Chainalysisのデータによれば、2025年の1年だけでも、北朝鮮に関連するハッカーが奪った暗号資産は20億ドル相当で、前年からおよそ50%増えている。
北朝鮮は、IT要員として自分たちを企業に雇わせるよう説得する、といったおなじみの勧誘パターンを確立しており、今回私をだますために使われた手口もその一部だった。
北朝鮮のハッカーは3月中旬には罠を仕掛けていた。餌は、あるヘッジファンド投資家のTelegramメッセージだった。しかも、そのアプリは暗号業界で最もよく使われるコミュニケーション手段の一つだ。この投資家の名前は明かせないが、彼は私の取材で登場した匿名の情報提供者だった。
彼は、Adam Swickという人物に会うつもりがあるかと私に尋ねた。彼は、ビットコイン採掘企業のMARA Holdingsで最高戦略責任者を務めていた人物だ。私は「いいですよ」と答えた。彼はいつも感じがよく、信頼できるはずだった。そうして私はグループチャットに招き入れられた。
彼は言った。Swickは新しいデジタル資産のトレジャリーを立ち上げようとしており、「すでに有望な大口のシード投資家がいる」と。プロジェクトは怪しさ満点に聞こえたが、それでも私は彼が何を言いたいのか聞くつもりだった。
彼はTelegramで通話の予定を私に求めてきた。1週間後、この情報提供者が、Zoomの会議のように見えるリンクを私に送ってきた。私はそれを開いた。
起動したプログラムの画面は、私が毎日使っているZoomとほぼ同じに見えたが、細部の設計が少しおかしかった。さらに音声がまったく聞こえない。システムは音声の問題を修正するためにソフトウェアを更新する必要があると警告し、その同時にSwickからメッセージが届いた。「そちらのZoomがうまくいっていないようだ。」私は更新パッケージをダウンロードした。
ブラウザ内のリンクが、Telegramから送られてきたものと一致しないことに気づいた瞬間、私は警戒した。私は会議をGoogle Meetに切り替えようと提案した。「これ、詐欺っぽいよ。」私はグループ内でSwickとその情報提供者にそう伝えた。
Swickはなおも言い張った。「心配しないで、私のPCではさっき試したけど問題なかった。」
私はそのスクリプトをMac上で実行しなかった。即座にZoom会議を退出した。「話すならGoogle Meetで。」私はTelegramでそう返信した。すると私の情報提供者は、すぐに私をグループから追い出した。
ウイルスによる連鎖的な侵入
私はアパートから飛び出しIT部門に向かう途中で、ベテランのセキュリティ研究者Taylor Monahanにメッセージを送った。彼女はSEAL 911のメンバーで、暗号資産盗難の被害者を支援するボランティア団体だ。私はダウンロードしたスクリプトとビデオ会議のリンクを彼女に送った。
「これは北朝鮮のハッカーの仕業です。」彼女は数秒後に返信してきた。
もし私がそのときスクリプトを実行していたら、ハッカーは私のパスワード、Telegramアカウント、そして私が保有するすべての暗号資産を盗み取っていたはずだ。幸いにも私は、少量のビットコインと、いくつかの他の暗号資産しか保有していなかった。
ハッキングの特徴だけでは、背後の犯人を100%特定するのは難しいが、今回の私の危うい事案についてMonahanは、リンク、スクリプト、そしてSwickを偽装したアカウントに至るまで、あらゆる手がかりが北朝鮮を指していると説明した。捜査担当者は、ブロックチェーン分析など複数の証拠を組み合わせて、この事件を北朝鮮と関連づけるという。さらに、北朝鮮のハッカーを長年追跡している別の2人のセキュリティ研究者も、私がスクリプトとリンクを送った後、この判断を裏づけた。
「彼によろしくって言っといて、ハハ。」Monahanは言った。私を狙った北朝鮮のハッカーを指している。
