北朝鮮関連とされるハッキング組織Lazarusが、macOSを標的とした新たなマルウェア攻撃を展開している疑いが浮上した。偽のビデオ会議招待を使って利用者にコマンドを実行させ、認証情報やmacOSのキーチェーン情報を盗み出す手口で、標的は暗号資産企業にとどまらず、一般企業やフィンテック企業にも広がっているという。

ブロックチェーンメディアのCointelegraphが22日（現地時間）、こうした内容を報じた。攻撃では、偽の会議招待とソーシャルエンジニアリングを組み合わせた手法が使われたとされる。

セキュリティ研究者は、この新たなマルウェアキットを「Mach-O Man」と命名した。拡散には「ClickFix」型の誘導画面が使われ、ZoomやGoogle Meetの会議参加画面を装って、被害者に端末上で特定のコマンドを実行させたという。

BCAの創業者マウロ・エルドリッチ氏は同日公表した報告書で、この手口について、バックグラウンドでマルウェアをダウンロードさせることで検知を逃れ、従来型の防御策を回避しやすくすると説明した。

攻撃に成功した場合、攻撃者は被害企業の認証情報や社内システムへのアクセス権を取得する可能性がある。研究チームは、アカウントの乗っ取りやインフラへの不正アクセス、金銭的損失、重要データの流出につながりかねないと指摘した。標的が暗号資産専業企業を超え、より幅広い業種に広がっている点も明らかになった。

マルウェアの最終段階では、情報窃取型のプログラムが展開される。このツールは、ブラウザ拡張機能のデータ、保存済みのブラウザ認証情報、Cookie、macOSのキーチェーン項目などを収集する設計だ。収集したデータは圧縮したうえで、Telegram経由で攻撃者に送信する仕組みという。

痕跡の削除も自動化されていた。研究者によると、マルウェアはシステムのrmコマンドを使ってキット全体を自己削除する構成で、通常の削除確認を回避するよう設計されていた。侵入や情報窃取にとどまらず、事後の隠蔽まで組み込まれていた形だ。

今回のマルウェアキットは、クラウド型マルウェアサンドボックスAny.runのmacOS分析機能を通じて解析・再現された。研究チームはこれを基に、攻撃の流れとデータ流出の経路を確認したとしている。

Lazarusはこれまでも、大規模な暗号資産ハッキング事件の背後にいる組織として繰り返し名指しされてきた。2025年に発生したBybitへのハッキングでも主犯格として指摘され、被害額は14億ドルに達した。業界最大級のハッキング事例とされる。

今月に入ってからも、同様のソーシャルエンジニアリング攻撃は続いている。Zerionでは、一部チームメンバーのログインセッションや認証情報、社内の秘密鍵へのアクセス権が奪われ、約10万ドル相当の資金が流出した。攻撃にはAIを用いたソーシャルエンジニアリングが使われたとも報じられている。

一連の事例は、Macを前提とした業務環境が相対的に安全とは言い切れなくなっている現実を浮き彫りにした。ビデオ会議招待、ブラウザベースの認証、メッセージアプリを使った情報送信を組み合わせた攻撃手法が確認されたことで、暗号資産業界やフィンテック企業では、端末セキュリティとアカウント管理体制の見直しを迫られそうだ。