ソーシャルエンジニアリング

アメリカ合衆国司法省の情報によると、カリフォルニア州ニューポートビーチの22歳の男性エヴァン・タンゲマンは、州を越えたソーシャルエンジニアリング犯罪グループに関与し、少なくとも350万ドルのマネーロンダリングを助けたとして、現地時間にアメリカ・コロンビア特別区連邦裁判所から70ヶ月の懲役と3年の保護観察を言い渡されました。この犯罪グループは2023年10月から活動を開始し、ハッキングやソーシャルエンジニアリングなどの手段を通じて、2.63億ドル以上の暗号通貨を盗みました。メンバーの多くは未成年者や20歳未満の失業青年で、オンラインゲームプラットフォームから発生しました。タンゲマンは盗まれた暗号通貨を法定通貨に換金し、グループのメンバーのためにロサンゼルスやマイアミなどで豪邸を賃貸しました。また、彼自身も報酬としてベントレーやランボルギーニなどの高級車を受け取りました。事件発生後、タンゲマンは仲間にデジタル機器を破壊させて証拠を隠滅させました。この事件はFBIワシントンおよびロサンゼルス、マイアミの支局がIRS刑事調査部門と共同で捜査しており、現在9名の関与者が有罪を認めています。

The Blockの報道によると、イーサリアムネームサービス（ENS）ゲートウェイeth.limoは先週の金曜日の夜にDNSハイジャック攻撃を受けました。このプロジェクトは土曜日に事後分析報告を発表し、今回の攻撃をドメイン登録業者EasyDNSに対するソーシャルエンジニアリング攻撃に遡りました。eth.limoは、DNSSEC検証が攻撃者のドメインサーバーの変更を拒否したと述べており、現在のところ実際に影響を受けたユーザーはいないとしています。最近の暗号前端がDNS層で何度も攻撃を受けた状況に対処するために、eth.limoはEasyDNS傘下のより厳格なセキュリティサービスに移行する計画を立てており、このサービスはアカウント復元機能をサポートしなくなります。EasyDNSのCEOであるMark Jeftovicは、この脆弱性を公に認め、これは彼らの28年の歴史の中で初めて顧客に対して成功したソーシャルエンジニアリング攻撃であると述べました。

SlowMistのセキュリティチームが発表した脅威情報によると、同社の脅威情報システムMistEyeはコミュニティからのフィードバックを受け、暗号ユーザーを対象とした活発なソーシャルエンジニアリング攻撃活動を発見しました。攻撃者はプロジェクトの協力を理由にターゲットユーザーに接触し、偽の「Harmony Voice」ソフトウェア（ドメイン：harmony-voice[.]app）を使用していわゆるリアルタイム翻訳を行うように誘導しますが、実際には悪意のあるプログラムです。SlowMistは関連する脅威情報（IOC）を企業顧客に同期しました。

CoW Swapは、cow.fiドメインの管理権を回収し、cow.financeで正常に運営されていることを発表しました。現在、元のドメインへの移行を徐々に進めています。公式によると、攻撃者は4月14日に偽造書類を用いてDNS登録業者を欺き、cow.fiドメインの管理権を取得しました。攻撃者は高度に模倣されたフィッシングサイトを展開し、2段階で実施しました。最初にウォレットスティーラーを通じてユーザーに悪意のある取引に署名させ、次に偽のウォレットポップアップを通じてリカバリーフレーズとパスワードを盗みました。この攻撃はドメイン登録業者を対象としており、CoW Swap自体のインフラや秘密鍵の漏洩ではありません。影響を受けたユーザーは、Revoke.cashなどのツールを使用してすべての権限を取り消し、資金を新しいウォレットに移すことを検討するべきです。

暗号ウォレットZerionが明らかにしたところによると、北朝鮮のハッカーがAIを使用して長期的なソーシャルエンジニアリング攻撃を行い、会社のホットウォレットから約10万ドルを盗みました。Zerionは、ユーザーの資金、アプリケーション、インフラストラクチャに影響はないと確認し、予防措置としてウェブアプリケーションを自発的に無効化しました。Zerionはまた、攻撃者が一部のチームメンバーのログインセッションや認証情報、会社のホットウォレットの秘密鍵を取得したことを示し、AIがネットワークの脅威の運用方法を変えていると指摘しました。