Monahanや他のセキュリティ研究者は、暗号業界における数百件もの“偽のビデオ会議”フィッシング案件をすでに扱ってきた。この手口は型化されているが、とても効果的だ。
ハッカーはまず、実在するユーザーのTelegramアカウントを乗っ取り、その連絡先にいる人々へ連絡する。被害者はビデオ会議に参加するよう求められるが、通話中の音声は常に正常に機能しない。次に被害者は「音声を修復する」更新プログラムを実行するよう誘導される。スクリプトを実行すると、ハッカーは被害者の暗号資産、パスワード、Telegramアカウントを手に入れられる。
実際、Googleは水曜日に出したレポートで、私を狙ったこの北朝鮮のハッカー集団が、広範なソフトウェア開発者を対象にした攻撃も企てていると述べている。
私はランボルギーニに乗るビットコインの大富豪ではないが、Monahanによれば、北朝鮮のハッカーは金持ちだけを狙っているわけではない。彼女は、暗号業界の記者が標的になっているケースが増えていることを見つけた。おそらく理由は、記者のTelegramには人的つながりが大量にあるからだ。そうした連絡先の中には、おそらくかなりの暗号資産の大富豪が潜んでいる。
ウイルスが健康な細胞を乗っ取るのと同じように、ハッカーはこれらのアカウントを侵害し、さらにそのアカウント内の連絡先を攻撃していく。私はまさにその手口で、危うく巻き込まれかけた。知り合いとチャットしていると思い込んで警戒心が緩んでしまった。
「偽物の私」
私はPCを完全にフォーマットし、すべてのパスワードを変更し、何度もIT管理者に礼を伝えたうえで、最終的に例の情報提供者に電話をかけた。案の定、彼のTelegramアカウントは3月の初めにはすでに盗まれていた。
「俺のTelegramには連絡先がたくさんある。携帯もPCもどこにも保存してないんだ。」彼は言った。「でも一番つらいのは、自分になりすまして騙してくるやつがいるってことだ。自分の身に“侵害”が起きた感じが最悪だ。」
さらに、彼は3週間の間に何度もTelegramで助けを求めて連絡したのに、ずっと返事がなかった。Telegramのスポークスマンは声明で私にこう伝えた。「Telegramはアカウントを守るためにできる限りの努力をしますが、どのプラットフォームも、ユーザーが騙されるのを完全には止められません。」加えて、私が連絡した後、プラットフォームはこのヘッジファンド投資家のアカウントを凍結したという。
私も本物のAdam Swickに連絡した。2月の初めから、Telegram上で彼になりすます人間が出ていた。この元MARA幹部は、無数のSMSや電話を受け取り、なぜ会議をセッティングしたのかと詰められていた。彼はそのたびに謝るしかなかった。
「でも中には俺に聞いてくる奴がいるんだ、『兄弟、お前は何を謝ってるんだ?』って。」Swickは言った。「俺はこう言うしかない。『わからない。偽物の俺に謝ってるんだよ……本当にこんなことが起きてしまって申し訳ない。』」
Swickは、なぜハッカーが彼の名を使ったのか分からなかったし、私の情報提供者も自分のTelegramがどのように盗まれたのかは分かっていなかった。だが通話が終わる直前、私たちは、あり得る答えを突然見つけた。
この投資家のTelegramが盗まれる前に、最後に連絡した人の中に“偽物のSwick”がいた。私の情報提供者は言った。「俺は彼とZoomを開いた。向こうの音声がつながらなかった。たぶんそのとき何かをダウンロードした記憶がある。」
つまり、私の情報提供者は同じハッカー集団に狙われていた可能性が高い。そして、私たちが彼のPCも感染しているかもしれないことに気づくと、このヘッジファンド投資家はすぐに電話を切り、自分のPCをフォーマットした。
私はTelegram上で偽物のAdam Swickにメッセージを送った。「このアカウントは北朝鮮のハッカーが操作してますか?」
いまのところ、私はまだ何の返信も受け取っていない。