LazarusがGoogle Chromeのゼロデイ脆弱性を悪用、偽の暗号資産ゲームで認証情報を窃取

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

PR TIMES より

記事の要約
Lazarusによる暗号資産窃取攻撃とGoogle Chromeの脆弱性悪用
Google Chromeの脆弱性とLazarusの攻撃手法まとめ
ゼロデイ脆弱性について
Lazarusの暗号資産攻撃に関する考察
参考サイト

記事の要約

LazarusがGoogle Chromeのゼロデイ脆弱性を悪用
偽の暗号資産ゲームサイトでバックドアを設置
生成AIとソーシャルエンジニアリングを活用した攻撃を実施

Lazarusによる暗号資産窃取攻撃とGoogle Chromeの脆弱性悪用

Kasperskyは2024年10月23日、APT攻撃グループLazarusが暗号資産の保有者を標的とした高度な攻撃活動を展開していることを発表した。Google Chromeのゼロデイ脆弱性を悪用した偽の暗号資産ゲームウェブサイトを使用してバックドアをインストールし、ウォレットの認証情報を窃取する手法が明らかになったのである。^[1]

Kasperskyの調査により、マルウェア「Manuscrypt」に感染したPCが2024年5月に発見された。Lazarusはこの特徴的なバックドアを2013年から使用しており、これまでに50以上の攻撃活動で利用されていることが判明している。

攻撃者は正規のゲーム「DeFiTankLand」を模倣した偽のゲームサイトを用意し、NFTの戦車で世界中のプレーヤーと競えるとして誘導を行っていた。この偽サイトには訪問者のPCを制御する隠しスクリプトが仕込まれており、X（旧Twitter）やLinkedInを通じた宣伝活動も確認されている。

Google Chromeの脆弱性とLazarusの攻撃手法まとめ

項目	詳細
発見された脆弱性	V8における型の取り違え（Type Confusion）のバグ（CVE-2024-4947）
攻撃手法	偽のDeFiTankLandゲームサイトを通じたバックドア設置
使用マルウェア	Manuscrypt（2013年から使用の特徴的バックドア）
宣伝活動	XとLinkedInで生成AI画像を使用したプロモーション
被害状況	正規DeFiTankLandから2万ドル相当のコイン窃取

ゼロデイ脆弱性について

ゼロデイ脆弱性とは、ソフトウェアやシステムにおいて開発者が把握していない、または修正プログラムが提供されていない脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

発見から修正までの間、攻撃に対して無防備な状態が続く
攻撃者による悪用の可能性が極めて高い
対策が確立されていないため、被害が拡大する可能性がある

今回のGoogle Chrome V8の脆弱性は、JavaScriptおよびWeb Assemblyの実行プログラムにおける型の取り違えに起因するものであった。攻撃者はこの脆弱性を悪用して任意のコードを実行し、セキュリティ機能を回避することで様々な悪意のある活動を可能にしていた。

Lazarusの暗号資産攻撃に関する考察

Lazarusによる今回の攻撃は、生成AIやソーシャルエンジニアリングを巧みに組み合わせた高度な手法を採用している点が注目に値する。偽のゲームサイトを通じた攻撃は、暗号資産業界における新たな脅威となり得るため、セキュリティ対策の見直しが急務となっているのだ。

今後は生成AIを活用した攻撃手法がさらに巧妙化し、正規のサービスと偽サイトの判別が一層困難になることが予想される。暗号資産取引所やウォレットプロバイダーは、多要素認証やハードウェアウォレットの推奨など、より強固なセキュリティ対策を講じる必要があるだろう。

また、暗号資産コミュニティ全体でセキュリティ意識を高め、不審なサイトやプロモーションに対する警戒を強化することが重要である。ブロックチェーン技術の発展とともに、セキュリティ対策も進化を続けることが望まれる。

参考サイト

^ PR TIMES. 「APT攻撃グループ「Lazarus」が、Google Chromeのゼロデイ脆弱性を悪用し暗号資産を窃取していたことを発見 | 株式会社カスペルスキーのプレスリリース」. https://prtimes.jp/main/html/rd/p/000000443.000011471.html, (参照 24-10-25).
Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。