チェーン上のアナリスト余烬（@EmberCN）の監視によると、あるKrakenユーザーが社会工学的攻撃に遭い、8,662枚のETHが盗まれ、約1,819万ドルの価値があるとされています。攻撃者はその後、878枚のETHをクロスチェーンツールTHORChainを通じて26.5枚のBTCに交換し、6時間後にすべての盗まれた資産（7,784枚のETH + 26.5枚のBTC）をHitBTC取引所に移しました。

ZachXBT の報告によると、身元不明の Kraken ユーザーがソーシャルエンジニアリング詐欺により約 1,820 万ドルを失った疑いがあります。関与したアドレスは約 45 分前に SafePal ウォレットを通じて、THORChain を利用して資金をイーサリアムからビットコインにブリッジしました。

CoinDeskの報道によると、アメリカ、イギリス、カナダの法執行機関が共同で「Operation Atlantic」と呼ばれる国際的な取り組みを開始し、暗号ユーザーを狙った「承認型フィッシング（approval-phishing）」詐欺に重点を置いています。オンタリオ証券委員会は、この種の詐欺は通常、信頼できるアプリやサービスを装ったポップアップや通知を通じて、ユーザーに悪意のあるウォレットの権限を承認させるように誘導すると述べています。一度承認されると、攻撃者はウォレットを制御し、資産を移転することができます。データによると、暗号詐欺は2025年までに少なくとも約140億ドルのオンチェーン不法収入を生み出すとされており、関与するウォレットがさらに特定されるにつれて、総規模は170億ドルに近づくと予想されています。法執行機関は、現在の詐欺活動はますます社会工学、AI生成コンテンツ、そして「フィッシング・アズ・ア・サービス（Phishing-as-a-Service）」プラットフォームに依存していると指摘しています。この取り組みは、複数の国の法執行機関が協力して推進しており、規制当局は、新たな取り組みが被害者のウォレットを特定し、潜在的な被害者に迅速に警告を発し、盗まれた暗号資産を追跡・凍結し、犯罪者がさらなる利益を得る余地を減らすのに役立つと述べています。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

ZachXBT の監視によると、ある被害者がハードウェアウォレットのソーシャルエンジニアリング詐欺により、2.82 億ドル以上の LTC と BTC を失った。攻撃者はその後、複数の即時交換プラットフォームを通じて盗まれた LTC と BTC を Monero に変換し、XMR の価格が一時的に急騰した。一部の BTC は Thorchain を介して Ethereum、Ripple、Litecoin ネットワークにクロスチェーンされた。公開された盗まれたアドレスは合計で約 205 万 LTC と 1459 BTC である。

慢雾の創設者である余弦は「何一のWeChatが盗まれた」事件について分析し、今回のアカウント盗難は、ハッカーがユーザーの長期間使用されていない電話番号の使用権を奪取することによって、WeChatにバインドされたアイデンティティ基盤を引き継いだものであると述べています。もう一つの一般的なリスクは、認証コードのソーシャルエンジニアリング攻撃です：ハッカーはユーザーが漏洩したアカウントのパスワードを取得した後、ユーザーになりすまして、彼の2人の連絡先のWeChat友達に6桁の認証コードを要求し、アカウントを盗むことができます。余弦は、攻撃の前提条件には、既に漏洩したデータの中で一致するアカウントのパスワードが含まれ、さらに被害者のよく連絡を取る友人の情報（グループチャットでのみやり取りがあるユーザーを含む）を事前に収集することが必要であると指摘しています。攻撃者は通常、深夜に実行することを選び、特に暗号通貨関連のユーザーを対象としたOTC詐欺に見られます。彼はユーザーに対して、知らないWeChatの友達を慎重に追加し、パスワードを適時変更し、WeChatのさまざまなリスク警告に注意を払うように警告しています。

据 Cointelegraph 报道，Trustwave のサイバーセキュリティ研究チーム SpiderLabs の最新レポートによると、「Eternidade Stealer」と呼ばれる銀行トロイの木馬が WhatsApp を通じてブラジルで大規模に拡散しています。攻撃者は、偽の政府プログラム通知、宅配情報、投資グループなどのソーシャルエンジニアリング手法を利用して、ユーザーに悪意のあるリンクをクリックさせるように仕向けています。一度クリックされると、マルウェアはデバイスに感染し、WhatsApp アカウントを乗っ取り、自動的に被害者の連絡先リストに拡散します。このトロイの木馬は、ブラジルの複数の銀行、フィンテック企業、暗号通貨取引所のログイン資格情報をスキャンして盗むことができます。検出を避けるために、このマルウェアは固定サーバーアドレスではなく、プリセットの Gmail アカウントを使用して指示を受け取ります。セキュリティ専門家は、信頼できる連絡先からのものであっても、すべてのリンクに対して警戒を怠らず、ソフトウェアを更新してこのような攻撃から身を守ることを推奨しています。

据官方消息，AI 驱动的社交工程防御平台 Doppel 宣布完成 7000 万美元 C 轮融资，Bessemer Venture Partners 领投，George Kurtz、NTT DOCOMO Ventures、Aurum Partners、Nneka Ogwumike、Breanna Stewart、Kelsey Plum、a16z、South Park Commons、Script Capital、9Yards Capital、Sozo Ventures 和 Strategic Cyber Ventures 等参投。Doppel 旨在保护组织免受网络钓鱼、冒充和深度伪造欺诈等社会工程威胁，新资金将用于支持构建生成式 AI 与专家人工分析相结合的数字保护基础设施。

ChainCatcher のメッセージによると、CoinDesk が引用した暗号取引プラットフォーム WhiteBIT の 2025 年度セキュリティレポートによれば、ソーシャルエンジニアリング詐欺（偽の投資、なりすましなどを含む）が暗号ユーザーが直面する主要なセキュリティ脅威となっており、今年のすべてのセキュリティ事件の 40.8% を占めています。レポートでは、技術的なウォレット攻撃（フィッシング、マルウェア、キーロガーなど）が 33.7% の割合で次に多く、10% 以上の詐欺が Telegram などのインスタントメッセージングプラットフォームを通じて実施されており、一般的な形式は「スパム詐欺」や偽装チャンネルです。WhiteBIT のコンプライアンスチームは、ほとんどの脅威が「人間の行動の脆弱性」をターゲットにしており、技術的欠陥ではないと指摘し、ユーザーに対して以下のような積極的な防御策を講じるよう呼びかけています：二段階認証の有効化、URL の慎重な確認、機密データの共有を避けること、そして安全な取引所とコールドウォレットを優先して資産を保管すること。レポートはまた、今年上半期に暗号分野での犯罪による損失が約 250 億ドルに達し、その中で Bybit のハッキング事件（北朝鮮の Lazarus グループによるものと考えられている）が史上最大の暗号盗難事件となり、約 150 億ドルの損失をもたらしたことを述べています。

ChainCatcher のメッセージによると、オンチェーン探偵の ZachXBT が自身のチャンネルで明らかにしたところによれば、2025 年 8 月 19 日、ある被害者がソーシャルエンジニアリング攻撃に遭い、取引プラットフォームでハードウェアウォレットのカスタマーサポートを偽装された結果、783 枚のビットコイン（約 9140 万ドル）を失ったとのことです。盗まれた資金は徐々に分散移転され、攻撃者は Wasabi に対して複数回の入金操作を行いました。偶然にも、この盗難事件は Genesis の債権者 2.43 億ドルの盗難事件の1周年に発生しました。盗まれた取引ハッシュ：da598f2a941ee3c249a3c11e5e171e186a08900012f6aad26e6d11b8e8816457盗まれたアドレス：bc1qyxyk4qgyrkx4rjwsuevug04wahdk6uf95mqlej

ChainCatcher のメッセージによると、オンチェーン探偵の ZachXBT が明らかにしたところによると、ニューヨークのソーシャルエンジニアリング詐欺師 Christian Nieves（偽名 Daytwo/PawsOnHips）は、小規模なコールセンターを設立して Coinbase のカスタマーサポートを装い、ユーザーをフィッシングサイトで種子が含まれた Coinbase ウォレットを作成させ、ユーザーの資金を 400 万ドル以上盗んでいます。彼の共犯者 Paranoia（Justin）は、2024 年 11 月に高齢者の被害者から 24 万ドルを騙し取ったことがあり、一部の資金は Roobet プラットフォームに流れ、残りは XMR に変換されました。彼は Discord の通話中に Roobet アカウント「pawsonhips」を公開し、ウォレットアドレスを漏洩し、ネットギャンブルに頻繁に使用されていることを示しています。